1675
Еще раз о месте и роли ИБ в компании
Среди специалистов по ИБ на разных медиаресурсах, конференциях и форумах периодически возникают дискуссии о значимости ИБ для бизнеса. Опытные защитники информации уже знают, что ИБ – затратное направление и не принесет большинству компаний профита.
Но в ряды спорящих постоянно вливаются новые молодые специалисты, которым, конечно, хотелось бы, чтобы отрасль ИБ была флагманом бизнеса и ей уделялось если не первостепенное, то хотя бы значительное внимание со стороны руководителей предприятий и остального персонала. От этого внимания существенно зависит бюджет, выделяемый на ИБ (мы здесь не рассматриваем компании, у которых оказание услуг в сфере обеспечения ИБ является основным (или одним из приоритетных) видов деятельности).
В обоснование тезиса об особой важности ИБ для любой компании обычно приводятся весомые аргументы:
· выводы проведенного анализа рисков, который делается по различным стандартам и нормативным документам регуляторов отрасли ИБ;
· прямые рекомендации стандартов, которые указывают на необходимость нахождения руководителя направления ИБ на позициях высшего руководства компании;
· Указы Президента РФ № 250 (2022 г.) и № 500 (2024 г.), определяющие организационное и техническое обеспечение ИБ и противодействие кибератакам для органов власти, госфондов и госкорпораций, а также организаций, являющихся объектами КИИ.
Конечно, для всех специалистов по ИБ эти аргументы (особенно последний) являются весьма существенными, для того чтобы воплотить в жизнь давнюю мечту безопасников о существенном повышении статуса и позиции ИБ в структуре управления любой компании. Однако, к сожалению, более чем 30-летний опыт работы в ИБ подсказывает автору настоящей статьи, что реализовать это в полном объеме будет весьма сложно. Собственно, к этому выводу нас подводит и необходимость принятия подряд (в 2022-м и 2024 гг.) двух приведенных выше указов Президента РФ, в которых позиция руководителя (ответственного) направления ИБ определена на уровне заместителя руководителя компании. Надо полагать, что данные законодательные новшества были приняты в том числе из-за того, что работникам отрасли ИБ за долгие годы не удалось реализовать эти очень важные и нужные инициативы в добровольном, так сказать, порядке на большинстве предприятий.
Попробуем понять причины такого положения вещей. Возьмем для примера предприятие среднего бизнеса, не связанного напрямую с ИБ. Также будем предполагать в нашем примере, что это предприятие не является объектом КИИ, и анализ рисков показал, что рассматриваемое предприятие, как и другие аналогичные компании данной отрасли, не представляют особого интереса для хакеров, поскольку каких-либо значимых кибератак на него в обозримом прошлом не было зафиксировано.
Текущие вопросы обеспечения ИБ предприятия обычно решает небольшое подразделение ИБ. При таких условиях аргументированно обосновать необходимость поднятия позиции руководителя ИБ до уровня заместителя генерального директора будет весьма проблематично. Также трудно будет обосновать необходимость увеличения бюджета подразделения ИБ.
Весьма непросто окажется и решать вопросы выполнения работниками предприятия требований ИБ. Практика показывает, что функциональные работники весьма критически воспринимают эти требования. Они считают (и в некоторых случаях достаточно аргументированно), что подразделение ИБ мешает им решать свои задачи, затрудняет и тормозит выполнение ими своих функций, ухудшает параметры работы информационных систем за счет ограничений, которые появляются из-за работы средств защиты информации. И это также часто справедливо.
Поэтому работникам ИБ приходится искать особые подходы, чтобы обеспечить выполнение сотрудниками требований ИБ. Такие отношения явно не способствуют повышению авторитета службы ИБ. И только в случае возникновения каких-либо происшествий в области ИБ (кибератаки, атаки шифровальщиков, проникновение в периметр компании другого зловредного ПО и т. п.) работники ИБ выходят на первый план. В таких случаях им обычно выделяют дополнительный бюджет и всячески способствуют ликвидации инцидента. Но спустя некоторое время, когда инцидент ИБ исчерпан, все возвращается «на круги своя». Фактически возникает парадоксальная ситуация: все предприятие страдает из-за возникшего инцидента ИБ, а служба ИБ – фактически выигрывает. Ее замечают, дают бюджет для усиления безопасности информации и могут даже повысить ее статус.
Впрочем, для большинства предприятий такой форс-мажор возникает крайне редко, и поэтому объективно функция обеспечения ИБ не может быть одной из основных функций. Она – по определению затратна и в большинстве случаев напрямую не приносит прибыли. И это – объективная реальность, которая существует уже не один десяток лет.
Конечно, в бюджетных учреждениях и предприятиях, а также на объектах КИИ принимаются (или уже реализованы) меры по усилению позиций руководителя ИБ и, при необходимости, по увеличению уровня финансирования ИБ. Все это – согласно требованиям по обеспечению на таких предприятиях необходимого уровня ИБ, соответствующего, в свою очередь, требованиям законодательных актов, принятых в РФ, а также результатам анализа информационных рисков. Однако вполне можно допустить случаи формализма, когда на позицию заместителя руководителя организации по ИБ не назначают нового сотрудника – высококвалифицированного специалиста, а просто добавляют функцию ИБ одному из уже имеющихся замов, например, заместителю, курирующему безопасность или ИТ. Конечно, подобное формальное решение полностью не решит проблему. Здесь целесообразно назначение на эту позицию действующего руководителя ИБ, у которого эта позиция будет основной.
Только такого рода подход к решению задач ИБ может дать ожидаемые результаты и поможет снизить риски нанесения мошенниками значимого ущерба защищаемому предприятию.
