ИТ даёт доступ, а ИБ его закрывает Денис Батранков Консультант по информационной безопасности IBM в России и СНГ Результаты семинара имеют явную практическую значимость: можно не задумываться о некоторых вопросах при создании подразделения ИБ в компании, а брать и использовать выработанные рекомендации. Как правило, все дискуссии о взаимодействии ИТ- и ИБ-подразделений заканчиваются выводом, что они должны быть формально разделены и при этом оставаться на одном уровне в иерархии компании. Цель такого приёма в том, чтобы их влияние друг на друга осуществлялось через владельца бизнеса. Это решение по сути вытекает из их изначально противоположных задач: ИТ даёт доступ, а ИБ его закрывает. Выведенная на семинаре идея подтверждает, что такая схема взаимодействия ИТ и ИБ создает систему сдержек и противовесов, позволяя бизнесу развиваться эффективно и в нужном направлении. В компаниях, где дело обстоит иначе, тому есть множество причин: амбиции отдельных сотрудников, присутствие всего одного человека в «отделе» ИБ, непонимание значимости обеспечения информационной безопасности и т. д. Я бы избегал использования слова «затратное» при упоминании подразделения ИБ. Если владелец бизнеса нанял хоть одного человека, отвечающего за безопасность информации в его компании, то он понимает выгоду. Подразделение ИБ совместно с ИТ-отделом занимается выбором и эксплуатацией надежных решений для устойчивого развития бизнеса. При этом служба ИБ помогает всему персоналу компании обеспечивать её комплексную безопасность. Ведь в конечном итоге об ИБ должен заботиться каждый сотрудник предприятия.
В России требования к ИБ явно завышены и противоречивы Антон Чернышев Руководитель отдела криптографических систем CompuTel Для компаний, работающих в сегменте высокозащищенных криптографических решений (международные платежные и расчетные системы), сохранность денежных средств напрямую связана с информационной безопасностью. Утечка нескольких десятков байт может привести к потере сотен миллионов долларов. Подобные системы строятся исходя из принципа, что никакой человек ни в какой момент времени не должен получить единоличный контроль над критически важной информацией. В данном случае ИБ является непосредственной частью бизнеса и директивы этой службы не подлежат обсуждению со стороны иных подразделений. Сама служба ИБ строится в соответствии с директивами международных платежных систем (регуляторов) на основе наилучшей отраслевой практики и проходит аудит в соответствии с требованиями стандартов (например, PCI-DSS). Отчетность и соответствие требованиям внешних регуляторов в таких системах строго обязательны. Так что в высказывании Дениса Муравьева нет явного противоречия с тем примером, который привел Алексей Сабанов. Ведь всё, что происходит в рамках политики ИБ, делается не для галочки, а чтобы гарантировать безопасность бизнеса. В России требования к ИБ явно завышены и противоречивы, и их выполнение ведет к чрезмерным издержкам для компаний. В практике же международных платежных систем завышенные требования не встречаются: только выверенные десятилетиями борьбы с мошенниками практические требования. На наш взгляд, российские компании могут смело заимствовать этот опыт.
Рейтинг ИТ-директоров 2013 по мнению Комерсантъ.ru
Поздравление c Днем Рождения Кирилла Соловейчика, учредителя Санкт-Петербургского клуба ИТ-директоров "SPb CIO Club"
Приглашение в крупный промышленный, научный и университетский центр французских Альп — Гренобль
Энергетик для вашего бизнеса
Взаимодействие ИТ и ИБ
День ИТ-лидера
ИНФОСТАРТ Подкаст "Готовые решения"