Наибольший опыт по взаимодействию ИТ-директора и руководителя службы информационной безопасности накоплен в банковской сфере. Некий анализ этого опыта может быть полезен и для других отраслей.
Именно в банковской сфере впервые, или по крайней мере в одной из первых наряду с телекомами, служба информационной безопасности (ИБ) была выделена в самостоятельное подразделение, независимое ни от ИТ-департамента, ни от службы общей или экономической безопасности. Это произошло во многом благодаря позиции Центробанка, который пусть и не требовал в явном виде, но настоятельно рекомендовал действовать таким образом.
Всё это нашло отражение и в стандарте СТО БР ИББС, где в явном виде прописана не только необходимость создания ИБ-службы, но и ее функции и полномочия. И хотя этот стандарт не является строго обязательным, соблюдение его требований существенно облегчает жизнь. Например, СТО БР ИББС узаконен в качестве отраслевого стандарта обеспечения безопасности персональных данных, то есть соответствие ему должно автоматически означать соответствие нормам в этой области. Хотя стоит иметь в виду, что последние поправки, внесенные в закон «О персональных данных», вступили в противоречие с действующей редакцией СТО БР ИББС, однако к моменту выхода этого номера из печати все означенные шероховатости скорее всего будут устранены.
Но что ещё серьезнее, соответствие данному стандарту автоматически означает соответствие если не всем, то большей части норм закона 161-ФЗ «О национальной платежной системе». Точнее, речь идет о подзаконных актах к нему, таких как Положение о защите информации в платежной системе, утвержденное постановлением Правительства РФ № 584 от 13 июня 2012 года, Положения Банка России № 279-П, 380-П, 381-П и Указание Банка России № 2837-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». Содержание многих из этих документов практически полностью повторяется в СТО БР ИББС.
В итоге по состоянию на февраль 2011 года до 80% российских банков приняли требования данного стандарта либо вели активную работу по их внедрению. Доля банков, которые однозначно заявили о том, что не будут внедрять данный стандарт, не превышает 10%. Еще 10–15% учреждений, в основном из числа малых банков, заняли выжидательную позицию.
Как уже было сказано выше, в стандарте СТО БР ИББС прописано то, что в банке должна быть отдельная ИБ-служба, независимая от ИТ-департамента и от службы общей или экономической безопасности. Надо отметить, что необходимость подобной меры стала ясна задолго до того, как стандарт был разработан. А многие банки сделали это по своей инициативе еще раньше, когда начали осваивать работу с пластиковыми картами, то есть где-то в середине 90-х.
И действительно, в противном случае возможны проблемы. Ведь обычно специалисты по общей безопасности слабо разбираются в ИТ со всеми, как говорится, вытекающими. Особенно если речь идет о внедрении всякого рода технических средств, часто дорогостоящих. Хотя случаи, когда ИБ-служба формально подчиняется подразделению, отвечающему за общую или экономическую безопасность, все же встречаются (см.: Райффайзенбанк: готовых рецептов не существует//Intellignet Enterprise. 2009. № 9). Но эта зависимость является своего рода рудиментом, и ИБ-служба де-факто автономна и самостоятельна.
С другой стороны, ни для кого не секрет, что ИТ-отдел всегда, ну или почти всегда, воспринимает требования по безопасности как досадное препятствие, которое мешает работать. Тем более, что экономику в проектах, связанных с информационной безопасностью, действительно рассчитать крайне сложно. А необходимость обеспечения безопасности часто удорожает решение. Например, даже такая, казалось бы, простая вещь, как протоколирование операций серверов СУБД, заметно повышает требования к оборудованию, а значит, ведет к прямому росту затрат. Крайне высоки и затраты на обучение персонала, так что ИТ-директор может просто административно «задавить» руководителя подразделения информационной безопасности. В итоге функции данного подразделения просто выхолащиваются вплоть до того, что называется «бумажной безопасностью», которая никоим образом не связана с безопасностью реальной. При этом не может быть и речи о соблюдении целого ряда отраслевых стандартов, в частности PCI DSS.
Тем не менее сам факт, что служба информационной безопасности является самостоятельным подразделением, не гарантирует от проблем. Впрочем, некоторые из них преувеличены. В частности, высказываются опасения, что ИТ-специалистам, в том числе ИТ-директору — людям, скорее всего сугубо гражданским, — тяжело найти общий язык с сотрудниками ИБ-подразделения, которые с большой долей вероятности являются выходцами из спецслужб или армии. Но с этим, как показывает реальная практика, проблем возникает меньше всего. Специалисты по защите информации или радиоэлектронной борьбе часто даже более способны принимать нестандартные решения, особенно когда ресурсы ограничены. А качество фундаментальной подготовки, причем вполне по профилю, у них часто выше, чем у специалистов гражданских. Немалую ценность представляет и высокий уровень корпоративных связей в данной среде, что способствует обмену опытом и лучшими практиками.
Более серьезная проблема состоит в том, что автономность ИБ-службы не всегда подразумевает достаточный «вес» ее руководителя в административной иерархии банка. Глава этой службы — как правило, руководитель среднего звена. В отличие, к слову, от ИТ-директора, который с большой долей вероятности по должности является членом правления или вице-президентом.
Прямое следствие данной ситуации — финансирование явно по остаточному принципу, нехватка людских ресурсов и ограниченные полномочия. В идеале ИБ-служба должна вести аудит всех ИТ-проектов, но в таких условиях, естественно, об этом не может быть и речи. Невозможность более-менее полноценно работать с персоналом тоже создает массу проблем, хотя бы связанных со своевременным уничтожением идентификационных данных уволенных сотрудников. Не надо долго говорить о том, какая это потенциальная уязвимость и что может наделать злоумышленник, обладающий всеми легитимными правами.
В итоге у службы ИБ часто хватает сил лишь на аудит наиболее критичных в этом отношении систем — обрабатывающих персональные данные и процессинговых. А то, что ИТ-проекты реализуются и функциональными службами без привлечения профильных подразделений, данную ситуацию еще более усугубляет. Впрочем, подобного рода ситуация не представляет исключительно российскую специфику.
Как видно, одно наличие самостоятельной службы информационной безопасности не является гарантией от всякого рода проблем, прежде всего организационных. Тем не менее это даёт возможность хотя бы поддерживать на должном уровне безопасность наиболее критичных систем, что само по себе уже неплохо.