Защита информации + компетентные кадры = конкурентное преимущество

Компания КПМГ в начале 2002 года провела исследование среди крупных организаций Европы, Ближнего Востока, Африки, Азиатско-тихоокеанского региона и Американского континента, посвященное состоянию информационной безопасности (ИБ) в мире. Согласно исследованию, в среднем, прямой ущерб, понесенный каждой организацией вследствие тех или иных нарушений ИБ, составляет 108,000 долларов США. Кроме того, существуют косвенные издержки, связанные с простоем и уменьшением производительности персонала, а также с совершенствованием системы информационной безопасности после конкретного нарушения (что обычно гораздо дороже, чем первоначальное создание системы ИБ). Если добавить к этому ущерб репутации, который может причинить нарушение системы ИБ, то общий размер последствий может оказаться огромным. В конечном счете, дешевле и менее болезненно осуществить эффективное инвестирование в предупреждение нарушения, нежели устранять ущерб после происшествия.

Успех программы по управлению рисками, или в более привычных терминах - информационной безопасности, зависит как от организационных, технических решений в данной области, так и кадровых. Для большинства российских компаний жизненно важным на ближайшие 3-5 лет станет формирование выделенных служб и подразделений, отвечающих за развитие политики в области ИБ, оценку рисков и практическое исполнение мер безопасности на всех уровнях компании. Из этого вытекает еще одна проблема: какой компетентностью должны обладать специалисты этих служб, какие обязанности выполнять и как это скажется на структуре менеджмента и бизнес-процессах.

Сегодня ведущие отечественные компании идут по пути создания двух ключевых позиций, отвечающих за информационную безопасность:

1. CISO (Chief Information Security Officer), - или, в российских терминах, Директор по информационной безопасности. Он/она отвечает за то, чтобы потребности бизнес-процессов компании и требования в области ИБ были продуманы и адекватны друг другу.
2. BISO - (Business Information Security Officer) - менеджер по информационной безопасности. Это представитель Службы информационной безопасности на уровне подразделения (например, отдела информационных технологий или автоматизации), который занимается практическим внедрением и исполнением политик и регламентов, разработанных CISO. Характерно для очень крупных или географически разделенных компаний, при этом BISO отвечает за свой филиал/регион.

Рассмотрим возможную организационную структуру службы ИБ компании

Здесь, по мнению автора, принципиальны следующие два момента (функциональный и статусный):

• Ранее (да и сейчас) в большинстве российских компаний обеспечением информационной безопасности занимаются отделы и службы автоматизации. В настоящее время ведущие отечественные компании идут путем выделения этой функции в отдельное подразделение с вытекающими отсюда организационными, кадровыми и финансовыми изменениями. Таким образом, спрос на квалифицированных специалистов по защите информации растет.
• Статус лица, определяющего защищенность информационных ресурсов компании, станет адекватен (равен) статусу топ-менеджеров компании, отвечающих за развитие таких ресурсов компании, как финансовые (Финансовый директор), технологические (Директор по производству), человеческие (Директор по персоналу) и т.д. Можно спрогнозировать, что рынком будут востребованы специалисты по ИБ с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда.

К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных с точки зрения ИБ компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне Совета директоров, что наиболее характерно для финансового сектора. Непосредственное участие топ-менеджмента компании необходимо для постановки правильных целей в области ИБ, позволяющих без ущерба осуществлять деятельность и ее развитие. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность

Профиль компетентности

Если поиск компетентного специалиста на позицию BISO вопрос сложный, но вполне решаемый (во всяком случае, на московском и петербургском рынках труда), то поиск CISO, по всей видимости, является самой настоящей проблемой по причине несформированности профиля компетенции и отсутствия подготовленных специалистов.

Действительно, главная задача CISO – это оценка и управление технологическими, производственными и иными рисками компании в срезе информационной безопасности. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать и управлять рисками в соответствии с целями и задачами компании и уровнем ее развития. Свою специфику также вносит сфера деятельности компании, ее размер и стоимость информационных активов.

CISO должен входить в верхний эшелон управления компанией и быть способен сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий, возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров. Наиболее характерная проблема в том, потребности бизнеса «входят в клинч» с потребностями безопасности. CISO должен быть способен переводить с русского на русский, то есть с технического на тот язык, который могут понять руководители бизнеса. В дополнение к солидному образованию и опыту в области защиты информации (5-7 лет в области защиты информации полюс дополнительное образование или опыт в IT) CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными познаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического/технологического образования, также как и только «защитного». Позицию CISO, скорее всего, будут заполнять аудиторы или аналитики в области безопасности. Проблема в том, что хороший аналитик и хороший управленец не одно и то же. Это люди с принципиально разным складом ума, структурой мотивации и компетентностью. Чтобы совместить «два-в-одном», профессионала аналитика в этом случае нужно значительно «подращивать» и укреплять по менеджерской составляющей. Идеален случай привлечения такого специалиста из числа своих же сотрудников, ибо тогда профессиональная компетенция усилена еще и знанием конкретного предприятия.

Сертификация CISO

В настоящее время существуют три наиболее серьезных сертификации специалистов по защите информации.

По данным Gartner Research, среди компаний из Global, 2000 предпочтения в области сертификации распределяются следующим образом:

1. Сертификацию CISSP (компания ISC ²) – при приеме на работу или аттестации персонала требуют 40% компаний.

2. Сертификат SANS – 15% компаний.

3. Другие (MCSE, CISA, ABCP, внутренняя сертификация) – 25% опрошенных компаний.

Функции CiSO

По мнению аналитиков, CISO должны быть способны выполнять следующие функции:

• Разработка политики в области ИБ, включая регламенты, стандарты, руководства
• Разработка принципов классификации информационных потоков и управления ими
• Анализ рисков, их оценка и принятие
• Обеспечение персонала всех подразделений руководствами и знаниям по исполнению политики в области ИБ, организация соответствующего обучения и инструктирования
• Консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них
• Согласование всех политик и регламентов с тем, чтобы они были успешно внедрены на всех уровнях компании
• Работа в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формирования планов технического обновления или иных изменений бизнеса. Включение аспектов ИБ на самые ранние этапы данных проектов
• «связующее звено» между Службой качества и отделом ИТ/автоматизации с правом проверки внутренних отчетов Службы качества
• совместная работа со Службой безопасности в части, касающейся их обоих, например, научно-исследовательские работы (НИОКР) или пропускная система (бейджи, пропуска)
• Совместная работа со Службой персонала в части, касающейся проверки некоторых данных при найме на работу
• В случае кризисов или чрезвычайных происшествий в области защиты информации участвовать вместе с топ-менеджментом в управлении кризисом
• Обеспечивать менеджмент компании регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики
• Информационная поддержка топ-менеджеров в части изменений в законодательстве и технических новинок, имеющих отношение к информационной безопасности.

Структура подчиненности

Согласно Gartner Research, 2001 в компаниях, входящих в список Global, 2000 наблюдается несколько тенденций.

Одна из них – вывод CISO из структуры отдела ИТ/Автоматизации в подчиненность первому лицу компании (изменение статуса). Причина в том, что Директор по Информационным технологиям/Автоматизации (CIO) и Директор по Информационной безопасности (CISO) имеют разные конфликтующие интересы. CIO отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса. Иными словами, компаниям придется находить баланс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research, 2001, CIO и CISO должны быть независимы друг от друга и оба подчиняться первому лицу компании.

Другая тенденция (в некоторых компаниях) – слияние департаментов Информационной и Физической безопасности в связи с тем, что у них есть некоторые общие функции. Например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр.

Наиболее продвинутые в смысле ИБ и управления рисками компании инвестируют средства в появление позиции CPO (Chief Privacy Officer), русский аналог - Заместитель директора по безопасности. В этом случае CISO будет подчинен CPO.

Шесть советов для успеха

Автор предлагает Вам несколько советов, которые могут быть полезны компаниям, планирующим создание позиции CISO:

• CISO – это не башня из слоновой кости. С первых дней появления CISO в составе Совета директоров ему придется находить общий язык с огромным количеством людей, выполняющих самые разные функции и имеющих самые разные интересы.
• Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция предполагает «много слушаю, много собираю информации, много синтезирую – мало говорю».
• Возможно, есть смысл в административном помощнике в связи с высокой информационной загруженностью.
• Позиция предполагает информирование, объяснение и умасливание огромного количества людей для того, чтобы они разделяли понимание ИБ и своей личной роли в этом. Если CISO не нравится заниматься этим, вряд ли он/она будет очень успешен.
• CISO не должен бояться слышать регулярное «Нет» в ответ на свои предложения и требования, во всяком случае, на первых порах.
• CISO сам должен быть хорошим менеджером и коммуникатором – эта работа не может быть выполнена им в одиночку. Прибавьте сюда еще традиционную российскую недоверчивость ко всякого рода безопасности и, скорее всего, низкий уровень сотрудничества со стороны персонала.

Заключение

По данным независимых аналитических агентств, большинство отечественных компаний увеличили бюджеты на ИБ в 2003 году. Это показывает, насколько возросло внимание за последние несколько лет к управлению информационными рисками. Отчасти это объясняется повышенным интересом к вопросам ИБ в связи с последними террористическими актами, а также значительно возросшими требованиями со стороны государственных регулирующих органов и деловых партнеров. Обстоятельства доказывают необходимость и своевременность роста затрат на ИБ, так как инциденты, связанные с нарушением ИБ, становятся более частыми и более обременительными в финансовом отношении. В кадровом аспекте это будет обозначать даже не поиск готовых специалистов CISO (их просто нет). Вопрос - в затратах (временных, денежных, организационных) на подготовку и «тюнинг» профессионалов, способных отвечать за сохранность такого ресурса компании как информация.