Руководитель и ИБ. Структура управления ИБ
Обеспечение информационной безопасности (далее – ИБ) – это постоянно действующий процесс, в ходе которого необходимо внимательно следить за ситуацией, предупреждать инциденты ИБ, своевременно реагировать на кибератаки, анализировать состояние и совершенствовать систему защиты.
В силу этого ИБ организации в значительной степени зависит от эффективности структуры управления ИБ.
В соответствии с Указом Президента Республики Беларусь от 14.02.2023 № 40 «О кибербезопасности» руководитель организации назначает одного из своих заместителей ответственным за организацию работы по обеспечению информационной безопасности, в том числе за осуществление мероприятий по обнаружению, предотвращению и минимизации последствий кибератак и вызванных ими киберинцидентов, реагированию на такие киберинциденты (п. 3.15).
В соответствии с Приказом Оперативно-аналитического центра при Президенте Республики Беларусь (далее – ОАЦ) № 66 от 20.02.2020 в редакции Приказа ОАЦ № 195 от 12.11.2021
«Работы по технической и криптографической защите информации у собственника (владельца) информационной системы могут выполняться:
подразделением защиты информации или иным подразделением (должностным лицом), ответственным за обеспечение защиты информации…;
организациями, имеющими лицензии на осуществление деятельности по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и (или) услуг (далее – специализированные организации)».
Если руководитель принимает решение обеспечить защиту информации силами работников организации, то встает вопрос о создании подразделения защиты информации (назначении должностного лица) и его подчиненности.
Самое простое, на первый взгляд, решение – поручить защиту информации ИТ-подразделению (работнику этого подразделения).
Однако информационные технологии и ИБ – это две разные (хотя и пересекающиеся) сферы деятельности; объединение их в рамках одного подразделения неизбежно приведет к конфликту интересов и, как следствие, к рискам ИБ.
Мы рекомендуем создавать подразделение защиты информации с подчинением его начальника заместителю руководителя организации, ответственному за организацию работ по обеспечению ИБ.
При этом, как показывает практика, идеальным вариантом будет подчинение ИТ-подразделения другому заместителю руководителя организации.
В подразделении защиты информации (далее – ПЗИ) должны быть введены роли администратора системы управления ИБ (далее – СУИБ) и администратора ИБ.
Администратор СУИБ отвечает за разработку, внедрение и поддержание в актуальном состоянии Политики ИБ организации, других локальных правовых актов организации в области защиты информации, повышение осведомленности работников организации по вопросам ИБ, проведение аудитов и оценку рисков ИБ, а администратор ИБ – за внедрение и эксплуатацию средств защиты информации, реагирование инциденты ИБ.
Необходимо подчеркнуть, что речь идет не о должностях, а о ролях. Количество работников, выполняющих ту или иную роль в ПЗИ, зависит от их производственной нагрузки.
Администратор СУИБ и администратор ИБ строят свою деятельность в тесном контакте с начальниками структурных подразделений.
Таким образом, ПЗИ станет рабочим органом ответственного за организацию работ по ИБ.
Начальник ПЗИ вместе с начальниками структурных подразделений образуют функциональное руководство ИБ. При этом начальники структурных подразделений являются для начальника ПЗИ не подчиненными, а, прежде всего, проводниками Политики ИБ.
Должностные инструкции начальников структурных подразделений необходимо дополнить пунктом о персональной ответственности за состояние ИБ во вверенном подразделении. Кто как не начальник должен показывать пример соблюдения требований по ИБ, цифровой гигиены, прививать работникам подразделения навыки безопасной работы с информацией?
Практика показывает, что ИБ нельзя обеспечить силами только одного специалиста или даже подразделения. Задача начальников структурных подразделений вовлечь подчиненных в процесс обеспечения ИБ, убедить каждого из них в том, что соблюдение требований Политики ИБ и локальных правовых актов в области защиты информации — это их весомый вклад в защиту организации.
Результатом работы по формированию структуры управления ИБ станет трехуровневая система: высшее руководство (руководитель организации) -> ответственный за организацию работ по ИБ (заместитель руководителя организации) -> функциональное руководство (начальник ПЗИ и начальники структурных подразделений).