модели построения отношений между службами информационной безопасности и IT

Как известно, в настоящее время сложилась ситуация, когда во многих компаниях затруднена работа между этими службами из-за внутренних конфликтов. Чтобы проанализировать ситуацию, давайте рассмотрим основные варианты организации службы информационной безопасности внутри компании, а также недостатки и преимущества этих вариантов. У всех конфликтов есть источники, и они также будут проанализированы в рамках данной статьи, равно как и потенциальные опорные пункты, которые могут помочь избежать этих конфликтов.

Далеко не каждая компания может себе позволить в сжатые сроки провести реорганизацию службы информационной безопасности, поэтому очень важным моментом является то, как должна работать эта служба в неидеальном варианте организации.

Всего можно рассмотреть шесть вариантов организации службы информационной безопасности (далее служба ИБ):

1. Один или несколько специалистов внутри IT-департамента.

2. Один или несколько специалистов внутри департамента безопасности.

3. Один или несколько обособленных специалистов, подчиненных топ-менеджменту.

4. Обособленная структура внутри IT-департамента.

5. Обособленная структура внутри департамента безопасности.

6. Обособленная структура, подчиненная топ-менеджменту.

Рассмотрим вкратце каждый вариант.

Первым и самым простым является наличие одного или нескольких специалистов, специализирующихся на ИБ внутри ИТ-службы. Это наиболее естественный способ организации, который приходит в голову руководителям исходя из сложившихся стереотипов о том, что информационная безопасность – это всего лишь часть процесса обеспечения ИТ. Если в компании не происходит инцидентов безопасности, связанных с подчиненной позицией сотрудников по ИБ, то компания по мере своего роста переходит к следующему этапу эволюции – оформлению службы ИБ как отдельной структуры внутри ИТ-службы. Этот вариант лучше только тем, что работа по обеспечению ИБ выделяется уже как существенная функция среди прочей деятельности ИТ. Выделяется больше ресурсов, как человеческих, так и финансовых. Это позволяет сделать больше и провести более качественную работу, но, тем не менее - там, где нужен паритет, учет обоих мнений, поиск компромисса, компания имеет отношения власти-подчинения, которые плохо сказываются на общем процессе создания комплексной системы обеспечения информационной безопасности.

Итак, давайте подведем итоги по варианту организации работы по направлению информационной безопасности внутри ИТ-службы.

Преимущества:

- данный вариант легко реализуем, поскольку основывается на общих стереотипах;

- возможность работы напрямую во внутренних или внешних ИТ-проектах чтобы способствовать внедрению требования по безопасности на этапе реализации;

- интеграция с ИТ.

Недостатки:

- консультационный режим работы;

- подчиненное положение по отношению к ИТ. ИБ рассматривается как часть ИТ, что влечет за собой отсутствие комплексного подхода. А между тем, как известно, общий уровень защищенности оценивается по самому слабому звену. В случае если ИБ воспринимается как часть ИТ-направления, вопросы работы с пользователями, безопасности информационных потоков, безопасности бизнес-процессов и другие организационные и юридические моменты так и останутся неучтенными и будут слабым звеном. Это происходит потому, что у ИТ-профессионалов достаточно узкое представление о том, что такое информационная безопасность;

- остаточное финансирование.

Следующие два варианта описывают варианты создания службы ИБ внутри службы общей безопасности. Такая ситуация возникает чаще всего в государственных организациях или в крупных коммерческих компаниях, где развита служба общей безопасности и значимы вопросы экономической и физической безопасности. Основным недостатком этих вариантов является непонимание проблем ИБ непосредственным руководством. Интересным моментом является то, что если внутри ИТ внимание не уделялось одной категории вопросов, то в данном варианте это будут совсем другие вопросы (в традиционных службах безопасности людям и угрозам от них уделяется традиционно большое внимание). Но результат один – и в том и в другом варианте неучтенным остается целый пласт проблем.

Преимущества:

- этот вариант также легко реализуем, поскольку основывается на другом распространенном стереотипе руководства;

- при подобном подходе есть возможность создания пласта организационных мер, способствующих повышению общего уровня защищенности.

Недостатки:

- консультационный режим работы;

- непонимание проблем ИБ непосредственным руководством;

- усложнение работы с ИТ-службой;

- остаточное финансирование.

Интересным вариантом, который следует рассмотреть отдельно, является случай, когда в качестве службы ИБ есть один или несколько человек, подчиняющихся напрямую топ-менеджменту. На мой взгляд, этот вариант является наилучшим для компаний, которые относятся к среднему и малому бизнесу и которые пока не готовы в организации полноценной службы ИБ. Основным условием здесь является наличие подготовленного менеджера по информационной безопасности, способного решать как аналитические, так и внедренческие задачи по всему спектру вопросов информационной безопасности.

Для создания процесса управления информационной безопасности в данном варианте должны использоваться ресурсы других подразделений и служб, в том числе ИТ-службы.

Преимущества:
- контакт с топ-менеджментом;

- паритетное положение с ИТ.

Недостатки:

- отсутствие структуры, зависимость от чужих человеческих ресурсов;

- отсутствие собственной бюджетной статьи;

- данный вариант не подходит для крупных организаций.

служба ИБ как независимая структура

Наконец, мы подходим к наилучшему варианту, когда служба ИБ организована в виде полноценной независимой структуры, подчиняющейся топ- менеджменту. Однако даже при таком наилучшем варианте остается проблема взаимодействия с другими службами, а прежде всего – с ИТ. Давайте рассмотрим основные источники возможных конфликтов.

1. Разделение функций ИБ. К сожалению, работа по направлениям ИТ-обеспечения и информационной безопасности несет в себе потенциальное разделение функций, касающихся информационной безопасности. Как известно, целью информационной безопасности является обеспечение конфиденциальности, доступности и целостности информационных ресурсов компании. К сожалению, часто приходится наблюдать, как эти функции разделяются. Обеспечение целостности и доступности считается прерогативой ИТ-службы, а службы ИБ занимается только вопросами конфиденциальности. Часто это вызвано общим ошибочным мнением, состоящим в том, что информационная безопасность – это, прежде всего, обеспечение секретности. Подобное разделение мгновенно вызывает конфликт интересов между ИТ и ИБ вместо поиска баланса. На самом деле конфиденциальность, целостность и доступность могут
рассматриваться только в комплексе, поэтому обеспечение этих свойств информационных ресурсов должно рассматриваться как единая цель для ИТ и ИБ. Разделение должно быть не в функциях, а в масштабах выполнения этих функций. Для ИТ-службы это, прежде всего, автоматизированные информационные системы, а для ИБ – вся компания, вместе с ее людьми, информационными системами, бизнес-процессами, контрагентами, информационными потоками, которые могут воплощаться не только в электронном виде. Именно поэтому служба ИБ считается выставляющей требования по отношению к ИТ, поскольку эти требования должны вписываться во всю систему обеспечения информационной безопасности компании.

2. Контроль и исполнение. Следующим источником конфликтов, который мы рассмотрим, является естественный конфликт между исполняющей и контролирующей службой. В случае, если работа и взаимодействие между ИТ- и ИБ-службами построена так, что для ИТ-службы информационная безопасность – это то, что мешает им делать свою работу, а службе ИБ приходится играть роль «полицейских», то это плохо отражается на общем процессе. Здесь свою роль играет человеческая природа. Подобная ситуация провоцирует то, что «исполняющие» пытаются уходить от контроля, а «контролирующие» ужесточают контроль. И все это вместо того, чтобы достигать общих целей.

3. Битвы за бюджет. Пресловутые битвы за бюджет, вошедшие в историю как основная причина конфликтов между ИТ и ИБ, по сути являются очень странной ситуацией. Можно еще предположить реальность этого для крупных корпораций, где службы и департаменты далеки друг от друга. Но почему-то в этих конфликтах не упоминается то, что на самом деле речь идет о построении единой, целостной и гармоничной ИТ-инфраструктуры. У служб информационной безопасности и информационной технологий нет отдельных и обособленных собственных инфраструктур. И в этом случае конфликт выглядит неуместным.

4. Внедрение требований. Следующий рассматриваемый источник конфликтов выявляется при выставлении службой ИБ своих требований к среде, подчиненной ИТ. Очень часто в компаниях создается атмосфера, когда работа служб ИБ сводится к выставлению требований к ИТ-инфраструктуре. Естественно, в такой ситуации у ИТ-службы возникает негативное отношение к информационной безопасности в целом и службе ИБ в частности. Кроме того, им кажется, что им мешают работать, что во многом будет правдой при таком стиле работы.

Однако требования безопасности к ИТ-инфраструктуре должны быть зафиксированы в политике безопасности (под политикой безопасности в рамках данной статьи понимается весь пакет документов, регламентирующих работы системы управления информационной безопасности компании). В разработке этих требований ИТ-служба должна участвовать непосредственно наравне со службой ИБ. Споры в такой ситуации сводятся к поиску конкретной реализации и практическим тонкостям выполнения зафиксированных требований по отношению к отдельной ИТ-задаче или проекту. Основным условием здесь является консенсус между ИТ и ИБ в отношении реализации требований, ведь в противном случае они могут быть реализованы таким образом, который может повлечь за собой ущерб бизнесу компании.

5. Борьба за статус и последнее слово. Когда две службы воспринимают друг друга как конкурирующие или враждующие, естественным образом начинается борьба за последнее слово. Следствием такого стечения обстоятельств является то, что в каждой отдельной ситуации последнее слово останется только за одной из сторон. С большой долей вероятности «последнее слово» любой из сторон не будет учитывать требования бизнеса и его безопасности в целом и может повлечь за собой ущерб.

предпосылки к эффективному взаимодействию

Информационная безопасность – это деятельность, направленная на упорядочивание и обеспечение большей устойчивости бизнеса в части информационных ресурсов, которые для него необходимы. Подобный подход позволяет достичь взаимопонимания и эффективного взаимодействия между службой ИБ и другими связанными с ней подразделениями, в чем мы убедимся далее.

Работа по созданию системы управления информационной безопасностью несет позитивные последствия для обеих сторон (для ИТ- и ИБ-служб). К ним можно отнести следующее:

- упорядочивание ИТ-инфраструктуры. Подобное упорядочивание часто является следствием инвентаризации и анализа рисков, что предшествует любому циклу работ по информационной безопасности;

- повышение осведомленности пользователей. Более предсказуемое и адекватное поведение пользователей часто является следствием проводимых с ними тренингов и инструктажей по информационной безопасности и облегчает работу ИТ-служб по их сопровождению;

- объединение в битвах за бюджет. Например, если для одного из ИТ-проектов необходимо дорогостоящее оборудование с расширенным функционалом, служба ИБ может помочь ИТ в обосновании затрат своей резолюцией на основании того, что у этого оборудования более развиты в том числе и функции безопасности;

- повышение уровня доступности, целостности и конфиденциальности информационных ресурсов. На мой взгляд, неправильно, когда эти три свойства информационных ресурсов рассматриваются исключительно как часть информационной безопасности. Неужели для ИТ-службы не нужно, чтобы все работало так, как оно должно работать? Чтобы пользователи получали то, что им нужно в том виде, на который они рассчитывают? Чтобы их не хакнули собственные любопытные сотрудники? Нужно. Очень даже нужно. Служба ИБ помогает ИТ-службе достичь защищенности ИТ-инфраструктуры. Отличие ИБ от ИТ заключается не в том, что ИБ занимается конфиденциальностью, а ИТ – целостностью и доступностью, а в том, что ИБ также распространяет эти три требования на все бизнес-процессы компании, связанные с обработкой информационных ресурсов.

Итак, при таком подходе ИБ и ИТ - это взаимодействующие структуры, имеющие общие интересы, но разную специализацию; они могут объединяться для достижения общих целей; у них дополняющие друг друга функции.

Лучшее, что могут сделать ИБ- и ИТ-службы – это относиться друг к другу как бизнес-партнерам. Для рассматриваемых трех вариантов организации службы ИБ это выливается в следующее.

Если ИБ – это внутренняя структура ИТ, то лучшее, что можно и нужно вынести из этой структуры – это тесная интеграция и мгновенная реализация в рамках других ИТ-проектов вопросов безопасности. При таком раскладе требования безопасности могут учитываться напрямую в концепции развития ИТ и в планировании отдельных проектов.
Если ИБ – это внутренняя структура общей службы безопасности, то лучшее, что можно и нужно вынести из этой структуры - это интеграция между информационной, экономической, физической безопасностью, а также реализация обучения и контроля за пользователями.

Если ИБ – это обособленная структура, то можно построить полноценную систему управления ИБ, взаимодействуя с другими службами. Эта схема обладает наибольшим потенциалом. Для решения конфликта на данной стадии необходимо прийти к единому подходу и найти точки взаимовыгодного сотрудничества с ИТ, а также с другими подразделениями, такими как служба общей безопасности, кадровая и юридическая службы.

Разрешения и урегулирования конфликтов с ИТ-службой можно достичь, если следовать следующим простым правилам:

- политика безопасности и другие документы, касающиеся ИТ-инфраструктуры, должны согласовываться с ИТ-службой, а желательно – и разрабатываться с их участием;

- изменения в ИТ-инфраструктуре должны согласовываться со службой ИБ;

- функции служб должны быть зафиксированы, средства их реализации должны быть доступны. При этом функции должны быть не просто разделены, а должен быть налажен процесс, в котором эти функции реализуются и обеспечены средства его реализации. В построении процесса взаимодействия нужно придерживаться принципов прозрачности и простоты;

- службы должны осознавать общие цели и решать их сообща;

- у ИТ и ИБ должен быть общий руководитель из топ-менеджмента для разрешения спорных вопросов.

Конфликты служб чаще всего возникают при проблемах управления. При налаженном взаимодействии и компромиссном подходе именно в управлении этими службами можно достичь гораздо более эффективных результатов.



Смородникова Евгения, CISO МУП «РКЦ г. Новосибирска». Впервые опубликовано на Security Lab


Сетевые решения. Статья была опубликована в номере 04 за 2007 год в рубрике PRIcall

©1999-2024 Сетевые решения