На "Информационная безопасность и бизнес-стратегия фирмы"

Я никогда бы и не узнал о статьях господина Сачкова, если бы он раньше не работал в компании, где я сам тружусь.

Вообще, у Ильи вышло несколько статей, с момента первой - Скрытые архивы в jpg файлах , которую я посмотрел еще когда он был с нами, но я выбрал для начала Информационная безопасность и бизнес-стратегия фирмы, которая привлекла меня названием.... После ее прочтения, остальные я решил не читать.

Не буду останавливаться на качестве изложения материала в статье, - в двух словах, - мне показалось, что она слишком неформальна для журнальной публикации (к тому же, есть ряд фраз которые я вообще не понял, возможно, в силу своей недостаточной квалификации), сфокусирюсь на концептуальных возражениях.

1. "Без эффективного менеджмента и понимания бизнес-стратегии компании на подразделения ИБ будут смотреть как на подразделения, не приносящие доход. Управление ИБ на среднем уровне позволяет окупать расходы, а при хорошем менеджменте -приносить доход и делать бизнес еще эффективнее."
Классная красивая фраза, но, беря во внимание реалии жизни, я с трудом понимаю, как подразделение ИБ может приносить доход для компании, где ИБ - непрофильное подразделение. Бесспорно ИБ может повышать эффективность, снижать расходы, но вряд ли приносить доход. ИБ - это сервис бизнеса, который стоит денег. Можно говорить о ROI и TCO, но это TCO не может быть отрицательным числом. Ну а с тем, что менеджмент должен быть эффективным я, конечно, согласен.

2. "В свою очередь представитель отдела информационной безопасности должен быть включен в работу над "не ИТ-проек-тами". Это поможет ответить на вопросы: "Как организовать обмен информацией между клиентом и компанией?", "Как предотвратить утечку информации о клиенте?", "Как сделать так, чтобы о новой рекламной акции никто не узнал раньше времени?" и т.п."
Я не понимаю, зачем службе ИБ участвовать в проекте, например, по закупке труб. Есть еще, например, Экономическая безопасность. Я бы ограничился проектами, где либо появляется новая информационная система ("ИТ-проект", понятно), либо имеет место некое "нестандартное" взаимодействие с использованием информационных систем - т.е. где информация в электронном виде как-то передается куда-то. Причем такие задачи не стоит решать в каждом "не-ИТ-проекте" заново, а разработать ряд типовых схем защиты, закрепив их внутренними регламентирующими документами. В этом случае, на приведенные в качестве примера задачи: "Как организовать обмен информацией между клиентом и компанией?", "Как предотвратить утечку информации о клиенте?", "Как сделать так, чтобы о новой рекламной акции никто не узнал раньше времени?" и т.п." не надо будет акцентировать постоянно внимание - будут соответствующие стандарты и надо будет контролировать их выполнение.
Еще один важный момент. Для такого "плотного" участия в каждом проекте даже тяжело предположить какое количество сотрудников ИБ надо иметь в наличии, а, понятное дело, большой штат стоит много денег...
В общем, надо быть эффективными, что уже под собой подразумевает фильтрацию деятельностей: акцентировать внимание на более важных, на тех где действительно велико влияние именно ИБ, а не кидаться во все стороны.

Далее к статье идет комментарий Николая Ионова, эксперта Группы компаний "Антивирусный центр", который меня еще больше не порадовал.
1. "Информационная безопасность имеет развитую техническую компоненту, и именно поэтому многие не видят ее второй составляющей: организации управления. Соответственно вопросы защиты корпоративных данных зачастую пытаются переложить исключительно на плечи ИТ-службы."
Тут надо немного разобраться - вопрос уходит корнями в долгие бесконечные дебаты относительно того где разделяются полномочия ИТ и ИБ. Лично я для себя определился, что рутинные работы по обеспечению ИБ, связанные с поддержанием заданного уровня безопасности, обслуживанием систем безопасности - функция ИТ, тогда как планирование и развитие этих систем - задача ИБ. Попробую объяснить все одной фразой. Если безопасность - это процесс, то поддержание должного заданного качества этого процесса - функция ИТ, а управление этим процессом и его контроль - функция ИБ. В этой связи я считаю абсолютно нормальным, что ИТ обеспечивает защиту корпоративных данных. Можно рассматривать ИБ, как компоненту каждого процесса ИТ. Выделить эту компоненту сложно и, скорее всего, неправильно. Замечу также, что производители ИТ-систем в последнее время все плотнее интегрируют в свои системы и решения по ИБ. Если администраторы ИТ и ИБ - разные люди, кто обслуживает, например, межсетевой экран, который с т.з. ИТ - маршрутизатор, а с т.з. ИБ - пакетный фильтр?
2. "Поэтому ни в коем случае нельзя смешивать функции ИТ-отдела и отдела безопасности, более того, эти отделы не должны находиться в дружественных отношениях. У них изначально должны быть разные задачи и разные подходы к организации информационной безопасности."
Вообще бред. Я вспомнил басню Крылова: "Однажды Лебедь, Рак да Щука...". А как же общие задача по соответствию общей стратегии бизнеса? У меня нет слов, чтобы это прокомментировать, скажу лишь несколько фраз:
а) нельзя защититься от админа;
б) сервисы ИБ по-любому базируются на базовых сервисах ИТ, таких как сетевая инфраструктура, служба каталога, пр.

ИТ и ИБ в одной лодке, у них одна цель - повысить эффективность бизнеса, обе службы - сервисы бизнеса. Согласен с тем, что абсолютная безопасность может не увязываться с ИТ, но "красота" - лезвие бритвы по середине и лучшее решение - компромисс, который и надо найти, но ни в коем случае не через конфликт!