Подразумевается, что для обеспечения корпоративной информационной безопасности нужна отдельная структура — служба ИБ, внешний ИБ-аутсорсер или хотя бы один ИБ-специалист (выполнение обязанностей которого в компании порой возлагают — по совместительству — на администраторов ИТ-систем). При этом сильное влияние на практическую реализацию корпоративной ИБ-структуры оказывает характер основного бизнеса компании и его размеры.
Крупные российские компании во всем предпочитают самодостаточность — свою генерирующую электроподстанцию, свое транспортное обеспечение, свою АТС, свои кабели... Ну и свою ИБ-службу, которую иногда «отчуждают» в самоокупаемые ИБ-инсорсеры, имеющие тенденцию мигрировать в ИБ-аутсорсеры, готовые обслуживать и иные, кроме материнской, компании.
Средний и мелкий бизнес предпочитает пользоваться ИБ-услугами, демонстрируя гибкое реагирование на внешние условия, включающие экономическую ситуацию, технологические возможности рынка и ландшафт ИБ-угроз. Следует отметить, что «ИБ-нигилизм», свойственный российским предпринимателям, прежде всего мелким и средним, тем не менее не опускается ниже критического уровня — антивирусы и межсетевые экраны в корпоративной ИБ-гигиене сегодня столь же характерны, как мытье рук в гигиене медицинской.
Чтобы прояснить нынешнее положение ИБ-специалистов в российских компаниях, редакция PC Week/RE провела онлайновый опрос читателей на тему «Статус ИБ-специалистов внутри компании». Наиболее активными в опросе оказались представители среднего бизнеса
То, что около 60% ответивших считают, что ИБ-обеспечение в компании следует выделять в отдельную самостоятельную структуру, свидетельствует об осознании актуальности в среде опрошенных ИБ-проблем, включая проблемы соответствия требованиям регуляторов. С другой стороны, то, что 30% с этим не согласны, а 10% еще не определились с ответом, скорее всего, отражает доминирование среди участников опроса представителей средних компаний. В условиях жесткого регулирования сферы ИБ в нашей стране задачи ИБ-соответствия нередко доминируют над задачами реальной ИБ, а поскольку контроль за исполнением регулятивных требований у нас все еще оставляет желать лучшего, то СМБ (в отличие от крупного бизнеса, который на виду у контролирующих инстанций) может себе позволить манкировать соответствием как главным направлением в российской корпоративной ИБ.
Тем не менее между желаемым и реальным положением дел наблюдается существенное расхождение: на вопрос, выделено ли ИБ-обеспечение в компании в отдельную самостоятельную структуру, положительно ответили только 35% респондентов; 56% признали, что у них в компаниях это не так, а 9% вообще не понимают, как у них организовано ИБ-обслуживание. При этом 39% (что совсем немало) считает, что у их ИБ-спецалистов вполне достаточно полномочий для эффективного выполнения своих обязанностей (48% опрошенных с этим не согласны, а 13% затруднились дать оценку).
На фоне неплохих организационных позиций ИБ-специалистов (о чем свидетельствует статистика ответов на предыдущие вопросы) большинство участников исследования — 65% — отмечают явное недофинансирование направления ИБ в своих копаниях. Стоит также отметить, что 22% оценивают свои корпоративные ИБ-бюджеты как достаточные (13% затруднились дать оценку). Это говорит о том, что положение с материальным обеспечением ИБ в российских компаниях нельзя также считать и критическим.