`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Нестор Комарницкий

Директор по информационной безопасности: чей он?

+48
голосов

Все счастливые семьи похожи друг на друга, каждая несчастливая семья несчастлива по-своему.

Л. Н. Толстой

Вопрос совершенно не праздный. Тема ИТ-безопасности оказалась в крупных компаниях меж двух ветвей власти. Значит ли это, что конфликт между ИТ-директором и директором по безопасности за ресурс специалистов по ИБ неизбежен?

Думаю, что в компаниях с адекватной моделью работы и решающих в первую очередь задачи бизнеса, этого можно избежать. Каким образом? Можно, к примеру, вынести функцию руководителя информационной безопасности на уровень директора. Можно обеспечить прозрачный для всех сторон процесс согласования задач ИТ, ИБ и СБ.

А можно вообще ничего не делать, считая функцию информационной безопасности надуманной параноиками, и спокойно наблюдать за тем, как ваше конкурентное преимущество потихоньку уходит сквозь пальцы. Или сквозь интернет.

В моей практике руководства ИТ служба информационной безопасности подчинялась как мне (CIO), так и директорам по безопасности. Неудачи во всех случаях были разные. А вот успешная деятельность всегда была только и исключительно в тех случаях, когда «шишки были общие». Но зато она была весьма похожа и ответственна. В общем, все как у Льва Толстого в «Анне Карениной».

А как у Вас?

+48
голосов

Напечатать Отправить другу

Читайте также

Ввиду того, что несмотря на цитирование Толстого, вы написали в стиле Чехова, простите если не угадал смысл вопроса...

Чей? Вообще-то он тех (или того) "чьих CIO будет". Все они CxO...

Где и может возникать вопрос это взаимоотношение CSO и CISO, так как решаемые вопросы у них не всегда паралельные, а могут и пересекаться...

но в любом случае, люди занимающиеся ИБ должны быть выведены из под подчинения Директору ИТ

Почему Вы так категоричны?
***
Чтение - это то, что делает человека человеком.

Даже не знаю с чего начать?..

Во-первых, когда я писал ответ, я не посмотрел Вашу позицию, посему это не "выпад" в Ваш адрес.

А теперь, по сути. Если очень кратко, то наверное так:

Главная задача CISO - это обеспечить защиту информационных активов, «нехорошее» воздействие на которые представляют угрозу БИЗНЕСУ компании.

Ввиду того, что владельцами информационных активов, являются люди разных подразделений, то «главный по ИБ» не может быть подчинен руководителю одного из подразделений, а может быть подчинен только «главному за БИЗНЕС».

Если правильно расставить акценты, то выясняется, что не только характер, но и поле деятельности ИБ и ИТ не совпадают. Соответственно, они должны быть в разном подчинении.

Детализируйте, если есть возможность.
***
Чтение - это то, что делает человека человеком.

начнем издалека...
Приём на работу нового сотрудника - это уже в сфере деятельности офицера ИБ, но не всегда относится к области ИТ. Далее - аналогиично...

От такого "далека" далеко зайдем в дискуссии...
***
Чтение - это то, что делает человека человеком.

Алексей написал на 100% верно.
На сегодняшний день обсуждать вопросы ИБ «по наитию» не актуально и не верно. Существует разработанная нормативная база (уровня международных стандартов), которая регламентирует правила создания систем управления ИБ. Примечателен, тот факт, что россияне приняли в качестве ГОСТов переводы этих стандартов.
А нам, в Украине, мировой опыт не нужен, мы сами с усами… Снимаю шляпу перед НацБанком, который терпел, терпел и ввел ISO/IEC 27001:2005 и 27002:2005 как отраслевые, немного модифицировав. К слову, упоминаний в прессе об этом не видел, наверное пропустил.
Алексей, выбрал выражение «начнем издалека...», потому как очень трудно, коротко и ясно изложить сотни страниц стандартов, вот он и начал с «начала» ;-)
На сегодняшний день, поднятый Вами вопрос, не есть дискуссионный, но есть проблемный так как «сложившееся практика» нарушает все каноны индустрии.
И правильно Вы пишите «Чтение - это то, что делает человека человеком», предлагаю начать с чтения 27002 и 27001, благо найти их в русском варианте, теперь уже в украинском можно совершенно бесплатно.

Уровень международных стандартов - это замечательно. Но этот сайт посещают десятки и сотни людей, которые ищут тут в том числе и единомышленников, новые знания и идеи для своей работы. И посыл о том, что "что-то есть проблемой", он хорош, но недостаточен.

