Функционал службы информационной безопасности вызывает в современных компаниях массу вопросов. Причина проста – каких-либо закрепляющих за службой определенные функции нормативных актов для частных компаний попросту нет. Однако служба в том или ином виде присутствует в большинстве организаций.
Если сравнить функции отдела кибербезопасности, расположенных по соседству промышленного предприятия и юридической компании, они могут не совпасть примерно наполовину. Может даже показаться, что эти подразделения решают для своей организации абсолютно не пересекающиеся задачи. Однако, это не так, ведь главная задача такого отдела – обеспечить надлежащий уровень защиты данных.
Документ, регламентирующий работу службы информационной безопасности, все же существует. Это Типовое положение о структурном подразделении, обеспечивающем информационную безопасность. Документ принят в июле 2022 года и регламентирует деятельность отдела информационной безопасности. Но обязательным его соблюдение является только для тех организаций, которые перечислены в указе №250.
То есть вопрос с функционалом ИБ-службы решен для:
Частным компаниям, не входящим в перечень, вероятно стоит ознакомиться с положением. Но внедрять его у себя полностью совершенно не обязательно.
По документу к функциям информационной безопасности относятся:
Такие функции службы безопасности информации выглядят разумными и для частных компаний могут рассматриваться как необходимый минимум. А дополняют их компании уже в зависимости от конкретных целей и структуры подразделений. Отсюда и несовпадение функционала примерно на 50%.
К унификации дополнительных функций в российской информационной безопасности не привела ни пандемия с ее всеобщим переходом на удаленную работу, ни текущая внешнеполитическая ситуация. Однако некоторые общие тенденции в отрасли все же наблюдаются.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Говорить в целом за отрасль, что функционал у служб ИБ изменился за последние три года, было бы опрометчиво. Все очень сильно зависит от зрелости компании в части ИБ и ее финансового положения. Единственное, что изменилось за прошедшие три года, так это то, что многие компании стали серьезнее относиться к вопросам ИБ, а многие службы ИБ получили дополнительные новомодные СЗИ, которые считаются перспективными в области ИБ. В целом, функционал ИБ расширился, за счет большей осведомленности руководства компаний и вовлеченности их в бизнес-процессы в части ИБ.
Департамент кибербезопасности в любой компании работает в тесном взаимодействии с другими подразделениями. Две службы, с которыми чаще всего пересекаются по рабочим вопросам специалисты ИБ-департамента:
Основой взаимодействия с ИТ-отделом служит построение системы информационной безопасности на основе имеющихся в компании информационных технологий. Отсюда два возможных сценария совместной деятельности этих подразделений.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Первый подход – это когда специалисты ИБ занимаются бумажными регламентами и спускают в службу ИТ рекомендации и требования по настройке ОС и сети. Эксплуатацию разного рода СЗИ также проводит служба ИТ, под надзором ИБэшников. Второй подход – это когда бумажная работа по-прежнему находится в отделе ИБ, но дополнительно они берут на себя обслуживание всех СЗИ, типа SIEM, DLP и криптографии.
Включать ли обслуживание СЗИ в функции информационной безопасности в конкретной компании – вопрос почти риторический. Один из вариантов поведения руководства компании в этой ситуации: проявить гибкость и зафиксировать статус-кво. Если формально настройку и обслуживание СЗИ осуществляет ИТ-служба, а на практике эту функцию уже давно перетянул на себя ИБ-отдел, возможно, самое время отразить такое положение дел в должностных инструкциях обоих подразделений.
Еще один важный нюанс – контроль за качеством внедрения ИБ-сервисов в компании. Если его осуществляет ИБ-отдел, контроль в некоторых случаях может вызвать сопротивление «айтишников». Соответственно, взаимодействие этих двух подразделений требует повышенного внимания руководства компании.
Взаимодействие службы информационной безопасности с юридическим отделом осуществляется по двум обширным пластам вопросов:
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Специалисты по ИБ должны отлично знать законодательство в рамках своих должностных обязанностей, а именно: какие уголовные или административные последствия бывают за утечку ПД, несоблюдения правил обработки ПД, нарушения функционирования КИИ и статьи УК РФ в части киберпреступлений.
При этом, знать процедуры подачи заявлений в прокуратуру, суды специалистам ИБ совершенно не требуется. Этими процессами должны заниматься профессиональные юристы. Задача специалистов по ИБ подготовить доказательную базу с технической точки зрения и проконсультировать юристов в технических моментах, а не ездить и подавать заявление в отделении полиции или курировать прохождение судебного процесса.
Поскольку для отдела информационной безопасности функции в конкретной компании могут быть размыты, нередко возникает ситуация, когда подразделению приписывают ряд спорных должностных обязанностей. Одна из таких спорных функций описана выше, когда взаимодействие с государственными инстанциями различных уровней перекладывается с корпоративных юристов на представителей ИБ-службы. Другой возможный вариант нетипичной для подразделения функции приведен ниже.
Дмитрий Овчинников
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»
Во многих компаниях, службам ИБ любят отдать функции слежки и мониторинга за действиями пользователей. По-хорошему, никакого отношения к вопросам ИБ это не имеет и контролем сотрудников должны заниматься линейные руководители или отдельное подразделение. Вопрос о том, сливает ли сотрудник информацию конкурентам – это вопрос ИБ, а вот как активно сотрудник шевелит мышкой и не смотрит ли он запрещенные материалы на рабочем компьютере – это вопрос к руководителям, а не специалистам по ИБ.
В бизнесе отделы информационной безопасности часто представляют собой подразделения с наиболее туманными полномочиями. С одной стороны им требуется вмешиваться в деятельность любого другого отдела в случае обнаружения угрозы. поэтому полномочий у ИБ-службы должно быть достато для обеспечения безопасности.
С другой стороны при отсутствии четко прописанного порядка взаимодействия с другими подразделениями, служба информационной безопасности подобна атомам неметаллов, активно оттягивающим на себя чужие электроны – функционал соседних структур. Перегруженность ИБ-службы может сыграть не лучшую роль в общем уровне безопасности компании.
Решить проблему помогут грамотно составленные политика информационной безопасности компании и положения о конкретных подразделениях. В документах необходимо четко прописать не только функционал соседних подразделений в спорных моментах, но и вклад каждого сотрудника. Сервисы информационной безопасности – это основа работы ИБ-службы, но важнейшей составляющей успеха все же являются люди.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться