Проблема взаимодействия ИТ-подразделений и структур организации, отвечавших ранее за защиту информации, а теперь за обеспечение информационной безопасности, имеет свою историю развития и, безусловно, самым существенным образом влияет на итоговые показатели деятельности организации.
Чтобы понять ее суть и текущее состояние, необходимо мысленно вернуться в Россию 1990-х гг. На предприятиях и организациях достаточно широко использовалась вычислительная техника (ЕС ЭВМ, «СМ-Электроника» и т. п.), в их штат входили подразделения вычислительной техники и технологий — аналоги современных ИТ-служб, подразделения по защите информации (далее — ЗИ) и данных. Не вдаваясь в подробности, следует сказать, что зачастую это было обусловлено необходимостью работы со сведениями, составляющими государственную тайну. Тем не менее обозначенной в статье проблемы не существовало. Можно спорить об эффективности работы этих подразделений, но было самое главное — разделение ответственности в рамках жизненного цикла ИТ-продукта между ИТ и ЗИ. Этот подход регулировался нормативными документами ФСТЭК (в те времена Гостехкомиссия России) и других ведомств.
С начала 1990-х гг. в Россию хлынул поток вычислительной техники, зарубежного программного обеспечения и оргтехники. Началось практически повсеместное развертывание локальных вычислительных сетей компаний и организаций, представлявших самые различные направления бизнеса: производство, торговля, банковская сфера, издательство, СМИ и т. д. Для выполнения этой работы в штате компаний были созданы ИТ-подразделения, состоявшие в зависимости от размера компании из одного-двух человек и до 100 и более сотрудников, включая разработчиков программного обеспечения.
В этих условиях государство, как регулятор взаимоотношений в этой сфере, оказалось неготовым к происшедшим изменениям. В результате объекты информатизации или автоматизированных систем в основном внедрялись по известной двуединой формуле: нужно было все сделать еще вчера; главное, чтобы работало, а вопросы безопасности — на втором месте, если они вообще принимались во внимание. Это положение и явилось источником возникновения рассматриваемой в предыдущей статье проблемы. Справедливости ради следует отметить роль Банка России, который в то время одним из первых перевел в практическую плоскость вопросы ЗИ и состояния защищенности ИТ-структур кредитных учреждений. Нормативными документами ЦБР были введены должности администраторов средств криптографической защиты, ответственные за управление доступом к ресурсам автоматизированных банковских систем.
Таким образом, корни проблемы взаимоотношений ИТ и ЗИ лежат не в психологической плоскости, а в практической. И, как справедливо отметил автор статьи, они (корни) обусловлены инстинктом самосохранения, но не представителей ИТ или ЗИ, а руководства и акционеров конкретной компании. Лучшие практики процесса внедрения передовых информационных технологий свидетельствуют о необходимости управления рисками информационной безопасности, которые сопряжены с каждым таким процессом. Если руководители или собственники компании не готовы к такому подходу, то неявно они принимают все эти риски на себя. А это, как свидетельствует отечественный и зарубежный опыт, может привести к значительным финансовым и имиджевым потерям для бизнеса.
Подобный подход к обеспечению безопасности бизнеса уже давно и успешно практикуется на Западе. Западные, особенно американские, компании прошли путь от необходимости выполнения требований по ЗИ при работе по государственным контрактам до защиты интересов акционеров в виде системы требований к информационной безопасности компании, без выполнения которых она не сможет разместить свои акции на фондовой бирже.
Здесь же следует отметить, что в упомянутом автором статьи цивилизованном мире разглашение персональных данных граждан и сведений о частной жизни, в результате которого гражданин пострадал или был ущемлен в чем-либо, завершается обращением в суд и значительным финансовым наказанием для виновного в разглашении. Поэтому закон № 152-ФЗ при всей своей кажущейся обременительности стал одним из первых реальных шагов по пути установления цивилизованных отношений между государством и гражданином, поскольку затрагивает практически все организации, занимающиеся тем или иным видом деятельности. Вопрос заключается в организации цивилизованного контроля исполнения данного закона и требований конкретизирующих его постановлений Правительства РФ.
Оценивая ситуацию сегодня, можно с уверенностью сказать, что основная часть крупных компаний, представляющих различные сферы бизнеса, имеют в своем штате работников, отвечающих за вопросы ЗИ и обеспечения ИБ. Эти компании в силу особенности своего бизнеса вынуждены соответствовать требованиям либо международных стандартов, либо национального законодательства тех стран, где они имеют активы. Поскольку основу международных и национальных стандартов в области качества, экологии, транспортной безопасности, информационной безопасности и т. п. составляют процессный подход и принцип разделения ответственности, то с точки зрения внутренних нормативных документов в этих компаниях не может существовать противоречие между подразделениями ИТ и ЗИ. Это разные обеспечивающие бизнес процессы, которые, вне всякого сомнения, имеют точки соприкосновения, но подчинены одной задаче: обеспечению безопасного и непрерывного функционирования основных бизнес-процессов организации. Поднятые автором статьи вопросы подчиненности и распределения финансирования в таких компаниях описаны в виде процедур и регламентов, оставляющих свободу творчества для руководителей ИТ и ИБ отстоять свою позицию и доказать руководству необходимость тех или иных решений.
Описанная автором статьи ситуация характерна для компаний, которые, по классификации известного стандарта CoBIT 4.1, относятся к моделям зрелости 1-го и 2-го уровней, именуемые соответственно «Анархия» и «Фольклор». Несомненно, таких организаций еще большинство, и они являются носителями поднятой автором статьи проблемы. Но самое главное заключается в том, что есть понимание, как эту проблему решать. А руководители/акционеры займутся переводом своих компаний на более высокие уровни модели зрелости только тогда, когда они осознают и ощутят преимущества и положительный эффект от этой работы для бизнеса.
Время и нормативное регулирование расставят все по своим местам.