Цель этого блога - поднять дискуссию о проблемных вопросах и высказать совместно с его читателями свои мнения по тому, как их решать, а не отсылать к стандартам, какими бы они замечательными не были.
***
Чтение - это то, что делает человека человеком.

Вы уже путаетесь в показаниях: то диспут Вам не нужен, то он уже нужен всем

если Вы хотите дисскуссии, то ищите другого собеседника, а я воздержусь от такого формата общения

Если в компании грамотная система согласования работы подразделения ИБ то проблема подчинения подразделения ИБ неактуальна.

Вот это ближе к моему пониманию ситуации.
***
Чтение - это то, что делает человека человеком.

Как уже выше было сказано, согласно требований ISO, причем не только 27001, но и его предшественников - подраздение ИБ должно подчиняться первому лицу в организации.
Если же кто-то хочет заниматься безопасностью, но не хочет читать стандарты, считая это пустой тратой времени - это его проблема.
Но как быть в ситуации, когда действия директора ИТ идут в разрез с политикой безопасности? Скажете такого не бывает - не верю! В моей практике такое было.
И подчиняется нач ИБ начальнику ИТ. Что будет? Да ничего! Толку в смысле не будет
Кроме того, стоит отметить, что директор ИТ не определяет режим информацинной безопасности. Он его выполняет! А определяет его первое лицо в организации.
Вспомним другой стандарт. Банковский - Basel II
По нему начальник ИБ - член Правления банка! И где тут подчиненность начальнику ИТ?
Хочу сказать, что подчиненность начальнику ИТ на самом деле удобна одному человеку. Самому начальнику ИТ!
Microsoft Security Trusted Adviser
MVP Consumer Security

Интересное мнение. Но...

А "но" состоит в том, что в жизни есть место и для оправданных отклонений от стандарта. Или нет?

***
Чтение - это то, что делает человека человеком.

Т.к. указанные стандарты есть собрание морового опыта (best practice), то следует их придерживаться, а чем более будут "оправдываемые" Вами отклонения, тем более увеличиваются всевозможные риски. И Вам, как владельцу бизнеса, решать, что Вы ставите на чашу весов.

К примеру, Вы принимаете решение ставить или не ставить замок на несгораемом шкафу для ленточных носителей, который находится в помещении с ограниченным доступом.

В итоге именно от Вашего решения зависит судьба архива данных. Ставить сложный замок - дорого (мол "и без того никто туда не проникнет и ничего не возьмет"), а не ставить вовсе - в самый неподходящий момент несгораемая дверца сама может открыться и тогда...

PS.
Отталкиваясь от эпиграфа к Вашему сообщению и декларивованного выше неприятия (частичного или полного) соответствующих стандартов (т.е. отраслевых "рецептов счастья"), осмелюсь предположить, что Вам просто инетерсно в чём же несчастны каждый из нас

Насчет "декларирования неприятия" - не стоит мне приписывать того, что я не говорил. А вот P.S. - да, это по существу. Мне действительно интересно, каким образом каждый из нас убеждает принимающих окончательные решения пользоваться теми самыми стандартами.

***
Чтение - это то, что делает человека человеком.

...в жизни есть место и для оправданных отклонений от стандарта...

это и есть "неприятие" (частичное)

Давайте определимся с терминами. Термин "информационная безопасность" состоит из двух слов - существительного "безопасность", обозначающего собственно объект, и прилагательного "информационная", которое определяет качество (свойство) этого объекта. Очевидно, что первична безопасность. Информационная безопасность является частью более общего термина. Это во-первых.
Во-вторых, информационная безопасность далеко не однозначно связана с ИТ, поскольку ИТ в общепризнанном понимании управляют электронными данными, а собственно информация (конфиденциальная в данном контексте) бывает, к примеру, и бумажной.
Отсюда простой вывод, понятный для нормального генерального директора или председателя наблюдательного совета, - информационная безопасность входит в состав службы безопасности, а директор по информационной безопасности подчиняется директору по безопасности (генеральному директору как вариант).
Однако, имея в виду типичный кадровый состав руководства службы безопасности, рассчитывать на его понимание состава задач информационной безопасности и, тем более, способов их выполнения, в нашей стране не приходится.
Таким образом, имеем достаточно точный теоретический критерий зрелости бизнеса, сформулированный как заголовок данного блога.

Рад, что Вы меня отлично поняли.
Посмотрим, что будет дальше.
***
Чтение - это то, что делает человека человеком.

Огромная просьба к Автору уточнить обсуждаемую тему. Вас в-первую очередь ответ на какой вопрос интересует:

"У кого как?"

или

"Как должно быть?"

В дискуссии интересуют оба момента.

