Как разделить полномочия «айтишников» и «безопасников». Обсудили на конференции Secure World

16.10.2012 |

Алексей Голиков.

В рамках первой конференции Secure World, организованной петербургским клубом ИТ-директоров SPb CIO Club на прошлой неделе, состоялся круглый стол, посвященный вопросам, связанным с разграничением обязанностей ИТ-департамента компании и службы информационной безопасности. Круглый стол был проведен в режиме неформальной дискуссии, каждый из участников которой мог делиться суждениями в совершенно свободном режиме. В роли ведущих круглого стола выступили президент Spb CIO Club Максим Белоусов и управляющий партнер компании «1С-Эффективность» Юрий Шойдин.

Тема, которой был посвящен круглый стол, а именно взаимодействию ИТ-директора (и ИТ-департамента в целом) со службой информационной безопасности, явилась одной из самых актуальных и обсуждаемых и, как выяснилось, не только в кулуарах. Более структурированным общение удалось сделать благодаря симметричному президиуму, который представляли как эксперты со стороны ИТ-подразделений, так и эксперты со стороны службы безопасности. Основной дискурс вызвал вопрос определения объективной грани между полномочиями «айтишников» и «безопасников». И варианты возможных решений данной проблемы, а также ряда других сопутствующих вопросов поступали не только со стороны президиума, но также из зала.

Общую тенденцию в отношении данного вопроса озвучил директор по ИТ ЗАО «АЭМ-технологии» ЗАО «ПетрозаводскМаш» Антон Думин. «К сожалению, как правило, во всех компаниях специалистов по информационной безопасности, призванных отвечать только за информационную безопасность, просто нет, – отметил г-н Думин. – Поэтому де-факто за все вопросы, связанные с информационной безопасностью, отвечает ИТ-директор, в то время как де-юре эти функции могут быть возложены, к примеру, на директора по экономической безопасности, который чаще всего абсолютно некомпетентен в вопросах, связанных с ИТ».

Проблема пересечения и смешивания функций, по словам Антона Думина, усугубляется разницей методов постановки задач, их исполнения и проверки.

«По сути, заказчиком информационной безопасности является ИТ-подразделение, – сообщил г-н Думин. – Но если ИТ-директор также несет ответственность и за информационную безопасность, то выходит, что он сам же является исполнителем. Посему остаются открытыми вопросы контроля и проверки его деятельности в плане обеспечения безопасности».

Спикеры круглого стола: управляющий партнер компании «1С-Эффективность» Юрий Шойдин,
исполнительный директор МОО «АРСИБ» Дмитрий Терентьев, начальник управления службы
информационных технологий (CIO) в СПбГУ Илья Горбунов, директор по ИТ ЗАО «АЭМ-технологии»
ЗАО «ПетрозаводскМаш» Антон Думин и председатель правления АРСИБ Виктор Минин

Начальник управления службы информационных технологий (CIO) в СПбГУ Илья Горбунов пояснил, что любому бизнесу необходимо разделять такие понятия, как «информационная безопасность» и «обеспечение непрерывности бизнеса». При этом ИТ-подразделение должно отвечать за непрерывность бизнеса, а, следовательно, создание отдельного департамента, отвечающего за непрерывность работы, как иногда случается, будет лишь мешать ИТ-службе.

Зависимость разграничения задач и их распределения между подразделениями от бизнеса компании отметил председатель правления АРСИБ Виктор Минин. «Я считаю, что именно бизнес должен определять такие параметры, – заявил г-н Минин. – Если мы имеем дело со зрелой компанией, то именно ИТ-директор может стать во главе создания службы информационной безопасности, ему же решать, кто должен будет ее возглавить. В рамках службы ИТ может располагаться как служба информационной безопасности, так и служба технологической безопасности, которую может возглавлять заместитель президента по безопасности».

Исполнительный директор МОО «АРСИБ» Дмитрий Терентьев рассмотрел этот вопрос с точки зрения того, кто является заказчиком установки технических средств защиты информации. По его словам, исполнителем является ИТ-подразделение, а заказчиком и пользователем этих систем защиты являются как раз представители службы информационной безопасности.

Между тем, по словам г-на Терентьева, некорректно полагать, что заказчиком таких систем выступает априори сам бизнес.

«У бизнеса помимо информационной безопасности есть много других задач, – считает Дмитрий Терентьев. – К сожалению, в России у топ-менеджеров понимание необходимости внедрения тех или иных защитных механизмов находится не на том уровне, как, например на Западе».

Впрочем, как отметил г-н Терентьев, если бизнес в лице топ-менеджмента компании всерьез обеспокоен вопросами непрерывности работы и информационной безопасности, то он просто будет приглашать на должности руководителей этих служб умных и адекватных людей, которые сумеют договориться друг с другом.

Президент Санкт-Петербургского клуба ИТ-директоров Максим Белоусов

Илья Горбунов добавил, что в случае, если топ-менеджмент поступает иначе, то руководители подразделений могут своими силами бороться за права, вооружившись всем: от кодекса компании до трудового законодательства.

Выводы, к которым участники круглого стола пришли на основе высказываний специалистов, касались создания комплексного подхода для обеих служб, так как эксперты пришли к единому мнению, что, несмотря на зависимость от типа бизнеса и преследуемых им целей, чаще всего и ИТ-департамент, и служба информационной безопасности решают схожие проблемы. В этом плане, как резюмировал президент Санкт-Петербургского клуба ИТ-директоров Максим Белоусов, гораздо эффективней, когда представители подразделений объединяются, нежели противопоставляют себя друг другу и в случае проблем ищут друг в друге «стрелочников». Под совместной деятельностью г-н Белоусов подразумевал в первую очередь взаимное информирование о рисках и выработку комплексных мер.

Также участники круглого стола пришли к выводу о необходимости определения средств, которыми будут достигаться непрерывность бизнеса и информационная безопасность. В этом случае может оказаться привлечен специалист по экономике, который должен рассчитать, какие ресурсы потребуются для решения поставленных задач и «стоит ли овчинка выделки». Кроме того, руководители должны опередить, не мешают ли выбранные нормы информационной безопасности развитию бизнеса.

«Хочу поделиться случаем из своей практики, – рассказал Дмитрий Терентьев. – Когда я пришел работать на предприятие, так вышло, что я как представитель службы информационной безопасности буквально свалился на голову ИТ-директору, который воспринимал меня как необходимое зло. В связи с этим мне приходилось искать повод выходить с ним на контакт, чтобы, наконец, изменить его мнение, а также совместными усилиями составить регламент, взаимно определяющий зоны нашей ответственности».

Именно регламентация отношений двух служб была признана участниками круглого стола наилучшей мерой решения сопутствующих проблем.

Соведущий круглого стола – управляющий партнер
компании «1С-Эффективность» Юрий Шойдин

«Очень хорошо, что у нас наметилась хорошая тенденция в сторону взаимопонимания и взаимодействия, – отметил управляющий партнер компании «1С-Эффективность» Юрий Шойдин. – Хотелось бы также, чтобы эта тенденция соответствовала темпам развития информационных технологий».

По словам г-на Шойдина, обеспечение информационной безопасности – это «стыковая дисциплина» между ИТ-безопасностью и непрерывностью бизнеса. Поэтому если ИТ-директору приходится разделять ответственность за нее, то он должен выполнять вместе с этим ряд дополнительных функций, в том числе быть хорошим бытовым психологом, уметь договариваться и находить общий язык со службой безопасности и собственным руководителем, а также решать вопросы, связанные с регламентацией деятельности и грамотным разделением полномочий.

«Очень хорошо, что мы сумели не только прийти к выводам, устраивающим обе стороны, но и избежали на круглом столе формата «стенка-на-стенку», как в «брейн-ринге», – резюмировал Максим Белоусов. – Самое главное – это чтобы всегда побеждала дружба. Ведь все мы работаем на бизнес, и от того, как мы будем его развивать, зависит действительно очень многое».