Зачем в организации нужен специалист или отдельное подразделение по ИБ

Экспертный материал 

Алексей Залецкий | Эксперт в области информационной безопасности

В прошлом году вступили в силу изменения в ФЗ-152, а также вышел Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Указ № 250 и изменения в ФЗ-152 накладывают на предприятия дополнительные обязанности по обеспечению информационной безопасности. Это довольно большая бумажная работа по выполнению требований госорганов. При этом не у каждой организации есть свой отдел ИБ, и даже выделенный специалист. Сейчас самое время об этом позаботиться, нанять такого сотрудника или даже создать целое подразделение ИБ.

Найм сотрудника отвечающего за информационную безопасность на предприятии

Есть два способа сделать это: нанять нового специалиста по ИБ или возложить задачи по обеспечению информационной безопасности на действующего сотрудника организации в дополнение к его основным обязанностям.  

Найм нового сотрудника в штат 

Это эффективное, но не всегда быстрое решение.  

Плюсы

Выделенный сотрудник берет на себя все обязанности по взаимодействию с регуляторами, обеспечивает соблюдение нормативных требований и комплексно занимается вопросами повышения уровня защищенности информационных систем. 

Минусы

На рынке труда огромный дефицит кадров по информационной безопасности, и нет предпосылок, что ближайшие годы дефицит сильно сократится. Для большинства малых компаний не подходящий вариант.

Возложение обязанностей на действующего сотрудника

Самое простое и очевидное решение.  

Плюсы

Во-первых — это могут позволить себе малые компании. Сотруднику доплачивают за дополнительные обязанности. Во-вторых, нет необходимости тратить время и ресурсы на поиск нового сотрудника и его адаптацию. 

Минусы

Существующий сотрудник обычно не компетентен в вопросах информационной безопасности. И быстро повысить его квалификацию не получится. Даже просто вдумчиво прочитать все нормативные документы по ИБ, которые имеются у нас в стране, может потребовать не менее года, а при совмещении и того больше. 

Если задачи по ИБ достаются существующему сотруднику IT-отдела, то в таком случае они будут не в приоритете. Если у него большая загрузка по другим задачам, то он может решать задачи ИБ по остаточному принципу. Если в системе безопасности возникнет дыра, то она не будет закрываться оперативно.

Этот вариант, безусловно, лучше, чем вообще не иметь сотрудника по ИБ. Но в таком варианте стоит рассмотреть услуги по аутсорсингу ИБ.

Трудности подчинения

Просто найм сотрудника — это еще не решение проблемы. Необходимо определить, кому будет подчиняться специалист по ИБ. Это же касается и целого отдела ИБ. 

Подчинение руководителю IT-отдела

Это логичное решение. Особенно если средства защиты информации уже разворачивает отдел ИТ, есть help desk и процессы отлажены. 

Плюсы

Быстрое, простое решение. В структуре организации ничего не меняется.

Минусы

Подчинение ИБ IT-подразделению — это плохое решение. Скорее всего, ИБ не будет в приоритете. Таким же плохим будет и обратная ситуация — подчинение IT-отдела отделу ИБ. Тогда обеспечение ИБ станет настолько суровым, что пользователям будет тяжело работать. Кроме того, ИБ более чем на половину — это разработка и внедрение организационных мер, что предполагает огромный объем работы с документами. ИТ с большой вероятностью этим заниматься не будут.

В идеале ИТ и ИБ подразделения или отдельные специалисты должны независимо подчиняться генеральному или исполнительному директору и не иметь возможности напрямую руководить друг другом. Это не исключает постановки задач между подразделениями. Например, ИБ может сделать заявку в ИТ на установку антивирусов или настройку межсетевых экранов в соответствии с разработанными ИБ подходами к защите.

Риски 

К сожалению, многие компании начинают думать о своей безопасности только после серьезных инцидентов. А должно быть наоборот. Необходимо оценить риски инцидентов, а также несоблюдения законодательства и размер потенциального ущерба. На основе этого разработать обоснование затрат, продумать меры по защите и администрированию и определиться с наймом специалиста по ИБ или подбору совместителя, а также рассмотреть услуги по аутсорсингу ИБ.

Важно понимать, что если в штате нет специалиста по ИБ, то некому квалифицированно отвечать на запросы и проверки регуляторов, согласовывать или разрабатывать технические решения, внедрять организационные меры, проводить инструктажи и учения по кибербезопасности

Перечислим основные риски, которые должен устранить специалист по ИБ. 

Организационные риски

К ним относится несоответствие требованиям законодательства Российской Федерации в области ИБ. 

Чем они грозят

В первую очередь это грозит пристальным вниманием регулятора и, как следствие, наложению штрафа или других санкций. Во вторую очередь нарушения могут привести к реальным кибератакам и, как следствие, к финансовым и репутационным издержкам.

Риски, связанные с внутренними нарушениями по обеспечению ИБ

К ним относятся непредумышленные действия сотрудников, приводящие к нарушениям ИБ. Также к ним относятся неправильно разработанные правила обеспечения ИБ и слабый контроль за их соблюдением. Конечно, полностью устранить человеческий фактор невозможно, но именно регламенты помогают его снизить. Чтобы организационные меры заработали в полную силу, стоит проводить периодические учения. 

Чем они грозят

Часто именно внутренние утечки становятся отправной точкой для проникновения киберпреступников в периметр организации.

Отсутствие плана действий на случай кибератаки. 

Приоритетная задача бизнеса — обеспечение непрерывной работы предприятия. Для этого разрабатывается план действий на случай кибератаки.

Чем они грозят

Финансовыми и репутационными потерями. Самый простой пример — DDos-атака на онлайн-магазин в дни распродаж. Вместо продаж онлайн-магазин получает убытки и несет репутационные потери. 

Вывод

Обеспечение ИБ на предприятии — важная и сложная задача. Ее трудно решить без специалиста по информационной безопасности. Затраты на него всегда будут ниже ущерба от крайне редкого, но катастрофического по последствиям проникновения злоумышленников. 

Над материалом работал: Сергей Драгун