Мы уже писали о совместном семинаре Союза ИТ-директоров России (СоДИТ), межрегиональной общественной организации «Ассоциация защиты информации» (МОО АЗИ) и Института современного развития (ИНСОР), посвященном взаимодействию служб информационной безопасности (ИБ) и информационных технологий (ИТ), — см. IE, № 12/2008, стр. 2.
В нашем специализированном номере мы возвращаемся к этой теме и подробнее остановимся на ходе дискуссии, которую в рамках данного семинара провели советник председателя Совета МОО АЗИ Виктор Минин и директор по ИТ группы компаний «Интарсия» Юрий Шойдин.
Роль ИБ с разных точек зрения
Начнем с одного из дискуссионных моментов. В своем докладе президент ассоциации RISSPA (Russian Information Systems Security Professional Association) Денис Муравьев назвал главной функцией службы ИБ обеспечение соответствия требованиям внешних регуляторов, в качестве которых могут выступать, например, Федеральная служба по техническому и экспортному контролю (ФСТЭК) или Центральный банк РФ. Не все участники круглого стола согласились с этим. Заместитель генерального директора Aladdin Software Security R. D. Алексей Сабанов в качестве контраргумента назвал открытие новой услуги дистанционного банковского обслуживания, которая должна учитывать требования ИБ совсем не из‑за возможных проверок регуляторами. Тогда ведущие попросили присутствующих сформулировать задачу ИБ с точки зрения разных ролей в организации — собственников, службы общей безопасности и аудиторов.
Выяснилось, что собственник бизнеса ждет сокращения издержек и уменьшения недополученной прибыли. Он видит, что реализованные риски ИБ легко измеряются в деньгах и приводят к дополнительным издержкам в бизнесе. Подход службы общей безопасности таков: отдел ИБ прежде всего должен обеспечить сохранность всех информационных ресурсов независимо от того, на каком носителе они располагаются, и защиту каналов передачи информации; установить определенные административные режимы и контролировать их соблюдение. А вот с точки зрения аудитора основной задачей ИБ как раз является соответствие тем самым нормативным требованиям. Генеральный партнер консалтинговой группы «А+» Сергей Лялин выделил три ключевых для бизнеса показателя информбезопасности. Первый — это окупаемость, что так или иначе связано с необременительностью внедряемых технологий для собственника и адекватностью инвестиционных затрат. Во-вторых, технологии безопасности должны положительно влиять на один из главных показателей любого предпринимательства — ожидаемую прибыль (EBITDA — earnings before interests tax, depreciation and amortization). В качестве третьего показателя по словам Сергея Лялина можно выделить максимальное влияние безопасности на капитализацию бренда. Начальник службы информационной безопасности КБ «Союзный» Михаил Левашов полностью согласился с тем, что любая деятельность предприятия, связанная с ИБ, направлена на повышение капитализации, если компания является открытой, и на увеличение прибыли во всех других случаях. Улучшение финансовых показателей, как он считает, — это цель любого подразделения, в том числе и ИБ.
Мы спросили одного из ведущих семинара, Юрия Шойдина, есть ли у него ощущение, что многие службы ИБ действительно бóльшую часть времени уделяют поддержанию «бумаг в порядке» на случай визита внешних регуляторов, и вот что он ответил: «Для банков это так, а для всех остальных организаций данный риск ничтожен, но нормальная актуальная документарная система позволяет вычислить и наказать виновных официальным способом. Что касается фискальных органов, то работающая система ИБ (даже без ИТ-инструмента) позволит оградить себя от неправомерных действий регуляторов».
ИТ даёт доступ, а ИБ его закрывает
Денис Батранков
Консультант по информационной безопасности IBM в России и СНГРезультаты семинара имеют явную практическую значимость: можно не задумываться о некоторых вопросах при создании подразделения ИБ в компании, а брать и использовать выработанные рекомендации. Как правило, все дискуссии о взаимодействии ИТ- и ИБ-подразделений заканчиваются выводом, что они должны быть формально разделены и при этом оставаться на одном уровне в иерархии компании. Цель такого приёма в том, чтобы их влияние друг на друга осуществлялось через владельца бизнеса. Это решение по сути вытекает из их изначально противоположных задач: ИТ даёт доступ, а ИБ его закрывает. Выведенная на семинаре идея подтверждает, что такая схема взаимодействия ИТ и ИБ создает систему сдержек и противовесов, позволяя бизнесу развиваться эффективно и в нужном направлении. В компаниях, где дело обстоит иначе, тому есть множество причин: амбиции отдельных сотрудников, присутствие всего одного человека в «отделе» ИБ, непонимание значимости обеспечения информационной безопасности и т. д. Я бы избегал использования слова «затратное» при упоминании подразделения ИБ. Если владелец бизнеса нанял хоть одного человека, отвечающего за безопасность информации в его компании, то он понимает выгоду. Подразделение ИБ совместно с ИТ-отделом занимается выбором и эксплуатацией надежных решений для устойчивого развития бизнеса. При этом служба ИБ помогает всему персоналу компании обеспечивать её комплексную безопасность. Ведь в конечном итоге об ИБ должен заботиться каждый сотрудник предприятия.
Диалог можно было начать год назад
Сергей Лялин в своем докладе указал основные причины плохой организации взаимодействия ИБ- и ИТ‑служб на предприятиях. В тысяче страховых компаний, функционирующих сейчас на рынке финансовых услуг, становится актуальным исполнение закона о персональных данных, однако руководство пока не проявляет в связи с этим никакой озабоченности. Даже несмотря на то, что из 64 имеющихся на сегодня рисков бизнес-функционирования в страховании примерно треть относится к безопасности. Существует запаздывание реакции компаний на внешние требования, поскольку выработку рекомендаций, касающихся взаимодействия отделов ИТ и ИБ, можно было начинать, скажем, ещё год назад. «Скорее всего это надо рассматривать в разрезе желания руководителей верхнего уровня, их понимания того, что необходимо построить систему управления информационной безопасностью, — комментирует Юрий Шойдин. — Все почему‑то считают, что приняв один документ, можно считать, что ИБ уже является рабочим инструментом, но на самом деле это некий конгломерат документов и мероприятий. ИБ все‑таки система, ее процессы надо выстраивать и затем контролировать их работоспособность. У меня как ИТ-руководителя основная проблема заключается в том, чтобы заставить руководство понять системность выполнения некого набора мероприятий».
Сергей Лялин рассмотрел ситуации, в которых возникает конфликт между ИТ- и ИБ-подразделениями. По его мнению, это происходит тогда, когда путаются технологический, управленческий и экономический аспекты деятельности. А также если идет борьба амбициозно настроенных людей за властные функции. Заказчиком и у ИТ-, и у ИБ‑службы является не собственник и не управляющий орган. Эти люди, как правило, решают другие проблемы. Необходимо правильно делегировать полномочия, разделять ответственность по управлению рисками и доверять её профессионалам. Вот тогда особой остроты в дискуссии не возникает. Если у руководителей все в порядке с профессиональным признанием, удовлетворением собственных амбиций, то совместная работа будет проходить легко и свободно. Не возникнет кризиса целей и профессиональной состоятельности. Сейчас большинство офицеров безопасности, к сожалению, в полной степени себя не реализует на рынке предоставляемых ими услуг.
На наш вопрос о том, действительно ли предприятия с опозданием реагируют на возможное появление требований, Юрий Шойдин сказал: «Несомненно, инертность существует, и она растет в зависимости от размеров компании. Впрочем, как и риски по этим параметрам. Любой бизнес имеет свое основное направление, и если это не профильная компания-провайдер, то объяснить высшему руководству проблематику неразглашения персональных данных довольно тяжело. Они ее просто не понимают. В моем случае с помощью простых примеров мне все же удалось донести важность данной проблемы до менеджеров». Михаил Левашов высоко ставит также и роль регуляторов в подобных объяснениях с руководителями компаний. Это единственная и основная сила, способная привлечь к этой сфере деятельности внимание тех владельцев бизнеса, которые до сих пор не уделяли должного внимания, скажем, той же защите персональных данных.
В России требования к ИБ явно завышены и противоречивы
Антон Чернышев
Руководитель отдела криптографических систем CompuTelДля компаний, работающих в сегменте высокозащищенных криптографических решений (международные платежные и расчетные системы), сохранность денежных средств напрямую связана с информационной безопасностью. Утечка нескольких десятков байт может привести к потере сотен миллионов долларов. Подобные системы строятся исходя из принципа, что никакой человек ни в какой момент времени не должен получить единоличный контроль над критически важной информацией. В данном случае ИБ является непосредственной частью бизнеса и директивы этой службы не подлежат обсуждению со стороны иных подразделений. Сама служба ИБ строится в соответствии с директивами международных платежных систем (регуляторов) на основе наилучшей отраслевой практики и проходит аудит в соответствии с требованиями стандартов (например, PCI-DSS). Отчетность и соответствие требованиям внешних регуляторов в таких системах строго обязательны.
Так что в высказывании Дениса Муравьева нет явного противоречия с тем примером, который привел Алексей Сабанов. Ведь всё, что происходит в рамках политики ИБ, делается не для галочки, а чтобы гарантировать безопасность бизнеса. В России требования к ИБ явно завышены и противоречивы, и их выполнение ведет к чрезмерным издержкам для компаний. В практике же международных платежных систем завышенные требования не встречаются: только выверенные десятилетиями борьбы с мошенниками практические требования. На наш взгляд, российские компании могут смело заимствовать этот опыт.
Организационная структура
Много времени участники посвятили вопросу о том, где на предприятии должно располагаться подразделение ИБ. Михаил Левашов выделил несколько возможных организационных структур. В первой, распространенной в банковской сфере, ИБ встроена в структуру службы общей безопасности. Вторая схема чаще встречается в телекоммуникационных компаниях: разные блоки ИБ расположены либо в службе безопасности, либо в ИТ-отделе. Существуют и такие экзотические случаи, когда и ИТ-подразделение входит в службу безопасности, а общее руководство осуществляет ее начальник. Наконец, наименее распространенный вариант: служба ИБ входит в обязательную для банков службу внутреннего контроля. Каждая из этих структур имеет свои достоинства и недостатки.
