Направлять эту работу, формировать концепцию, разрабатывать стратегию, политики, положения, регламенты и правила, вырабатывать и реализовывать комплекс мероприятия, а также осуществлять контроль – это отдельный функционал, которым кто-то должен озаботится.
В маленьких компаниях – это выпадает на долю ИТ-шников, поскольку они не могут себе позволить другого по экономическим соображениям. Но там и риски невелики, да и ограничивается все, как правило, настройкой сетевого экрана, установкой антивируса, ну и созданием некоторых ролей регламентирующих доступ к ресурсам.
Но рано или поздно приходит время для создания службы информационной безопасности (СИБ), как отдельного подразделения. И сразу возникает вопрос: а где ее место? Мое мнение однозначное – в службе безопасности, а не в ИТ. Безопасность вопрос комплексный и решать его нужно комплексно и информационная – это только небольшой кусочек, которым заниматься автономно непродуктивно.
При этом нужно понимать ряд моментов:
– ИТ-шники – это серьезная группа риска с точки зрения информационной безопасности и за ними будет особый надзор
– ИТ-шники во многом являются подрядчиками СИБ, реализуя то, что они напридумывают и работая по их правилам
– ИТ-шники являются прокладкой между пользователями и СИБ и принимают на себя весь негатив закручивания гаек
Нужно сразу правильно выстраивать взаимоотношения между ИТ и СИБ. Правильно организованное взаимодействие между этими подразделениями может принести существенную пользу. В моем понимании правильное – это когда СИБ помогает сформировать правила и контролирует их исполнение через аудиты и другие контрольные мероприятия. А вот перетягивание функций администрирования, даже в минимальном объеме – это в конечном итоге рано или поздно приводило к нехорошим последствиям. Был случай когда чуть ли не день разбирались с проблемами, когда безопасность, которая заведовала антивирусом, перекидывалась мячом с админами, занимавшимися сетью.
Вообще, когда говорят об информационной безопасности первое, что приходит на ум – это возможность кому-то несанкционированно скопировать и передать кому-то некие данные. По факту и у нас были утечки данных и нам приносили данные других организаций, но вот сказать. что это принесло какой-то существенный вред или пользу я не могу. В свое время, когда Галицкому предложили построить систему, которая бы обеспечила супербезопасность он сказал: “Ну украдут у меня данные о моих продажах и остатках. И что они будут с ними делать? Я сам периодически не знаю как их можно использовать”. И я с ним по большому счету согласен. Утечка данных для некоторых компаний – это минимальный риск. Безусловно есть очень критичная информация, но решить вопросы ограничения доступа к ней – это по нынешним временам задача тривиальная. А что касается операционных данных, то убиваться, применяя технические средства для их защиты и выстраивая суперсистемы, тратя огромные деньги особого смысла нет. Когда у всех под рукой мобильный телефон с камерой, снять информацию используя монитор – это задачка для ребенка детсадовского возраста. При этом сказанное мной не означает, что нужно вообще расслабиться и ничего не делать. Вопрос соответствия затрат и рисков.
