Руководитель и ИБ. Позиция
Проектируя и создавая системы защиты информации, мы могли неоднократно убедиться в том, что информационная безопасность (далее – ИБ) присуща тем предприятиям и организациям, руководители которых берут обеспечение ИБ под личный контроль.
В ходе работ по организации защиты информации руководителю приходится отвечать на целый ряд вопросов, таких, например:
Как выстроить эффективную систему управления ИБ?
Кого назначить начальником службы ИБ?
Как обеспечить баланс необходимых сил и средств?
и многие другие.
Нам показалось, что опыт, накопленный в процессе взаимодействия с руководителями по этим и другим практическим вопросам обеспечения ИБ, будет полезен многим организациям. Именно поэтому я решил написать несколько постов, содержащих проверенные на практике рекомендации и объединенные общей темой – руководитель и ИБ.
В этом посте хочу остановиться на том, как руководитель должен заявить о своем отношении к обеспечению ИБ.
Дело в том, что системы менеджмента качества, охраны труда, окружающей среды (и некоторые другие, учитывающие отраслевую специфику) уже давно стали обязательными составляющими системы менеджмента организации. Защита информации представляет собой достаточно молодое направление в системе менеджмента, получившее активное развитие относительно недавно в связи с широким применением информационных технологий в управлении.
Именно поэтому чтобы продвинуть тему защиты информации, органично вписать ее в систему менеджмента организации и тем самым вывести ИБ на приемлемый уровень, необходимы желание и воля руководителя.
Для того, чтобы продемонстрировать руководящему составу и работникам организации серьезность своих намерений, руководитель должен сделать первые 2 шага.
- В соответствии с Указом Президента Республики Беларусь № 40 «О кибербезопасности» от 14.02.2023 (п. 3.15) необходимо назначить «одного из своих заместителей ответственным за организацию работы по обеспечению ИБ, в том числе за осуществление мероприятий по обнаружению, предотвращению и минимизации последствий кибератак и вызванных ими киберинцидентов, реагированию на такие киберинциденты».
- Необходимо создать рабочий орган — подразделение защиты информации (далее – ПЗИ), напрямую подчиняющееся ответственному за организацию работы по обеспечению ИБ.
Здесь ПЗИ – не название подразделения, а его назначение. Название же можно сформировать в соответствие с принятыми в организации правилами: сектор, отдел, управление, центр и т.д.
Обеспечение прямого подчинения особенно важно, поскольку создание ПЗИ в рамках какого-то другого подразделения организации может дать обратный эффект – принизит важность обеспечения защиты информации.
ПЗИ должно получить и выполнить задачу — самостоятельно и/или с привлечением специализированной организации спроектировать, создать и аттестовать систему защиты информации (далее – СЗИ), а затем обеспечить ее эффективное функционирование.
При этом настоятельно не рекомендуется возлагать на ПЗИ обязанности по внутреннему контролю за обработкой персональных данных, контролю за соблюдением режима коммерческой тайны, наблюдению за использованием рабочего времени и др. задачи, которые более эффективно могут и должны решать другие подразделения организации. Поверьте, задачи ПЗИ при осуществлении деятельности по обеспечению ИБ будут только множиться, а количество работников в ПЗИ сильно увеличиваться не будет.
Необходимо отметить, что рекомендуемая последовательность действий – это некая идеальная концепция.
На практике задачу по проектированию, созданию и аттестации СЗИ руководитель организации часто ставит ИТ-подразделению. И только потом, ознакомившись с отчетом по обследованию состояния защищенности, формируемым в ходе проектирования СЗИ (и, по-видимому, впечатлившись его результатами), руководитель задумывается о создании ПЗИ.
Были случаи, когда в силу различных причин (недостаток соответствующих кадров в регионе, недопонимание руководителя организации и др.) мы шли на компромисс и рекомендовали в отчете по обследованию назначить в ИТ-подразделении должностное лицо, ответственное за защиту информации (администратор ИБ). Однако, к нашему большому удивлению, после этапа проектирования руководители отдавали приказ на создание ПЗИ. Можно предположить, что риски ИБ, отраженные в отчете по обследованию, заставили руководителей организаций изменить свое первоначальное решение.
В последующих постах я дам практические рекомендации по созданию системы управления ИБ, структуре ПЗИ, назначению начальника ПЗИ и некоторым другим вопросам обеспечения ИБ, эффективное решение которых зависит от руководителя.