Штат любого подразделения определяется исходя из необходимости решения задач, поставленных перед таким подразделением. Функции службы информационной безопасности (ИБ) могут очень сильно различаться от предприятия к предприятию. ГОСТ Р ИСО/МЭК
Таким образом, к функциям менеджера по ИБ (или соответствующей службы, если позволяют размеры организации) относятся вопросы координации деятельности «заинтересованных сотрудников», в том числе «владельцев активов, ответственных за их повседневную защиту». Кроме того, координация проблем ИБ должна включать в себя сотрудничество и участие менеджеров, пользователей, администраторов, разработчиков прикладных программ, аудиторов и персонала, занимающегося безопасностью, а также специалистов в области страхования, правовых аспектов, кадровых ресурсов, информационных технологий или менеджмента риска.
Формулировки, содержащиеся в ГОСТе, определяют необходимость наличия в организации очень серьезного менеджера, обладающего достаточно глубокими знаниями бизнеса предприятия и навыками эффективной коммуникации как по вертикали (от топ-менеджмента до рядовых исполнителей), так и по горизонтали (с представителями разных областей бизнеса и сервисных структурных подразделений). Неудивительно, что профессиональный стандарт менеджера по ИБ не разработан. Специалисты, способные выполнять эту роль, должны иметь очень высокую стоимость. Если это не так, то скорее всего на позиции руководителя службы ИБ находится «зицпредседатель Фунт», основная функция которого принимать на себя последствия неисполнения требований по защите информации иными работниками предприятия.
В некоторых организациях в состав служб ИБ включают так называемых администраторов средств защиты информации, то есть лиц, в должностные обязанности которых входит функция внесения изменений в настройки таких средств. Руководитель такой службы ИБ не имеет никакого отношения к понятию «Менеджер по ИБ» из рассматриваемого выше ГОСТа, но, к счастью, и «зицпредседателем» он уже не будет являться. Он скорее будет выполнять роль старшего мастера, то есть инженера, но не менеджера по ИБ.
Казалось бы, вот оно реальное место и роль службы ИБ в структуре бизнеса организации. Тем более, что такое понимание роли службы ИБ закладывается в некоторых отраслевых стандартах по обеспечению информационной безопасности. Вот и соответствующие профессиональные стандарты на таких специалистов по компьютерной безопасности разработаны и приняты (приказы Минтруда России от 15.09.2016 № 522н, 01.11.2016 № 598н и № 599н, 03.11.2016 № 608н, 09.11.2016 № 611н). И плевать на это непонятное иностранное слово «менеджмент». Мы по традиции пойдем своим путём. Зачем нам управлять ИБ, мы сейчас навнедряем всяческих средств защиты информации и в полном соответствии с профессиональным стандартом будем их обслуживать. Чем вам не безопасность?
Но в настоящее время сложно встретить какое-либо ПО или средство вычислительной техники, которое бы не включало в себя реализацию тех или иных функций защиты информации. В то же время так называемые выделенные средства защиты информации, то есть такие компоненты информационной инфраструктуры, основной функцией которых является реализация каких-либо мер защиты информации, но не её обработка, либо оказывают существенное влияние на функционирование средств обработки информации, либо начинают предоставлять какие-нибудь информационные сервисы. Например, современные межсетевые экраны способны осуществлять перенаправление информационного потока на основании распознавания приложения, которое формирует этот поток. Эта функция активно используется для решения задач оптимизации использования мощностей серверного оборудования.
Таким образом, между администраторами средств защиты информации, находящимися в структуре службы ИБ, и сотрудниками ИТ-подразделений постоянно возникает конфликт интересов, который, как правило, выводится на уровень топ-менеджмента организации и вызывает у них совершенно справедливое раздражение. Конфликт интересов в большинстве случаев решается на основании субъективных соображений, то есть на основании величины административного ресурса (уровня приближенности к топ-менеджеру) руководителей подразделений безопасности и ИТ. Вне зависимости от принятого решения первопричина конфликтной ситуации не устраняется, что создает постоянную напряженность во взаимоотношениях служб ИТ и ИБ.
А рецепт решения проблемы прост. Не включайте в состав службы ИБ специалистов, обеспечивающих функционирование сервисов. Любых сервисов. Служба ИБ, как и все прочие подразделения, потребляет сервисы, предоставляемые ИТ-подразделениями. Последние являются исполнителями по предоставлению сервисов, связанных с бесперебойным функционированием средств защиты информации, работникам службы ИБ, но не наоборот. Да и профессиональный стандарт специалиста по компьютерной безопасности включен в раздел специалистов по связи, информационных и коммуникационных технологий, а не обеспечения безопасности. Специалист по компьютерной безопасности должен, в соответствии со своим профессиональным стандартом, уметь обслуживать, настраивать (администрировать) и даже разрабатывать средства защиты информации и информационные системы в защищенном исполнении, а также оценивать их эффективность с точки зрения затрат на их содержание, производительности, поддерживаемых и реально задействованных функциональных возможностей. Это все нужно, но это функции службы ИТ, ведь для службы ИБ средства защиты информации являются такими же инструментами, как для бухгалтера какая-нибудь «1С-Бухгалтерия». Разве администрирование бухгалтерской информационной системы осуществляется силами бухгалтеров?
Служба ИБ не является сервисным структурным подразделением, в её функции не входит предоставление иным подразделениям сервисов ИБ, что бы не понималось под этим понятием. Реализация мероприятий по обеспечению ИБ осуществляется всеми сотрудниками организации от топ-менеджера до рядового работника, что прописывается в их должностных обязанностях и закрепляется в трудовых договорах. На службу же ИБ или, в зависимости от размеров организации, на менеджера по ИБ возлагаются функции организатора и координатора. Служба ИБ — это управляющее структурное подразделение, а не сервисное.
Определённая часть экспертного ИБ-сообщества может мне возразить, что передача функции администрирования средств защиты информации в ИТ-подразделения снизит уровень защищенности организации, так как администраторы ИС выйдут из-под контроля. Спешу возразить, что уровень защищенности организации определяется не только уровнем обеспечения конфиденциальности информации, но прежде всего показателями эффективности и непрерывности бизнеса. Из этих соображений целесообразно назначение ответственности за надежность всех элементов информационной инфраструктуры предприятия одному лицу, а не размывать ответственность за совокупный риск нарушения непрерывности функционирования ИС наличием элементов, за которые отвечают разные подразделения, которые подчиняются порой разным топ-менеджерам. А решение вопроса контроля администраторов ИС лежит в плоскости организационных мероприятий, а не выстраивания искусственных ограничений их трудовой деятельности. Каждый работник ИТ-подразделения должен обладать абсолютным пониманием, что любое их «доброе дело», совершенное в обход установленного порядка, не останется безнаказанным. И самое большое наказание последует за попытку сокрытия фактов своей деятельности. Потертый лог — серьезнейший инцидент ИБ, за которым должны следовать самые серьезные управленческие решения.
Организационные мероприятия могут быть реализованы только по схеме сверху вниз. Совершенно не обязательно подчинять службу ИТ менеджеру по ИБ, но руководитель организации должен требовать исполнения ИБ-политик от всех работников, в том числе от службы ИТ. Служба ИБ может помочь сформулировать правила безопасной работы с информацией в подразделениях, а также предоставить соответствующим руководителям сведения о нарушениях установленных правил, но требовать исполнения этих правил от подчиненных должен кто-то один. Принцип единоначалия не должен нарушаться. Нежелание руководителя подразделения или руководителя организации вникать в вопросы ИБ, сваливая их в полном объеме на службу ИБ, не приводит ни к чему хорошему.
В настоящее время у большинства владельцев бизнеса возникает мысль о необходимости обеспечения информационной безопасности, но понимание того, что служба ИБ в принципе нужна, идет рука об руку с полнейшим недопониманием, зачем она нужна. В результате в штатной структуре организации возникают искусственные новообразования без понятных владельцам бизнеса задач. Если менеджер по ИТ организации достаточно разумен и пользуется уважением руководства, то сервисы ИТ в службу ИБ передаваться не будут. В таком случае сотрудники подразделения ИБ занимаются клепанием инструкций, положений, регламентов и прочих документов, которые призваны, в случае какой-нибудь проверки, показать, что на предприятии работа в области информационной безопасности ведётся. С этой же целью на службу ИБ возлагается задача по сочинению ответов на запросы по вопросам защиты информации от регуляторов или особо активных граждан. Хуже всего то, что практически все нормативные документы по обеспечению ИБ в организации пылятся на полках. Большинство сотрудников не то что не исполняет их положения, но порой не подозревает об их существовании. А причина в том, что эти инструкции должны быть разработаны не службой ИБ, а самим линейным бизнес-подразделением, под чутким руководством его руководителя, несущего ответственность за функционирование соответствующего бизнеса-процесса и эффективное использование вверенных ему активов. Менеджер по ИБ и подчиненные ему эксперты службы ИБ могут помочь, подсказать, разъяснить, разжевать, но не сделать этот документ вместо владельца бизнес-процесса. Иначе документ будет пылиться на полке.
Поразительно, но очень многих работников подразделений «информационной безопасности» устраивает положение дел, когда они и прочие бизнес-подразделения предприятия работают сами по себе, в разных реальностях. При этом предприятие может долго и счастливо существовать, занимать свою нишу на рынке и приносить прибыль своему владельцу. Все как бы при деле. Каждый занимается своим делом, конфликтов нет, бизнес не испытывает давления со стороны службы ИБ, а она сама работает в стол. Такая видимость бурной деятельности устраивает и руководство организации, которое видит, пусть и непонятный, но хоть какой-то результат в виде «планов по формированию планов» и многотомных отчетов по их исполнению. Устраивает она и остальных работников предприятия, которые уверены, что функция защиты информации благополучно реализуется без их участия. Но ещё больше такое положение дел устраивает нарушителей всех мастей, от банальных «несунов» собственности предприятия, до мошенников, которые щипают потихоньку, но не выходят «за рамки». И идиллия будет длиться ровно до того момента, пока такая организация не попытается выйти из отведенной ей ниши рынка или не появится некто, кому приглянется имеющийся у предприятия кусок.
Разумеется, спектр способов воздействия на организацию довольно широк, и далеко не ограничивается использованием только киберугроз, но стоимость влияния на жертву именно через бреши в ИБ стремительно снижается и, как следствие, всё чаще встречается. Служба ИБ, созданная без чёткого понимания руководством целей и задач своего существования, не в состоянии защитить организацию в случае целенаправленной атаки, хотя может долго и счастливо ежегодно обосновывать свой бюджет предоставлением никому не понятного сервиса защиты от гипотетических нарушителей, напоминая при этом больше шайку гопников, крышевавших ларьки в
Что же можно порекомендовать руководителю предприятия, который уже ощутил потребность в защите своих информационных активов, но не знает с какой стороны подступиться к этому вопросу? Безусловно, невозможно объять необъятное, включить в круг своих постоянных обязанностей еще и функцию по обеспечению информационной безопасности сложно, но ЭТО ПРИДЕТСЯ СДЕЛАТЬ! Какая бы по численности служба ИБ ни была включена в штат предприятия, это не снимет с руководителя организации ответственности за информационную безопасность. Приняв и осознав то, что ИБ придется заниматься, причем заниматься лично, руководителю организации будет значительно легче привить это понимание остальным работникам предприятия, и в первую очередь его руководящему составу. В этом случае служба ИБ будет комплектоваться экспертами-аналитиками, которые помогут руководителям всех уровней иерархии выполнять эти новые обязанности. Чем выше уровень экспертов по ИБ, тем больше обязанностей и полномочий в части управления ИБ может быть делегировано им от руководителей бизнес-подразделений. Важно понять, что сотрудники службы ИБ принимают на себя обязанности и полномочия, которые им делегировали руководители, то есть они фактически исполняют функции руководителей в части обеспечения ИБ. Было бы странно, если бы какая-либо функция руководителя высокого ранга была делегирована специалисту только с инженерными компетенциями. Менеджер по ИБ — редкая птица на рынке труда, но они есть, хотя система высшего образования их еще пока не производит.