Служба информационной безопасности и её место в структуре бизнеса

В настоящее время многие руководители предприятий и владельцы бизнесов ставят вопрос об оптимизации затрат. Не секрет, что довольно часто в первых рядах направлений, финансирование которых урезается, находится служба безопасности. Таково следствие слабого понимания роли служб безопасности в бизнесе организации или, иначе говоря, их полезности для бизнеса. Свидетельствует такая ситуация и о том, что у руководителей предприятия нет инструментов оценки эффективности этих служб.

Докторант ФГКУ «ВНИИ МВД России» Александр Казаков в своей статье определяет функции рассматриваемых подразделений как обеспечение экономической, информационной, антитеррористической и внутренней безопасности, обеспечение режима охраны на предприятии[i]. С этим нельзя не согласиться, но далее в том же источнике определяется, что основной целью служб безопасности является защита предпринимательской деятельности от внутренних и внешних посягательств, под которыми понимаются нарушение порядка режима и охраны, разглашение сведений, составляющих коммерческую тайну, совершение правонарушений с посягновением на собственность предприятия, а также деятельность, направленная на совершение хищений и парализацию работы предприятия. Таким образом автор статьи фактически ограничивает роль служб безопасности обеспечением сохранности материальных ценностей и профилактикой их хищений. Но понятие безопасности предприятия значительно шире.

Например, исходя из принципов, сформулированных в Государственной стратегии экономической безопасности РФ (Указ Президента РФ от 29.04.1996 № 608 «О государственной стратегии экономической безопасности Российской Федерации (Основных положениях)»), служба экономической безопасности должна создать необходимые условия для достижения следующих целей безопасности организации:

— защита гражданских прав работников предприятия, повышение уровня и качества межличностных взаимоотношений в организации, гарантирующих эффективное и спокойное функционирование всех процессов её деловой деятельности;

— эффективное решение внутренних экономических и социальных задач исходя из интересов бизнеса организации;

— активное влияние на внешнюю среду функционирования организации, затрагивающее её интересы.

Рассмотрим один из случаев, когда роль службы экономической безопасности недооценена. Экспертное мнение в области корпоративного управления определяет, что наиболее серьезными в плане угроз экономической безопасности компании и стабильности её бизнеса в целом являются конфликты ведущих совладельцев (паритетных совладельцев, контрольного и значимого миноритарного участника, мажоритарного участника и группы «микро-миноритарных» участников, располагающих серьезным информационным, репутационным, юридическим и/или фактическим административным ресурсом)[ii]. Но входят ли в область ответственности службы экономической безопасности вопросы предотвращения корпоративных конфликтов? Есть ли практика использования консультации специалистов экономической безопасности в качестве одного из средств, направленных на купирование (разрешение) таких конфликтов? Или о работниках экономической безопасности вспоминают только тогда, когда конфликт выходит в публичную плоскость и в него активно вовлекаются правоохранительные органы? Но и в этом случае участие службы экономической безопасности порой определяется наличием в её штате бывших работников силовых структур и их возможностью использовать старые связи с сослуживцами.

Акцентирование роли служб экономической безопасности на одних лишь вопросах противодействия хищениям означает, что почти ненужными становятся инструменты оценки эффективности их работы. Фактически основными параметрами таковой оценки является сумма возвращенных активов и количество пресеченных, то есть своевременно выявленных правонарушений. Но оба этих показателя могут расти только в том случае, если растет число правонарушений. И возникает парадоксальная ситуация: служба, противодействующая правонарушениям, заинтересована в росте их числа.

Но если использовать полный перечень целей безопасности предприятия, то в показатели эффективности деятельности служб экономической безопасности можно включить снижение конфликтных ситуаций в коллективе, повышение индекса деловой репутации компании на рынке и даже уровень удовлетворенности других структурных подразделений деятельностью службы безопасности. Обратите внимание, что эта служба не должна выступать в роли некоего карательного органа, её не должны бояться и тем более ненавидеть. Нужно, чтобы руководители подразделений, реализующих основную бизнес-функцию организации, в службе экономической безопасности видели помощника, а результаты её деятельности активно использовались для принятия бизнес-решений не только топ-менеджментом компании, но и линейными руководителями.

Ещё меньшее понимание полезности для бизнеса вызывает у руководителей организаций служба информационной безопасности (ИБ). Ярким показателем недопонимания места и роли этой службы в структуре предприятия является то, что в разных организациях она располагается на разных местах организационно-штатной структуры: где-то подчинена директору по безопасности, где-то — директору по информационным технологиям; встречаются схемы, где вопросы ИБ курирует директор по производству или даже руководитель административно-хозяйственной службы. В крайне редких случаях руководитель службы ИБ подчиняется напрямую руководителю организации. Отсутствие общепринятого понимания того, какие вопросы для бизнеса должна решать служба ИБ, приводит к существенному занижению статуса этого подразделения в глазах топ-менеджмента.

В некоторой степени в таком положении дел виноваты сами специалисты по ИБ. Не они ли определяют в качестве зоны своей ответственности обеспечение ИБ организации и в первом же внутреннем нормативном акте гордо заявляют, что каждый работник предприятия несет персональную ответственность за сохранность сведений конфиденциального характера, к которому он получил доступ? Многие ли руководители действительно знают, в чем состоит различие между понятиями «информационная безопасность» и «защита информации»? Для подавляющего большинства неспециалистов в области защиты информации, в том числе владельцев бизнеса и руководителей предприятий, эти термины означают одно и то же. А раз так, то за что отвечают сотрудники службы ИБ, коль скоро за защиту информации, с их же слов, несут ответственность все работники предприятия?

Действительно, нужен ли выделенный менеджер по ИБ, не говоря уже о целой службе? В отличие от службы экономической безопасности, зона ответственности которой более или менее определена, пусть иногда и урезана до узкого круга задач противодействия хищениям, ответственность за реализацию мер защиты вверенной ему информации действительно несет каждый работник предприятия. В международных и национальных стандартах по управлению информационной безопасностью используется конструкция: "Во многих организациях назначается менеджер по ИБ«[iii], — то есть назначение такого менеджера не является обязательным. И там же в явном виде указано, что «общепринятой практикой является назначение владельца для каждого актива, который несет ответственность за его повседневную защиту». Положение об обязательности выполнения требований ИБ включается в должностные обязанности каждого работника, а для тех, кто допускается к сведениям конфиденциального характера, — и в трудовой договор[iv].

Чего же ожидает бизнес от специально назначаемого менеджера по ИБ? Ответ на этот вопрос заключается в именовании данной должности: менеджер, то есть управляющий. Менеджер по ИБ должен осуществлять управление информационной безопасностью предприятия. Основное назначение ИБ-службы — достижение целей, которые ставятся перед системой менеджмента ИБ.

Цели внедрения системы менеджмента ИБ можно определить, ответив на следующие вопросы:

a) менеджмент риска — как система может улучшить управление рисками в сфере ИБ?

б) результативность — как система может улучшить управление ИБ?

в) преимущества для предприятия — как система может создать конкурентные преимущества для организации?[v]

Ответы на эти вопросы определяют полезность службы ИБ для бизнеса организации. Безусловно, если владелец бизнеса не считает необходимым реализовывать процесс управления рисками, то соответствующая составляющая в совокупной ценности службы ИБ как подразделения, способного его улучшить, минимальна. Если руководитель организации уверен, что работники предприятия безусловно реализуют все необходимые меры защиты значимой для бизнеса информации, то что тут улучшать? И если компания прочно занимает лидирующее положение на рынке и конкурентов у неё просто нет, то какие ещё конкурентные преимущества нужны? При таком положении дел служба ИБ не имеет задач. И менеджеру по ИБ, и владельцу бизнеса нужно понять, что не существует проблем ИБ, есть проблемы бизнеса, которые могут быть решены благодаря ИБ.

