вівторок, 26 травня 2015 р.

Промахи CISO: Название подразделения

Ну как можно быть начальником и не имеет своего подразделения? А бывает ли подразделение без названия? А название, штука серьезная, потому как "как корабль назовете, так корабль поплывет"(с)...


Как только на предприятии появляется "главный по ИБ", практически сразу образуется "подразделение ИБ". Уровень подразделения (отдел, департамент, управление и т. п.) бывает разным и зависит от многих факторов...

На первый взгляд все логично и нормально, но это на первый взгляд...

Начнем с того, что вернемся к вопросу (набившего оскомину) "Что есть ИБ?".

Есть много разных определений, но в основном они сводятся к двум базовым идеям: "состояние защищенности характеристик/свойств информации" или же "процесса доведения и поддержания" до упомянутого ранее "состояния".

Как мы видим, мы не можем четко выделить "универсальную функцию" для исполнителя (ИБшника), потому как ее не существует.

Информация живет на предприятии в различных местах, различных формах, различных "уровнях зрелости"... И как следствие, для обеспечения необходимого уровня ИБ, требуется специфические действия многих сотрудников, но в рамках их основных функций.
Таким образом, процесс, охватывающий эти специфический действия, построить можно, а вот так, что бы эти специфические действия "навыдергивать" и породить некую ИБ-функцию вряд ли  удастся.

Названия подразделений обычно происходят от функций, которые выполняются его сотрудниками, например "отдел продаж/сбыта" или "производственный отдел" и на их фоне "отдел ИБ" звучит несколько некорректно. К сожалению такая некорректность приводит к нехорошим результатам.

Фактически происходит искажение "картины мира" всех сотрудников предприятия. Рассмотрим некоторые проблемы, которые порождают такие искажения:

Что происходит в головах других работников:
ИБ - это не моя задача, вон есть люди которые за это получают деньги, пусть они и напрягаются

Что происходит в головах руководителей:

"Главного по ИБ", как и любого другого сотрудника, воспринимают, через его статус в иерархии. Например, предприятие имеет дирекции, департаменты, управления, отделы, сектора. Что собой должно представлять "подразделение ИБ", что бы руководители всех уровней с ним считались?

Получателем и распорядителем средств/бюджета на ИБ предприятия есть "подразделение ИБ"

Что происходит в голове "главного по ИБ"
он начинает строить СУИБ, в первую очередь отталкиваясь от ресурсов "подразделения ИБ", а здесь, как "карта ляжет"...

А теперь представим немного другое развитие ситуации.

"Главный по ИБ" начинает позиционировать себя как "владелец процесса" управления ИБ предприятия (хочу повторится, что без "процессного подхода" ИБ на предприятии будет хромать на обе ноги). Что происходит при таком подходе:

  • "главный по ИБ" получает возможность управления всеми ресурсами, как материальными, так и людскими, вовлеченными в процесс
  • лично ему бюджета ИБ не надо, если юристам нужно соблюсти некие требования законодательства, а продавцам усилить конфиденциальность, то нет проблем, им предложат планы действий и их стоимость...

Должен ли при этом "главный по ИБ" инициировать создание дополнительных подразделений. Конечно должен!
Только главное их правильно назвать, например:  "отдел мониторинга/реагирования на инциденты", "отдел внутренних расследований", "отдел аудита", "отдел анализа кода приложений", "шифровальный отдел " :) и т.д и т.п.

Должен ли он их возглавлять? Может, но и это не должно быть самоцелью, только прагматичная "производственная" необходимость...

ЗЫ: Прав я или нет, оценивать можно по разному, но в тех немногих стандартах по ИБ с которыми я знаком, требования по организации "подразделения ИБ" я ни разу не встречал... Может встречали вы? Где?

Немає коментарів:

Дописати коментар