На текущий момент, как это ни прискорбно, информационная безопасность для нашей страны — это чаще всего модная вещь, с не совсем понятным назначением. Для руководства, в основном, это бездонная дыра для финансирования, от которой нет отдачи, кроме слов: всё под контролем. Для сотрудников — какие-то странные люди, запрещающие пароли на бумажках записывать.
Исходя из этого непонимания складывается и все проблемы ИБ в организациях и, собственно, организации самой информационной безопасности.
Структура подчинения
Первая, самая часто встречающаяся проблема — к кому отнести информационную безопасность?
2 основных архетипа, это подчинение службе безопасности (экономической, собственной и тд) и подчинение IT.
Рассмотрим оба варианта с плюсами и минусами.
ИБ, как часть службы безопасности
Один из самых часто встречающихся архетипов, я работал во многих организациях, где дела обстояли именно так. Логика руководства понятна — безопасность же, значит к СБ.
Из очевидных минусов — разные направления, практически не пересекающиеся. Отсюда вытекает следующие — не понимание непосредственного руководства вашей работы, а, соответственно, ваших задач, потребностей и так далее. Вы просто разговариваете с ними на разных языках. Это усугубляется еще и тем, что руководство СБ, как правило, это бывшие полицейские, военные, фсбшники, и для них вы вообще полуинопланетянин.
И чаще получается, что в крупных организациях, где руководство, это, фактически, небожители, вас, как сотрудника, слушать не будут, а ваш руководитель ничего толком объяснить не сможет, ввиду того, что он сам не понимает ничего. Как результат — малое финансирование направления, сопротивление каким-либо нововведениям, фактически вас держат для «мебели», что бы было кому отвечать за безопасность по 152 ФЗ или отраслевому стандарту.
Из плюсов — полномочия у СБ, как правило, очень высокие. Будут открыты многие двери и много что будете знать.
ИБ, как часть ИТ
В таком случае главное препятствие — конфликт интересов. Работа ИБ, в частности, это контроль за выполнением айтишниками правил, предписаний и регламентов. При проведении аудита, опять же, в случае невыполнения каких-то пунктов отделом ИТ может быть не подписан протокол руководителем и так далее. И опять же вопрос с различием направлений, так как информационная безопасность имеет лишь опосредованное отношение к ИТ. Большая часть с ИТ не совсем стыкуется.
Из положительных моментов — горазд проще внедрение каких-то систем, фактически исполнители у вас под рукой.
В любом из этих архетипов есть проблема пассивного сопротивления из-за количества уровней согласования. В худшем случае (из собственного опыта) вертикаль согласования выглядит так:
- Сотрудник создает документ
- Согласовывает непосредственный руководитель
- Согласовывает директор департамента
- Согласовывает заместитель генерального директора
- Подписывает генеральный директор
Каждый из этапов занимает какое-то время, причём с повышением уровня согласования это время растёт в прогрессии. В результате документы могут висеть довольно долго, ситуацию спасет система электронного документооборота, но не на 100%.
В идеале — подчинение непосредственно генеральному или первому заму, как вариант — заму по безопасности. Самое шикарное — это, конечно же, зам по ИБ, но такое я на просторах России не встречал. В таком случае можно получить плюсы первого варианта, при сокращении вертикали согласования и времени принятия решения.
Непонимание
Вторая проблема, из которой частично вытекает и первая — непонимание в полной мере руководством вашей работы, равно как и целей, задач и решений.
Отсюда проблема финансирования службы, торможение проектов и каких-то внедрений и другие неприятные факторы.
Вообще проблема часто встречается и в ИТ и вытекает из того, что айтишники и безопасники, как правило, не умеют разговаривать с бизнесменами. У нас свой язык, понятный нам и легко интерпретируемый нами же для нас. Проблема в том, что с бизнесом надо говорить на языке бизнеса, при том не абстрактными понятиями вроде «высокий», «низкий» и тд, а более конкретными, выраженными в процентах, например, или лучше в конкретных суммах.
Конечно, что бы объяснить генеральному или коммерческому директору выгоду от внедрения той или иной системы безопасности нужно заморочиться и посчитать возврат инвестиций от её внедрения. Это осложняется тем, что ИБ напрямую прибыль не приносит и нужно считать выгоду от нереализованных потерь.
Как пример: в конторе вирусная атака. Заражены 20 компов, из них 5 в стадии умирания. Есть админ Вася, с зарплатой 44000 р. Вася лечил 15 компов 5 часов и перезаливал 5 убитых еще 3 часа. Итого потрачен 8-ми часовой рабочий день на восстановление работы. В среднем у Васи зарплата 2000 р. в день (44000 р. / 22 рабочих дня в месяце), следовательно мы потеряли 2000 р. из-за атаки.
И на этом расчёте можно было бы остановиться, но те люди, чьи компьютеры пострадали, так же были ограничены в рабочих инструментах, то есть в течении 5 часов постепенно восстанавливались 15 рабочих мест и еще 3 часа — 5 рабочих мест. И эти люди тоже получали зарплату за время простоя, или они делали презентацию для клиента или коммерческое предложение.
Таким образом руководство должно получить, фактически, выбор между 2-мя или более альтернативами:
- как было раньше и с какими затратами мы будем сталкиваться каждый раз при повторении
- сколько нам нужно потратить, что бы этого не повторялось (в кооперации с первым пунктом — через какое время мы отобьём цену решения в отношении к потерям от нереализованных рисков)
- еще один вариант решения, промежуточный, но с не менее точным расчётом
Итог
Неутешительным итогом, в данном случае, будет служить непреложная истина — хороший специалист не есть хороший руководитель. Управление отделом это не то же, что и управление системой информационной безопасности, пусть даже тут работа и связана с людьми на 90%. Но, по большому счёту, набив шишек на построении СУИБ, наобщавшись с руководством и коллегами, специалист ИБ на 50% будет готов к руководству собственным отделом ИБ, остальные 50% — это учебники по менеджменту, ITIL и подобные практики, ну и, конечно же, опыт!
Автор: BeaVisS