4 Апреля, 2014

ИБ и СБ

Роман Идов
Если даже нет возможности организовать полноценный отдел ИБ, лучше отдать эту функцию службе безопасности, а не ИТ-отделу. Это, в целом, довольно очевидно, поскольку именно «айтишники» являются причиной пятой части всех ИБ-инцидентов в российских организациях. И, как бы там ни было, всё-таки обеспечение ИБ ближе к функциям службы безопасности, чем ИТ-отдела.

Проблема же, чаще всего, заключается в том, что служба безопасности не всегда владеет «предметной областью», то есть, информационными технологиями, чтобы чувствовать себя в сфере ИБ как рыба в воде. Очевидно, возникает необходимость взаимодействия отдела ИТ и СБ для того, чтобы последняя могла эффективно выполнять свои ИБ-функции. Наиболее часто руководство организации решает эту проблему, делая один отдел подчиненным другому.

Этот вариант трудно назвать удачным, и вот почему. Если отдел СБ подчиняется ИТ-отделу, то последний, в силу своих функций, начинает просто-напросто блокировать работу по обеспечению ИБ, которая представляется «айтишника» избыточной и ненужной. Вполне понятно, что в итоге имеется примерно тот же самый вариант, что и при передаче функции обеспечения ИБ просто самому ИТ-отделу. Если же, напротив, ИТ-отдел подчиняется СБ, возникает неизбежный конфликт СБ и других служб, поскольку ИТ-отдел обычно просто физически не в состоянии выполнять все задачи, которые ставит перед ним СБ, и при этом эффективно обеспечивать работоспособность других служб организации.

Равноправие отделов – тоже, в принципе, интересный, но не слишком эффективный вариант их взаимодействия, поскольку в таком случае срочные задачи, которые ставятся СБ перед ИТ-отделом, нередко оказываются в общей очереди с задачами других отделов, что приводит к утечкам информации и другим подобным инцидентам, и, как следствие, к убыткам для организации.
или введите имя

CAPTCHA
4 Апреля, 2014
Вывод то какой из всего этого? Предложения какие? Как не могли подсчитать нужный для обеспечения штат безопасников в организации так и не могут. От того и все проблемы. Одни кроят так другие эдак...
0 |
  • Поделиться
  • Ссылка
4 Апреля, 2014
А унас ...
В моей организации подчиненности между ИТ и ИБ нет. Однако в локальных НПА прописано, что запросы и требования ИБ должны выполняться всеми сотрудниками организации. Таким образом, у ИБ есть права на запросы и требования, у остальных подразделений - обязанность их исполнять.
0 |
  • Поделиться
  • Ссылка
4 Апреля, 2014
На самом деле все опять упирается в Регуляторов. Когда требования ИБ, хотя бы по отдельным вопросам станут не благими пожеланиями федеральных Законов, а действенными требованиями, за которые приходиться отвечать руководству организации по всей строгости, служба ИБ будет иметь приоритеты, наряду с бухгалтерами, аудиторами, ЭБ, …, или выше. Все сводиться к безответственности Регуляторов, которые своей «заячьей» позицией продолжают разваливать ИБ государства.
0 |
  • Поделиться
  • Ссылка