Поди туда – не знаю куда, принеси то – не знаю что: функции службы информационной безопасности в компании
Securitymedia.org
Поди туда – не знаю куда, принеси то – не знаю что: функции службы информационной безопасности в компании
21.08.2023
Функционал службы информационной безопасности вызывает в современных компаниях массу вопросов. Причина проста – каких-либо закрепляющих за службой определенные функции нормативных актов для частных компаний попросту нет. Однако служба в том или ином виде присутствует в большинстве организаций.
Если сравнить функции отдела кибербезопасности, расположенных по соседству промышленного предприятия и юридической компании, они могут не совпасть примерно наполовину. Может даже показаться, что эти подразделения решают для своей организации абсолютно не пересекающиеся задачи. Однако, это не так, ведь главная задача такого отдела – обеспечить надлежащий уровень защиты данных.
ИБ-служба и ее функции в законодательстве
Документ, регламентирующий работу службы информационной безопасности, все же существует. Это Типовое положение о структурном подразделении, обеспечивающем информационную безопасность. Документ принят в июле 2022 года и регламентирует деятельность отдела информационной безопасности. Но обязательным его соблюдение является только для тех организаций, которые перечислены в указе №250.
То есть вопрос с функционалом ИБ-службы решен для:
- федеральных органов исполнительной власти;
- государственных фондов, корпораций;
- любых других организаций, действующих на основании федерального закона;
- стратегических предприятий и акционерных обществ;
- системообразующих предприятий экономики;
- субъектов критической информационной инфраструктуры.
Частным компаниям, не входящим в перечень, вероятно стоит ознакомиться с положением. Но внедрять его у себя полностью совершенно не обязательно.
По документу к функциям информационной безопасности относятся:
- планировать, реализовывать и контролировать выполнение мероприятий по информационной безопасности;
- выявлять угрозы безопасности данных компании, а также используемому ПО и программно-аппаратным средствам;
- предотвращать утечки и несанкционированный доступ к информации;
- обеспечивать стабильную работу инфраструктуры компании при кибератаках;
- сообщать о произошедших атаках в Национальный координационный центр по компьютерным инцидентам;
- готовить отчеты по своей деятельности;
- обучать сотрудников других подразделений необходимым действиям для обеспечения информационной безопасности.
Такие функции службы безопасности информации выглядят разумными и для частных компаний могут рассматриваться как необходимый минимум. А дополняют их компании уже в зависимости от конкретных целей и структуры подразделений. Отсюда и несовпадение функционала примерно на 50%.
К унификации дополнительных функций в российской информационной безопасности не привела ни пандемия с ее всеобщим переходом на удаленную работу, ни текущая внешнеполитическая ситуация. Однако некоторые общие тенденции в отрасли все же наблюдаются.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Говорить в целом за отрасль, что функционал у служб ИБ изменился за последние три года, было бы опрометчиво. Все очень сильно зависит от зрелости компании в части ИБ и ее финансового положения. Единственное, что изменилось за прошедшие три года, так это то, что многие компании стали серьезнее относиться к вопросам ИБ, а многие службы ИБ получили дополнительные новомодные СЗИ, которые считаются перспективными в области ИБ. В целом, функционал ИБ расширился, за счет большей осведомленности руководства компаний и вовлеченности их в бизнес-процессы в части ИБ.
Взаимодействие с другими подразделениями
Департамент кибербезопасности в любой компании работает в тесном взаимодействии с другими подразделениями. Две службы, с которыми чаще всего пересекаются по рабочим вопросам специалисты ИБ-департамента:
- отдел информационных технологий;
- юридический отдел.
Основой взаимодействия с ИТ-отделом служит построение системы информационной безопасности на основе имеющихся в компании информационных технологий. Отсюда два возможных сценария совместной деятельности этих подразделений.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Первый подход – это когда специалисты ИБ занимаются бумажными регламентами и спускают в службу ИТ рекомендации и требования по настройке ОС и сети. Эксплуатацию разного рода СЗИ также проводит служба ИТ, под надзором ИБэшников. Второй подход – это когда бумажная работа по-прежнему находится в отделе ИБ, но дополнительно они берут на себя обслуживание всех СЗИ, типа SIEM, DLP и криптографии.
Включать ли обслуживание СЗИ в функции информационной безопасности в конкретной компании – вопрос почти риторический. Один из вариантов поведения руководства компании в этой ситуации: проявить гибкость и зафиксировать статус-кво. Если формально настройку и обслуживание СЗИ осуществляет ИТ-служба, а на практике эту функцию уже давно перетянул на себя ИБ-отдел, возможно, самое время отразить такое положение дел в должностных инструкциях обоих подразделений.
Еще один важный нюанс – контроль за качеством внедрения ИБ-сервисов в компании. Если его осуществляет ИБ-отдел, контроль в некоторых случаях может вызвать сопротивление «айтишников». Соответственно, взаимодействие этих двух подразделений требует повышенного внимания руководства компании.
Взаимодействие службы информационной безопасности с юридическим отделом осуществляется по двум обширным пластам вопросов:
- текущее законодательство в сфере информационной безопасности и изменения в нем;
- уведомление госструктур о произошедших в компании инцидентах в установленном законом порядке.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Специалисты по ИБ должны отлично знать законодательство в рамках своих должностных обязанностей, а именно: какие уголовные или административные последствия бывают за утечку ПД, несоблюдения правил обработки ПД, нарушения функционирования КИИ и статьи УК РФ в части киберпреступлений.
При этом, знать процедуры подачи заявлений в прокуратуру, суды специалистам ИБ совершенно не требуется. Этими процессами должны заниматься профессиональные юристы. Задача специалистов по ИБ подготовить доказательную базу с технической точки зрения и проконсультировать юристов в технических моментах, а не ездить и подавать заявление в отделении полиции или курировать прохождение судебного процесса.
А крестиком не вышиваете?
Поскольку для отдела информационной безопасности функции в конкретной компании могут быть размыты, нередко возникает ситуация, когда подразделению приписывают ряд спорных должностных обязанностей. Одна из таких спорных функций описана выше, когда взаимодействие с государственными инстанциями различных уровней перекладывается с корпоративных юристов на представителей ИБ-службы. Другой возможный вариант нетипичной для подразделения функции приведен ниже.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Во многих компаниях, службам ИБ любят отдать функции слежки и мониторинга за действиями пользователей. По-хорошему, никакого отношения к вопросам ИБ это не имеет и контролем сотрудников должны заниматься линейные руководители или отдельное подразделение. Вопрос о том, сливает ли сотрудник информацию конкурентам – это вопрос ИБ, а вот как активно сотрудник шевелит мышкой и не смотрит ли он запрещенные материалы на рабочем компьютере – это вопрос к руководителям, а не специалистам по ИБ.
Итоги
В бизнесе отделы информационной безопасности часто представляют собой подразделения с наиболее туманными полномочиями. С одной стороны им требуется вмешиваться в деятельность любого другого отдела в случае обнаружения угрозы. поэтому полномочий у ИБ-службы должно быть достато для обеспечения безопасности.
С другой стороны при отсутствии четко прописанного порядка взаимодействия с другими подразделениями, служба информационной безопасности подобна атомам неметаллов, активно оттягивающим на себя чужие электроны – функционал соседних структур. Перегруженность ИБ-службы может сыграть не лучшую роль в общем уровне безопасности компании.
Решить проблему помогут грамотно составленные политика информационной безопасности компании и положения о конкретных подразделениях. В документах необходимо четко прописать не только функционал соседних подразделений в спорных моментах, но и вклад каждого сотрудника. Сервисы информационной безопасности – это основа работы ИБ-службы, но важнейшей составляющей успеха все же являются люди.
Популярные публикации
Хотите быть в курсе последних новостей?
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться