Обсуждение статьи
Модели построения отношений между службами информационной безопасности
|
27.03.2007 10:30:31
|
|
|
|
|
|
27.03.2007 10:30:33
Симпатишная статья, правда в условиях реалий немного идеализировано.
|
|
|
|
|
|
27.03.2007 12:38:51
Неплохой анализ, однако в свете последних процессных бизнес-моделей несколько устаревший.
 ИБ практически всегда друг эксплуатации, финансов и кадров и враг маркетинга, проджект-офиса и внедрения. Т.к. первым ИБ реально помогает (эти структуры, как верно замечено, склонны к максимальному порядку), а вторым "замедляет работу". ИТ тоже делится по вышеописанному принципу, тут монолитности нет. Мне кажется, что стоило бы рассмотреть еще структуру такого рода - некий комитет в составе СБ, ИБ, внутреннего финансового аудита, revenue assurance и риск-менеджмента в подчинении владельцам/набсовету (но не исполнительному менеджменту - у того приоритет в основном маркетинг). При этом не суть важно где конкретно каждое из данных подразделений находится - решения комитета выше решений исполнительных директоров. Единственная сложность - местонахождение бюджетов, но она также решаема при желании. Кстати - что касается доступности. Большинство служб ИБ открещиваются от данного аспекта не по природной ленности, а по прозаической причине размеров бюджетов на обеспечение процесса. Он по силам разве что эксплуатации, да и то обычно только при условии закладки требований по нему еще на этапе разработки/внедрения. От ИБ тут идут только требования (совместно с эксплуатацией) и контроль (в проектах и т.д.). |
|
|
|
|
|
27.03.2007 13:02:27
...процессных бизнес-моделей
...и нужна взаимосвязь со всеми служб ...трения возникают именно между IT и ИБ ...Мне кажется, что стоило бы рассмотреть еще структуру такого рода - некий комитет в составе СБ, ИБ, внутреннего финансового аудита, revenue assurance и риск-менеджмента ...бюджетов Друзья, не нужно изобретать повторно велосипед. Все уже придумано и практикуется достаточно долгое время и называется это Корпоративное Управление IT, Корпоративное Управление Информационной Безопасностью (IT Governance, Information Security Governance). |
|
|
|
|
|
27.03.2007 13:20:17
Дык - CISO? Кто-нибудь где-нибудь этого зверя в наших пенатах (негосударственных) встречал?  Я пока нет... Возможно - аудиторы больше знают и скажут. |
|||
|
|
|
|
27.03.2007 13:36:46
to Тимофей Третьяк
не понял суть вопроса |
|
|
|
|
|
27.03.2007 14:06:21
К duck - ну IS Governance в исаковском исполнении (а другие подробные есть?)
достаточно жестко предполагает введение должности CISO в состав совета директоров. Без нее все остальное логически разваливается на лозунги "директора должны печься о ИБ" и т.п. Но я еще нигде в экс-СНГ такой должности не встречал... |
|
|
|
|
|
27.03.2007 15:09:58
CISO - это тоже самое что и офицер безопасности или менеджер по упр. ИБ. Почему же не встречали? Они сплошь и рядом в любой крупной организации. Вот, наш автор статьи тоже CISO. В совет директоров? Не может быть. Он туда не должен входить.
|
|
|
|
|
|
27.03.2007 16:43:09
Да нет - приставка "С" (Chief) обозначает, что это именно директор!
Менеджер/офицер - это просто ISO. И в этом вся соль. Вот определение CISO из ISACA IS Governance: All organisations have a CISO whether or not anyone holds that title. It may be de facto the CIO, CSO, CFO or, in some cases, the CEO, even when there is an information security office or director in place. The scope and breadth of information security concerns are such that the authority required and the responsibility taken inevitably end up with a C-level officer or executive manager. Legal responsibility, by default, extends up the command structure and ultimately resides with senior management and the board of directors. Failure to recognise this and implement appropriate governance structures can result in senior management being unaware of this responsibility and the attendant liability. It usually results in a lack of effective alignment of security activities with organisational objectives. Increasingly, prudent management is elevating the position of information security officer to a C-level or executive position as organisations begin to understand their dependence on information and the growing threats to it. Ensuring that the position exists, and assigning it the responsibility, authority and required resources, demonstrates management’s and board of directors’ awareness of and commitment to sound information security governance. По первой фразе прекрасно видно, что при отсутствии директора ИБ его роль исполняется CIO, CFO или CEO. А оно им нужно? Если первому еще с какой-то натяжкой, то второй сильно против по поводу лишних бюджетов, а третий по причине замедления развития. Разве что на основе личного интереса они этим будут заниматься... |
|
|
|
|
|
27.03.2007 23:45:38
В статье не затронут, на мой взгляд, еще один очень важный аспект: для успешной работы сотрудники ИБ должны поддерживать на должном уровне свою квалификацию и знания в части ИТ, где уязвимости и методы противодействия наиболее динамично меняются и добавляются. И вот здесь в наиболее выгодной ситуации как раз находится сотрудник, совмещающий функции ИТ и ИБ. Как только сотрудник (даже очень грамотный), отрывается от "полевой работы" и уходит наверх в менеджемнт - тут же практически полностью прекращается процесс поддержания на должном уровне его квалификации, знания очень быстро устаревают и решения, основанные на таких знаниях, становятся неэффективными.