Если ИБ подчинена службе безопасности, то начальниками там, как правило, являются действующие или отставные офицеры, чья компетенция в вопросах ИБ не устраивает непосредственно обеспечивающих информационную безопасность сотрудников, которым при такой схеме работы тяжело «достучаться» до своего руководства. Если ИБ находится в подчинении у ИТ, то здесь главный недостаток заключается в невозможности самоконтроля. Как считают руководители ИБ, самих специалистов по информационным технологиям должно контролировать внешнее относительно ИТ подразделение, а не его составная часть. В идеале менеджеру ИБ‑службы необходим прямой выход на руководство предприятия, которое обеспечит решение его задач. ИТ-директор «Банк24.ru» Николай Петелин на примере своей компании выделил плюсы организационной схемы из двух самостоятельных служб. Во-первых, у него появляется союзник, который помогает в битвах за статьи бюджета. Во-вторых, задача выявления и анализа имеющих отношение к ИТ-направлению рисков уходит в другой отдел, и ИТ‑специалисты могут сфокусироваться на технической реализации поставленных перед ними требований. Так видится эффективное взаимодействие двух отдельных служб.
Отвечая на вопрос ведущего о взаимоотношении ИТ- и ИБ‑служб в организациях, где функции ИТ отдаются на аутсортинг, Сергей Протопопов, заместитель генерального директора ИТ-компании «Карма ИТ», входящей в холдинг «Роспечать», рассказал, что в его случае при выделении ИТ в отдельное юридическое лицо служба безопасности остается в составе компании. Контакт между двумя подразделениями можно сравнить с работой законодательного и исполнительного органов в государстве (служба безопасности — законодательный, ИТ-отдел —исполнительный). Если же речь заходит о проактивном управлении рисками, о заблаговременном их выявлении, то это задача выделенной ИТ-компании, но дальше идеи выносятся на уровень службы безопасности и окончательные решения по выбору мер принимаются именно там.
Резюме
На закрытии семинара председатель правления СоДИТ и директор департамента по ИТ НПФ «Благосостояние» Борис Славин отметил, что в целом участники встречи пришли к тому, что служба ИБ должна позиционироваться отдельно от ИТ, хотя на практике в 30% случаев это не так. А директор по информационной безопасности как руководитель соответствующей службы должен координировать все вопросы, касающиеся ИБ. Ему следует обращать пристальное внимание на обучение сотрудников, их сертификацию и т. д. Обеспечение ИБ должно представлять из себя один из бизнес-процессов компании, которая должна управлять соответствующими рисками.
Информационная безопасность должна стать частью корпоративной культуры, включать в себя политики, регламенты, программы обучения сотрудников. Это не столько контроль, сколько формирование лояльности внутри компании по отношению к этому подразделению. Такие пункты вошли в рекомендации СоДИТ, МОО АЗИ и ИНСОР, адресуемые как ИТ-руководителям, так и офицерам безопасности.
Юрий Шойдин прокомментировал результаты семинара следующим образом: «Выделение двух служб сильно зависит от размера компании. Далеко не все могут позволить себе иметь два затратных подразделения. В целом я согласен с итоговым документом. Задачи по ИБ должен ставить и контролировать именно безопасник, поскольку ИТ — это все‑таки лишь инструмент их решения. Если компания большая, то выделение службы ИБ оправданно, она занимается своими вопросами, хотя при этом ИТ все равно остаются инструментом, вписанным в некую документарную систему. Так что система документов — прежде всего. ИБ можно реализовать и без технических средств, СССР в этом смысле отличный пример. А вот ИТ дают возможность профилактики и контроля, хотя наказывать или проводить судебные разбирательства все равно придется по документам».
Необходимо оценивать ИБ понятными для владельцев показателями
Сергей Земков
Управляющий директор «Лаборатории Касперского» в России и странах ЗакавказьяВ целом я готов согласиться с тем, что службы ИТ и ИБ на предприятии должны быть независимы и подчиняться непосредственно первому лицу компании. Но важно четко понимать задачи этих подразделений и механизм оценки их деятельности. К сожалению, очень часто владельцы бизнеса или руководители фирм говорят с представителями данных подразделений на разных языках, потому что оперируют разными категориями. Особенно это касается службы информационной безопасности. Необходимо, чтобы деятельность службы ИБ оценивалась понятными для владельца или руководителя показателями. Ведь речь идет не просто о соответствии требованиям регуляторов, но о выгоде бизнеса от того, что деятельность компании отвечает законодательству в области информационной безопасности. Иными словами, необходимо ввести определенные показатели для связи информбезопасности и бизнеса. Помимо прочего в компаниях необходимо проводить программы, повышающие осведомленность о роли и деятельности службы ИБ. Это положительно влияет как на имидж самого направления информационной безопасности в лице непосредственных сотрудников, так и на уровень образованности персонала в вопросах ИБ, что безусловно крайне важно для защиты бизнеса компании.