Для себя я давно определился, что стандарты в любом деле - хорошая точка для начала работы, но если можно сделать лучше и не навредить, то почему бы и нет.

Интересно, что по этих поводах думает сообщество.

***
Чтение - это то, что делает человека человеком.

Для того, что бы что то "улучшать" необходим анализ недостатков реализованного.

А какие недостатки Вами были установленны при реализации СУИБ в соответствии с требованиеями стандартов в области ИБ?

Что касается СУИБ, то, по-моему, ориентация исключительно на внедрение стандарта для галочки без поставленной работы отслеживания вновь появляющихся угроз и рисков, согласитесь, фикция. А на этой работе часто и экономят. И стандарт это замечательным образом позволяет.

***
Чтение - это то, что делает человека человеком.

Если работать "для галочки" - то не имеет значения чем руководствоваться в этой работе.

А если при разработке СУИБ начать чтение 27001-го, то буквально на первых же страницах (во Вступлении) читателя будут заставлять разучить "Процессный подход", а следовательно состояние, о котором Вы пишите, НЕДОСТЕЖИМО,так как стандарт "...это замечательным образом..." НЕпозволяет.

Давайте грамотно писать комментарии и читать стандарты.

О том, что такое принятие рисков, знаете?
***
Чтение - это то, что делает человека человеком.

Да

А в стандарте об этом читали?

***
Чтение - это то, что делает человека человеком.

Конечно

Кстати, а где вообще обитают директора по ИБ? Слышал о таком в УралсибБанке (в Сбербанке и ВТБ тоже значит должен быть), но например в Украине разве такие позиции есть (в госмонополистах точно нет, в ПриватБанке тоже нет..)?

К сожалению, не слышал о таким образом обозначенном должностном лице в украинских компаниях.

***
Чтение - это то, что делает человека человеком.

Мы долго искали в реестре профессий. С нашей очки зрения самая близкая профессия к обсуждаемой тут роли «офицера ИБ» — "Аналітик консолідованої інформації"

Хорошая шутка.

***
Чтение - это то, что делает человека человеком.

Смотрел я как-то на этот реестр..это только мне кажется что он изрядно (лет так минимум на 10) устарел (еще есть риторический вопрос насчет способно ли наше государство поддерживать актуальные справочники - типа упомянутого реестра и классификатора товаров, например)?

Вообще, аналитик с окладом директора (замдиректора, вице-президента - в зависимости от структуры компании), полномочиями директора (делается приказом первого лица и Положением о ИБ в компании в качестве дополнения к приказу) теоретически ничем не отличается по полезности для бизнеса, но на самом деле он никогда не будет "директором"..у него просто людей не будет. А пока у него не будет людей, в компании у которой уже будет средства на отдельного спеца по ИБ, просто не будут прислушиваться к нему (сотрудники же 1000 разных причин найдут создания позиции - родственник, отдает директор долг, навязали собственники, требуют нормативные документы и так далее, кроме истинной ессно). Не будет минимального неформального авторитета (он и так зарабатывается, но если есть хоть подобие службы то намного легче).

Про государство поговорим в другой теме, пожалуй.

А вот что касается авторитета, то он зарабатывается конкретными делами, а не количеством подчиненных.

***
Чтение - это то, что делает человека человеком.

Конкретные дела еще нужно провести через корпоративную паутину, и в этом помогает какой-то минимально отличный от большинства сотрудников статус (как я говорил, с ним просто легче) - т.е. без статуса вопросы будут решаться медленнее, а значит риски будут существовать большее время.

То есть названия должности и приобщения других сотрудников к пониманию сути уже недостаточно?
***
Чтение - это то, что делает человека человеком.

Естественно, без отдельных сотрудников ИБ будет в организации второстепенной - как второстепенно вообще все в организации, чем не занимается отдельное структурное подразделение.

Даже если это подразделение будет состоять из одного человека?

***
Чтение - это то, что делает человека человеком.

А какая разница? Я навидался даже отделов (не секторов!) с одного человека ..главное тут статус "начальник", причем реальные полномочия могут быть поменьше иных сотрудников..но незнакомые и малознакомые сотрудники судят по лычке (они кстати то не знают сколько сотрудников;) - конечно, если есть устоявшийся коллектив, тогда вопрос менее остер, но есть многие и многие компании где текучка персонала весьма высока..

Это был несколько риторический вопрос :)
***
Чтение - это то, что делает человека человеком.

Я уж точно не специалист по кадровому учету, но чем Вам не понравилась позиция:

1229.7 Руководители других основных подразделений в других сферах деятельности

Может мы разные документы видели?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT