Для нас главное слово - безопасность!

5 причин отделения информационной безопасности от IT

Все больше в последнее время специалистов склоняются к мысли о целесообразности отделения ИБ-от ИТ-подразделения.

Своими соображениями поделились Кирилл Балашов, директор по информационным технологиям, и Владимир Пушков, начальник группы по защите информации, СОАО "Национальная страховая группа".

Кирилл Балашов:

- Прежде чем назвать основные причины целесообразности отделения отдела информационной безопасности от департамента информационных технологий, нужно определиться сначала, что же представляют собой информационные технологии (ИТ) и информационная безопасность (ИБ) в отдельности.

В широком смысле ИТ - это технологии получения, обработки и хранения информации. Но здесь есть две альтернативы, на которые стоит обратить внимание:

• компания вкладывает в понятие "информационные технологии" весь документооборот;
• компания вкладывает в это понятие только информацию, которая представлена в электронном виде.

Именно от решения этого вопроса зависят взаимоотношения служб ИТ и ИБ.

Мы придерживаемся второй позиции, поэтому в нашей компании вопросы ИБ мы ставим несколько шире, чем просто ИБ в ИТ: она занимается не только той информацией, которая находится в электронном  виде,  но и  информацией,  представленной на бумажных или магнитных носителях и даже в устной форме. В связи с этим ИТ-департамент подчиняется директору по информационным технологиям, ИБ-отдел - директору по экономической и информационной защите.

Владимир Пушков:

-Таким образом, ИТ в нашей компании связаны с электронной обработкой информации, а ИБ -с таким понятием, как "экономическая безопасность". Несмотря на то что ИТ-департамент также заинтересован в защите информации, масштабы деятельности в этом плане у нас все же разные, так как требования по ИБ распространяются на все бизнес-процессы компании. Когда учитываются не только риски ИТ, но и риски, связанные с кадровой и физической безопасностью, с обеспечением безопасности всего документооборота и т.п., только тогда можно построить экономически эффективную систему защиты информации и в результате минимизировать ущерб компании от многочисленных угроз ИБ.

Кроме того, важно подчеркнуть, что при разделении служб ИТ и ИБ необходимо, чтобы взаимодействие между ними было основано не на конфликте интересов, а на партнерских отношениях. И у нас имеется немало примеров хорошей и слаженной работы.

Основные причины отделения ИТ от ИБ:

1. ИБ не лежит только в рамках ИТ. Она  занимается не только той информацией, которая находится в электронном виде.
2. ИБ должна в определенной степени  контролировать и ИТ.
3. ИБ имеет отношение к сотрудникам и иным  лицам, работающим вне зоны ИТ.
4. ИБ является важной составной частью  экономической безопасности, а также связана с физической и кадровой безопасностью. Таким образом, спектр вопросов выходит за рамки ИТ.
5. Наша компания, как и многие другие, имеет дело с персональными данными, требования по защите которых жестче и шире полномочий ИТ. Для нас главное слово - безопасность!

Кирилл Балашов:

- Мы, конечно, между собой сотрудничаем, но здесь есть один неприятный аспект: наиболее слабым звеном в системе являются пользователи, которые имеют доступ практически ко всей информации, то есть как раз сотрудники ИТ-департамента. Кроме того, именно в ИТ-специалистах культивируется, как я бы его назвал, "навык любознательности", который зачастую направлен не только на исследование каких-либо программ, но и на всю информацию компании в целом.

Поэтому необходимо, чтобы службы ИТ и ИБ не находились в рамках одного подчинения, чтобы между ними не устанавливались более доверительные отношения, так как в этом случае ИБ будет спустя рукава контролировать системных администраторов.

Здесь нужно очень четко разделять контроль, который осуществляется системными администраторами, и контроль, который реализуется сотрудниками отдела ИБ.

Владимир Пушков:

- Часть функций, которые относятся к электронной обработке информации, может быть передана отделу ИБ с целью контроля (мониторинга) действий нелояльных пользователей, состояния сети, задания правил для сетевых экранов, настройки фильтров и т.п. Указанный контроль должен осуществляться как в целях оказания помощи специалистам ИТ-департамента, так и для получения сведений о текущем состоянии И Б, чтобы иметь возможность своевременно реагировать на инциденты ИБ и принимать меры по оперативному их предотвращению.

Но замечу, что это все должно делаться на правовой основе. Для этого в нашей компании разработана и утверждена руководством политика ИБ, предварительно согласованная с ИТ-департаментом и проверенная на практике во избежание в дальнейшем различных конфликтов.