Так что, вывод службы ИБ на один уровень с топменеджерами - это палка о двух концах. |
|
|
|
|
|
28.03.2007 09:43:13
ОФФ - огромная просьба к админам: увеличьте, пожалуйста, время жизни авторизационной куки. А то пока набиваешь ответ, успевает разлогинить и весь текст коту под хвост уходит...
К Андрею Остановскому - с CISO я скорее хотел показать что буржуйские методики в наших условиях пока работают не "очень". Да и создавать дирекцию из 10 человек (реально в ИБ очень редко когда больше нужно) слабоосмысленно кмк. По моему мнению - лучший путь развития это все же "специалист и ИТ"->"подразделение в ИТ"->"участие в комитете под набсоветом". Так подразделение и от ИТ не отрывается (а кстати большинство затрат на ИБ лежат в сфере ИТ) и более-менее реальные рычаги имеет. Кстати - отчетность тоже обычно хозяивам более интересна, чем исполнительному менеджменту. Т.к. влияет на цену акций, а это хлеб хозяев. |
|
|
|
|
|
28.03.2007 12:54:10
Имхо, взаимоотношения ИТ и ИБ - весьма непростой вопрос. Условия и менеджмент в организациях разные. Готовые рецепты, оторванные от реалий, могут завести этот процесс неизвестно куда. Хотя какие-то общие принципы взаимодействия должны быть. Их, полагаю, и следует прописать в некоем, ну допустим, «меморандуме». Которого неукоснительно придерживаться.
Проблем хватает у обеих сторон. Кризис в ИТ, развиваясь лет 15-20, привел к появлению ИБ. Проблемы (кризисы) внутри ИБ появились еще быстрее - лет за 5. ИТ-шники это опытным глазом замечают и в ряде критических публикаций весьма красиво излагают. Процесс взаимной критики, думаю, приносит пользу, если, естественно, осуществляется, цивилизованно. Запрет отклонений от такого порядка также можно отразить в «меморандуме». Хочу напомнить, что кое-где есть еще и третья сторона – аудит ИТ, который интересуется положением дел не только в ИТ, а и в ИБ. И который, вроде как незаинтересованная сторона, может подсказать, как лучше организовать эти взаимоотношения, и какие он видит в них недостатки. Поскольку данные взаимоотношения в разных организациях могут весьма различаться и зависеть от множества факторов, полагаю есть смысл в этом обсуждении прислушиваться к мнению людей, проработавших лет …надцать в ИТ, и чуть меньше в ИБ (которая столько не существует). А если найдутся такие (например, внешние аудиторы), кто, обследовав сотню-другую организаций с нормально развитыми ИТ и ИБ, может четко изложить общеприемлемые рекомендации по установлению надлежащих взаимоотношений между ИТ и ИБ, то и их следует, с благодарностью, принять во внимание. И, таким образом, посмотреть на проблему как изнутри (глазами участников), так и снаружи (глазами незаинтересованных сторон). Хотя, в действительности, незаинтересованных здесь быть не может. У тех же аудиторов свой интерес. Он, имхо, наиболее близок к интересам организации. Но и это может быть спорным вопросом. Посему предлагаю его не обсуждать, и за сие высказывание меня ногами не пинать. Итак тут уж что-то очень растре… . |
|
|
|
|
|
28.03.2007 13:31:19
Позволю себе не согласиться с некоторыми положениями статьи, а именно:
1. «Разделение должно быть не в функциях, а в масштабах выполнения этих функций» - имхо, именно и в функциях тоже. Хотя, возможно, у ИТ и ИБ могут быть и общие функции, но, пожалуй, лишь в названиях, - по содержанию они таки разные. Зачем дубляж? 2. «Следующим источником конфликтов является … естественный конфликт между исполняющей и контролирующей службой» - это неестественный конфликт. Такое возможно только между ИТ и ИБ при ненормально организованных взаимоотношениях. Если все четко прописано и определено, этого не должно быть, и, во всяком случае, в других разновидностях менеджмента не допускается. 3. «Пресловутые битвы за бюджет, вошедшие в историю как основная причина для конфликтов между ИТ и ИБ» - не утверждал бы так однозначно. В разных организациях по разному. ИБ может кормиться и из другой кормушки (например, СБ). Процитированное – частный случай, и не только в нем причина конфликта. С п.4, 5, а также с простыми правилами, приведенными в конце статьи, согласен. Хотя касательно общего руководителя – вопрос неоднозначный. Если ИБ под СБ, то о каком общем руководителе речь? Конечно, можно сказать, что это первый руководитель организации. Он за все отвечает. Но вникать в проблемы ИТ и ИБ у него может не хватить времени. |
||||
|
|
|
|||
Читают тему