архив
Модели построения отношений между службами информационной безопасности и IT
Евгения Смородникова
CISO МУП «РКЦ г. Новосибирска»
2007-09-27
Как известно, в настоящее время сложилась ситуация, когда во многих компаниях затруднена работа между этими службами из-за внутренних конфликтов. Чтобы проанализировать ситуацию, давайте рассмотрим основные варианты организации службы информационной безопасности внутри компании, а также недостатки и преимущества этих вариантов.У всех конфликтов есть источники, они также будут проанализированы в рамках данной статьи, как и потенциальные опорные пункты, которые могут помочь избежать этих конфликтов.
Далеко не каждая компания может себе позволить в сжатые сроки провести реорганизацию службы информационной безопасности, поэтому очень важным моментом является то, как должна работать эта служба в неидеальном варианте организации.
На рисунке ниже приведена схема возможных вариантов организации службы информационной безопасности (далее служба ИБ). Всего можно рассмотреть шесть вариантов. Служба ИБ может находиться обособленно, внутри ИТ-службы, внутри службы общей безопасности. При каждом из этих вариантов служба может быть полноценной структурой (отделом, подразделением), а может быть представлена несколькими специалистами внутри другого отдела. Рассмотрим вкратце каждый вариант.
Первым и самым простым является наличие одного или нескольких специалистов, специализирующихся на ИБ внутри ИТ-службы. Это наиболее естественный способ организации, который приходит в голову руководителям исходя из сложившихся стереотипов о том, что информационная безопасность – это всего лишь часть процесса обеспечения ИТ. Если в компании не происходит инцидентов безопасности, связанных с подчиненной позицией сотрудников по ИБ, то компания по мере своего роста переходит к следующему этапу эволюции – оформлению службы ИБ как отдельной структуры внутри ИТ-службы.
Этот вариант лучше только тем, что работа по обеспечению ИБ выделяется уже как существенная функция среди прочей деятельности ИТ. Выделяется больше ресурсов, как человеческих, так и финансовых. Это позволяет сделать больше и провести более качественную работу, но, тем не менее - там, где нужен паритет, учет обоих мнений, поиск компромисса, компания имеет отношения власти-подчинения, которые плохо сказываются на общем процессе создания комплексной системы обеспечения информационной безопасности.
Итак, давайте подведем итоги по варианту организации работы по направлению информационной безопасности внутри ИТ-службы.
Преимущества:
1. Данный вариант легко реализуем, поскольку основывается на общих стереотипах.
2. Возможность работы напрямую во внутренних или внешних ИТ-проектах и способствовать внедрению требования по безопасности на этапе реализации, интеграция с ИТ.
Недостатки:
1. Консультационный режим работы.
2. Подчиненное положение по отношению к ИТ. ИБ рассматривается как часть ИТ, что влечет за собой отсутствие комплексного подхода. А между тем, как известно, общий уровень защищенности оценивается по самому слабому звену. В случае если ИБ воспринимается как часть ИТ-направления, вопросы работы с пользователями, безопасности информационных потоков, безопасности бизнес-процессов и другие организационные и юридические моменты так и останутся неучтенными и будут слабым звеном. Это происходит потому, что у ИТ-профессионалов достаточно узкое представление о том, что такое информационная безопасность.
3. Остаточное бюджетирование.
Следующие два варианта описывают варианты создания службы ИБ внутри службы общей безопасности. Такая ситуация возникает чаще всего в государственных организациях или в крупных коммерческих компаниях, где развита служба общей безопасности и значимы вопросы экономической и физической безопасности. Основным недостатком этих вариантов является непонимание проблем ИБ непосредственным руководством. Интересным моментом является то, что если внутри ИТ внимание не уделялось одной категории вопросов, то в данном варианте это будут совсем другие вопросы (в традиционных службах безопасности людям и угрозам от них уделяется традиционно большое внимание). Но результат один – и в том и в другом варианте неучтенным остается целый пласт проблем.
Преимущества:
1. Этот вариант также легко реализуем, поскольку основывается на другом распространенном стереотипе руководства.
2. При подобном подходе есть возможность создания пласта организационных мер, способствующих повышению общего уровня защищенности.
Недостатки:
1. Консультационный режим работы.
2. Непонимание проблем ИБ непосредственным руководством.
3. Усложнение работы с ИТ-службой.
4. Остаточное бюджетирование.
Интересным вариантом, который следует рассмотреть отдельно, является случай, когда в качестве службы ИБ есть один или несколько человек, подчиняющихся напрямую топ-менеджменту. На мой взгляд, этот вариант является наилучшим для компаний, которые относятся к среднему и малому бизнесу и которые пока не готовы в организации полноценной службы ИБ. Основным условием здесь является наличие подготовленного менеджера по информационной безопасности, способного решать как аналитические, так и внедренческие задачи по всему спектру вопросов информационной безопасности.
