Служба ИБ должна подчиняться СБ / СЭБ

Служба ИБ должна подчиняться СБ / СЭБ
Прошлая заметка  про подчиненность ИБ ИТ вызывала шквал откликов и комментариев и в блоге, и в ФБ. Разброс мнений оказался ну очень широкий. Кто-то считает, что ИБ еще незрела у большинства компаний и поэтому ей самое место в более развитой ИТ. Многие закономерно считают, что контролерам не место под контролируемыми и поэтому ИБ надо выносить за скобки ИТ. Куда выносить? Часть считает, что вся Европа давно перешла на ИБ внутри системы внутреннего контроля (у нас, кстати, и отдельные документы Банка России говорили, что информационная безопасность - это часть СВК). Кто-то считает, что надо выносить под службу безопасности. Вот про этот вариант мы и поговорим сегодня.

Действительно ли ИБ место в службе безопасности или экономической безопасности? Это второй стереотип, связанный с ролью ИБ на предприятии. Если есть слово "безопасность", то значит надо отдать ее в СБ, которая занимается всеми аспектами безопасности на предприятии - физической, экономической и... информационной. Вроде бы логично и в Интернете можно найти немало картинок такой структуры:

или вот (для банка):
В принципе это вполне себе работоспособный вариант и во многих отечественных компаниях, особенно государственных, он и реализуется. На Западе и в Азии я особо таких случаев не встречал. Кстати, интересное наблюдение - дискуссии на тему "ИБ под ИТ" и на Западе, и в России являются очень популярными, а вот обсуждения подчиненности ИБ под службой безопасности практически не проходят.

Минусов у такого сценария хватает. Хотя задача у СБ и ИБ общая (обеспечение безопасности), миры физические и виртуальные пересекаются слабо и поэтому задачи, решаемые ИБ, не всегда понятны руководителю СБ. Зачастую у него и квалификации не хватает для этого. Все-таки у нас часто главой СБ назначают бывшего оперативника, следователя или сотрудника ФСБ, которые имеют очень поверхностное представление о том, чем должна заниматься ИБ. С другой стороны есть и плюсы. Акцент на работе с людьми, определенный авторитет (с СБ мало кто любит спорить), решение оргвопросов, взаимодействие с правоохранительными органами, борьба с инсайдерами... Но и конфликтов с ИТ не избежать...


Отсюда очередной вывод. Под службой безопасности ИБ тоже будет не очень хорошо, пусть и оргмерам и работе с людьми уделяться внимания будет гораздо больше, чем в ИТ. Опять тупик. Куда же податься CISO со своим отделом или службой? На самом деле ответ на этот вопрос прост, как это не странно. Все зависит от целей создания службы ИБ. Отсюда сразу будет вытекать место ИБ в иерархии. Например, если от ИБ требуется только compliance, то и место ей у юристов, а не в ИТ или СБ. Я сейчас не готов обсуждать вопрос, зачем нужна ИБ, которая занимается только compliance? Такие варианты тоже бывают; не часто, но бывают. В следующей заметке я попробую поставить точку в этой серии заметок, посвященных подчиненности ИБ на предприятии.

Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!