Проблема взаимодействия ИТ и ИБ. Взгляд со стороны ИБ

Юрий Шойдин

Член правления Российского Союза ИТ-директоров

Связан с ИТ отраслью с 1992 года. Имею 3 высших профильных образования, в том, числе МВА и

несколько специальных Основная специализация - проектирование сложных изменений в

организации и системах управления Более 35 проектов внедрения информационных систем (учетных и

систем безопасности) на предприятиях по всей России в качестве РП Участвовал в создании элементов Электронного Правительства (ЭП) в

Правительстве Санкт-Петербурга

Являюсь: • Действующим руководителем проектов (PMP) • Членом Правления Российского Союза ИТ директоров (СоДИТ) • Членом Правления Ассоциации Руководителей Служб ИБ (АРСИБ)

Познакомимся

2

Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости.

Эптон Синклер

3

Требования к информации:

• Доступность информации

• Достоверность информации

• Своевременность информации

• Конфиденциальность информации

Требования Бизнеса (1/2)

Информация – самый важный из ресурсов современного общества, вокруг которого крутятся деньги.

Развитие ИТ:

• Технологии

• Оборудование и программное обеспечение

• Сети (проводные и беспровод-ные)

• Внешняя инфраструктура

• Организационные технологии

4

Требования Бизнеса (2/2)

К подразделению СБ/ИБ:

• Защита информации от утечек в любой форме

• Разделение уровня информированности (полномочий, доступов)

• Разные виды контролей (внутри ИС или на основании ее данных)

• Анализ рисков организации • Выполнение требований

регуляторов (защита ПДн)

К подразделению ИТ:

• Снижение зависимости от ИТ • Обеспечение доступности

информации • Анализ рисков • Измерение эффективности

процессов • Персонализация • Оптимизация расходов

5

Дорожная карта

Шаги Действие Описание

1 Признание проблемы Чувствуем, что-то не то, начинаем

оглядываться…

2 Сбор признаков (симптомов) Определение признаков, которые дают

нам понимание в чем выражается проблема

3 Анализ признаков и выявление проблемы

Формулирование проблемы

4 Анализ проблемы и выявление ее причины

Определение из-за чего появилась проблема, что нужно изменить, чтобы проблема исчезла

5 Планирование мероприятий действующих на причину

Что и кто должен делать чтобы избежать

*** В данном случае уместно использовать «Технологию проектирования сложного изменения в организации», так как это позволяет не только выявить причины происходящего, но и сформировать план действий по изменению ситуации.

6

Основные проблемы взаимодействия ИТ и СБ/ИБ

• Распределение ресурсов и полномочий

• Взаимоисключающая деятельность

• Что еще? …

7

Проблема 1. Распределение ресурсов и полномочий

ИТ ИБ

За ресурсы

За полномочия

Зона конфликта

Кто принимает решение

Кто несет ответственность

Прогр.-Тех. средства Персонал

8

Причины конфликта ИТ и СБ/ИБ

• Условие: Два мальчика в песочнице. Один играет в машинки и строит дороги, другой делает куличики из формочек

• Вопрос 1: Что произойдет через некоторое время?

• Вопрос 2: Почему это произошло?

• Целью деятельности любого подразделения безопасности является защита (сохранение, недопущение и проч…), соответственно метод обеспечения – это ограничения.

• Деятельность ИТ обратная по своей природе – еще быстрее, доступнее и проч …, соответственно, и метод обеспечения – открытость и мобильность, что в корне противоречит целям и методам безопасности.

9

Проблема 2. Противонаправленность действий

ИТ СБ

Увеличение доступности

Уменьшение доступности

ИБ

Теорема о точке равновесия: Конечный конфликт N субъектов с полной информацией имеет точку равновесия.

Максимум открытости может быть только при максимуме контроля

10

Причины порождающие проблемы

• Несоответствующая организационная структура

• Разные типы мышления ИТ и СБ

• Что еще?...

11

Причина 1. Организационная структура

Подчиненность первому лицу / совету директоров

Подчиненность подразделению ИТ

5

Подчиненность подразделению безопасности

Наибольшее распространение Не крупные компании с ярко выраженной ИТ составляющей

12

Место ИБ в структуре предприятия

Подчиненность Первое лицо / СД Подразделение ИТ

Подразделение безопасности

Плюсы

1. Статус направления;

2. Общение напрямую с

первым лицом/советом

директоров;

3. Независимость в принятии

управленческих решений;

4. Эффективность

деятельности;

5. Соответствие мировой

практике.

1. Эффективность

взаимодействия ИБ и ИТ;

2. Высокий уровень

компетенции специалистов

ИБ в специфике ИТ

инфраструктуры компании;

3. Единый центр

ответственности.

1. Комплексный подход к

информационной безопасности

за счет взаимодействия с

физической и экономической

безопасностью;

2. Независимость в принятии

управленческих решений;

3. Эффективный контроль

внутренних угроз.

Минусы

1. Неготовность российского

менеджмента. Исключение

– банковская сфера;

2. Недостаточная

квалификация менеджеров

по информационной

безопасности;

3. Малое количество

прецедентов в России.

1. Зависимость направления ИБ

от ИТ;

2. Сомнительная

эффективность контроля

состояния информационной

безопасности;

3. Основная направленность –

безопасность ИТ-сервисов

(сетевая безопасность,

антивирусная защита и др.);

4. Контроль внутренних угроз не

входит в компетенцию ИТ.

1. Низкая квалификация

руководителей безопасности в

вопросах ИБ;

2. Разделение ответственности с

ИТ в части непрерывности ИТ-

сервисов;

3. Основная направленность –

мониторинг и расследование

инцидентов. Реже аудит ИБ,

анализ рисков, контроль

эффективности менеджмента

ИБ. 13

Причина 2. Разные типы мышления

• Психология CSO=CEO основана на элементах ре-активного управления. Как правило, это управление по отклонениям. При выявлении проблемы идет команда, что необходимо сделать для ее устранения. В последствии рефлексия и ограничение, чтобы не повторить.

• Психология же CIO основана на элементах про-активного управления. Это использование потенциальных возможностей: мы видим технические возможности и можем предложить их для устранения возможных проблем в будущем.

Это и есть основная психологическая проблема «разных языков» CIO и CSO. А какая должна быть психология CISO?

14

Методы устранения проблем

Структура. Функции

Полномочия. Ответственность

KPI. Мотивация

Правильно определить место ИБ в структуре.

Разделить функции СБ, ИБ, ИТ

Пересмотреть систему мотивации/демотивации. Ввести связанные KPI (зависящие от второго

подразделения)

Прописать на уровне подразделения не

только полномочия, но и ответственность. Составить матрицы ответственности за

функции или сервисы

Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости.

Эптон Синклер

Чеширский Кот, - начала Алиса, – не будете ли Вы так любезны подсказать мне, каким путем лучше выйти отсюда? Это зависит от того, куда Вы хотите попасть, – сказал Кот.

16