Для создания процесса управления информационной безопасности в данном варианте должны использоваться ресурсы других подразделений и служб, в том числе ИТ-службы.
Преимущества:
1. Контакт с топ-менеджментом.
2. Паритетное положение с ИТ.
Недостатки:
1. Отсутствие структуры, зависимость от чужих человеческих ресурсов.
2. Отсутствие собственной бюджетной статьи.
3. Данный вариант не подходит для крупных организаций.
Наконец, мы подходим к наилучшему варианту, когда служба ИБ организована в виде полноценной независимой структуры, подчиняющейся топ-менеджменту. Однако даже при таком наилучшем варианте остается проблема взаимодействия с другими службами, а прежде всего – с ИТ. Давайте рассмотрим основные источники возможных конфликтов.
1. Разделение функций ИБ
К сожалению, работа по направлениям ИТ обеспечения и информационной безопасности несет в себе потенциальное разделение функций, касающихся информационной безопасности. Как известно, целью информационной безопасности является обеспечение конфиденциальности, доступности и целостности информационных ресурсов компании. К сожалению, часто приходится наблюдать, как эти функции разделяются. Обеспечение целостности и доступности считается прерогативой ИТ-службы, а службы ИБ занимается только вопросами конфиденциальности. Часто это вызвано общим ошибочным мнением, состоящим в том, что информационная безопасность – это прежде всего обеспечение секретности. Подобное разделение мгновенно вызывает конфликт интересов между ИТ и ИБ вместо поиска баланса. На самом деле конфиденциальность, целостность и доступность могут рассматриваться только в комплексе, поэтому обеспечение этих свойств информационных ресурсов должно рассматриваться как единая цель для ИТ и ИБ. Разделение должно быть не в функциях, а в масштабах выполнения этих функций. Для ИТ-службы это прежде всего автоматизированные информационные системы, а для ИБ – вся компания, вместе с ее людьми, информационными системами, бизнес-процессами, контрагентами, информационными потоками, которые могут воплощаться не только в электронном виде. Именно поэтому служба ИБ считается выставляющей требования по отношению к ИТ, потому что эти требования должны вписываться во всю систему обеспечения информационной безопасности компании.
2. Контроль и исполнение
Следующим источником конфликтов, который мы рассмотрим, является естественный конфликт между исполняющей и контролирующей службой. В случае если работа и взаимодействие между ИТ и ИБ службами построена так, что для ИТ-службы информационная безопасность – это то, что мешает им делать свою работу, а службе ИБ приходится играть роль «полицейских», то это плохо отражается на общем процессе. Здесь свою роль играет человеческая природа. Подобная ситуация провоцирует то, что «исполняющие» пытаются уходить от контроля, а «контролирующие» ужесточают контроль. И все это вместо того, чтобы достигать общих целей.
3. Битвы за бюджет
Пресловутые битвы за бюджет, вошедшие в историю как основная причина для конфликтов между ИТ и ИБ, по сути являются очень странной ситуацией. Можно еще предположить реальность этого для крупных корпораций, где службы и департаменты далеки друг от друга. Но почему-то в этих конфликтах не упоминается то, что на самом деле речь идет о построении единой, целостной и гармоничной ИТ-инфраструктуры. У служб информационной безопасности и информационной технологий нет отдельных и обособленных собственных инфраструктур. И в этом случае конфликт выглядит неуместным.
4. Внедрение требований
Следующий рассматриваемый источник конфликтов выявляется при выставлении службой ИБ своих требований к среде, подчиненной ИТ. Очень часто в компаниях создается атмосфера, когда работа служб ИБ сводится к выставлению требований к ИТ инфраструктуре. Естественно, в такой ситуации у ИТ службы возникает негативное отношение к информационной безопасности в целом и службе ИБ в частности. Кроме того, им кажется, что им мешают работать, что во многом будет правдой при таком стиле работы.
Однако требования безопасности к ИТ инфраструктуре должны быть зафиксированы в политике безопасности (под политикой безопасности в рамках данной статьи понимается весь пакет документов, регламентирующих работы системы управления информационной безопасности компании). В разработке этих требований ИТ служба должна участвовать непосредственно наравне со службой ИБ. Споры в такой ситуации сводятся к поиску конкретной реализации и практическим тонкостям выполнения зафиксированных требований по отношению к отдельной ИТ задаче или проекту. Основным условием здесь является консенсус между ИТ и ИБ в отношении реализации требований, ведь в противном случае они могут быть реализованы таким образом, который может повлечь за собой ущерб бизнесу компании.
5. Борьба за статус и последнее слово
Когда две службы воспринимают друг друга как конкурирующие или враждующие, естественным образом начинается борьба за последнее слово. Следствием такого стечения обстоятельств является то, что в каждой отдельной ситуации последнее слово останется только за одной из сторон. С большой долей вероятности «последнее слово» любой из сторон не будет учитывать требования бизнеса и его безопасности в целом и может повлечь за собой ущерб.
Информационная безопасность – это деятельность, направленная на упорядочивание и обеспечение большей устойчивости бизнеса в части информационных ресурсов, которые для него необходимы. Подобный подход позволяет достичь взаимопонимания и эффективного взаимодействия между службой ИБ и другими связанными с ней подразделениями, в чем мы убедимся далее.
Предпосылки к эффективному взаимодействию
Работа по созданию системы управления информационной безопасностью несет позитивные последствия для обеих сторон. К ним можно отнести следующее:
- упорядочивание ИТ инфраструктуры. Подобное упорядочивание часто является следствием инвентаризации и анализа рисков, что предшествует любому циклу работ по информационной безопасности.
- повышение осведомленности пользователей. Более предсказуемое и адекватное поведение пользователей часто является следствием проводимых с ними тренингов и инструктажей по информационной безопасности и облегчает работу ИТ служб по их сопровождению.
- объединение в битвах за бюджет. Например, если для одного из ИТ-проектов необходимо дорогостоящее оборудование с расширенным функционалом, служба ИБ может помочь ИТ в обосновании затрат своей резолюцией на основании того, что у этого оборудования более развиты в том числе и функции безопасности.
- повышение уровня доступности, целостности и конфиденциальности информационных ресурсов. На мой взгляд, неправильно, когда эти три свойства информационных ресурсов рассматриваются исключительно как часть информационной безопасности. Неужели для ИТ службы не нужно, чтобы все работало так, как оно должно работать? Чтобы пользователи получали то, что им нужно в том виде, на который они рассчитывают? Чтобы их не хакнули собственные любопытные сотрудники? Нужно. Очень даже нужно. Служба ИБ помогает ИТ службе достичь защищенности ИТ инфраструктуры. Отличие ИБ от ИТ заключается не в том, что ИБ занимается конфиденциальностью, а ИТ – целостностью и доступностью, а в том, что ИБ также распространяет эти три требования на все бизнес-процессы компании, связанные с обработкой информационных ресурсов.
Итак, при таком подходе ИБ и ИТ - это взаимодействующие структуры, имеющие общие интересы, но разную специализацию; они могут объединяться для достижения общих целей; у них дополняющие друг друга функции.
Лучшее, что могут сделать ИБ и ИТ службы – это относиться друг к другу как бизнес-партнеры. Для рассматриваемых трех вариантов организации службы ИБ это выливается в следующее.
Если ИБ – это внутренняя структура ИТ, то лучшее, что можно и нужно вынести из этой структуры – это тесная интеграция и мгновенная реализация в рамках других ИТ проектов вопросов безопасности. При таком раскладе требования безопасности могут учитываться напрямую в концепции развития ИТ и в планировании отдельных проектов.
Если ИБ – это внутренняя структура общей службы безопасности, то лучшее, что можно и нужно вынести из этой структуры - это интеграция между информационной, экономической, физической безопасностью, а также реализация обучения и контроля за пользователями.
Если ИБ – это обособленная структура, то можно построить полноценную систему управления ИБ, взаимодействуя с другими службами. Эта схема обладает наибольшим потенциалом. Для решения конфликта на данной стадии необходимо прийти к единому подходу и найти точки взаимовыгодного сотрудничества с ИТ, а также с другими подразделениями, такими как служба общей безопасности, кадровая и юридическая службы.
Разрешения и урегулирования конфликтов с ИТ службой можно достичь, если следовать следующим простым правилам:
- политика безопасности и другие документы, касающиеся ИТ инфраструктуры должны согласовываться с ИТ службой, а желательно – и разрабатываться с их участием.
- качественные изменения в ИТ-инфраструктуре должны согласовываться со службой ИБ.
- функции служб должны быть зафиксированы, средства их реализации должны быть доступны. При этом функции должны быть не просто разделены, а должен быть налажен процесс, в котором эти функции реализуются и обеспечены средства его реализации. В построении процесса взаимодействия нужно придерживаться принципов прозрачности и простоты.
- службы должны осознавать общие цели и решать их сообща.
- у ИТ и ИБ должен быть общий руководитель из топ-менеджмента для разрешения спорных вопросов.
Конфликты служб чаще всего возникают при проблемах управления. При налаженном взаимодействии и компромиссном подходе именно в управлении этими службами можно достичь гораздо более эффективных результатов.