Эффективность службы ИБ должна оцениваться исходя из полученной выгоды для бизнеса от её существования, а не на основании величин вероятного ущерба при её отсутствии. Сама по себе служба ИБ не является гарантом отсутствия актуальных угроз по отношению к безопасности информации. Отсутствие службы ИБ (выделенного менеджера по ИБ) не может быть причиной неисполнения требований по защите информации. Меры защиты информации реализуются не ИБ-специалистами, а, как уже было сказано, всеми работниками организации. А служба ИБ обеспечивает координацию деятельности разных подразделений по реализации этих мер, осуществляет контроль исполнения и оценку эффективности мер, уже реализованных, обеспечивает своевременную коррекцию деятельности организации по обеспечению собственной безопасности.

Аналогичную задачу выполняют специалисты службы качества и отделов технического контроля. Ни у кого не возникает вопросов, зачем они нужны. Цена пропущенной процедуры юстировки станка — стоимость партии товара, списанной в брак. Это реальная величина, её можно высчитать, увидеть в мусорном баке и на прилавках, где вместо твоей продукции стоит продукция конкурента. Но мир цифровых технологий давно уже вторгся в реальный мир вещей. Сбой, вызванный ошибкой оператора или умышленными действиями купленного конкурентом хакера, приведет к тем же самым последствиям в виде заполненного мусорного бака и отсутствия твоего товара на прилавках. Автоматизированные системы управления стали неотъемлемой частью эффективного конкурентоспособного бизнеса. Управленческие решения стоимостью в миллиарды рублей зависят от того, не решила ли пресловутая «тетя Маша», что уж её-то рабочая станция никаким хакерам точно не интересна. Каждый ИБ-эксперт со стажем может рассказать пару показательных историй на этот счет. Разумеется, если позволит профессиональная этика или обязательство соблюсти конфиденциальность.

Вопросы ИБ затрагивают все области деловой деятельности предприятия. Уровень информатизации бизнеса, который диктуется правилами конкуренции на рынке, требует серьезного отношения не только к вопросам реализации тех или иных мер защиты информации, но и к должной организации процессов управления ИБ. Эти факты определяют особый статус ИБ-службы. Какое же место можно рекомендовать для неё в организационно-штатной структуре предприятия?

Наиболее очевидно, что службу ИБ следует включать в структуру, на которую возложены функции по обеспечению комплексной безопасности предприятия. Но, как говорилось в начале статьи, довольно часто функции этого подразделения ограничены вопросами противодействия хищениям. В перечне целей и задач службы ИБ такая функция отсутствует. Более того, подобное ограничение функций исключает в глазах сотрудников прочих подразделений восприятие службы безопасности как отдела, отвечающего за управление какими-либо процессами. Смысл существования службы ИБ в таких условиях полностью исчезает. В результате эффективность ИБ-подразделения может измеряться отрицательными величинами. Вместо координации подразделений предприятия в вопросах реализации мер защиты служба ИБ будет стараться разделить их и жестко зарегулировать (читай: ограничить) каналы взаимодействия, ведь так легче контролировать коммуникации. Контроль исполнения установленных правил работы с информацией будет замещаться слежкой, да и сами правила будут устанавливаться не бизнесом, а службой ИБ, причём устанавливаться исходя из соображений более полного контроля, а не потребности решить основные бизнес-задачи предприятия. Оценка эффективности мер защиты информации превратится в «охоту на ведьм». Служба безопасности будет оценивать не то, как меры защиты информации помогают сохранить бесперебойность бизнес-процессов и повысить их эффективность, а насколько точно сотрудники предприятия соблюдают установленные правила работы с информацией и насколько эффективно выявляются нарушения. Знакомая картина?

Включение службы ИБ в структуру подразделений, обеспечивающих экономическую, антитеррористическую и иные виды внутренней безопасности, в том числе режим охраны предприятия, имеет практический смысл только в том случае, если установленные руководителем цели безопасности организации созвучны тем, что представлены в Государственной стратегии экономической безопасности Российской Федерации. Иначе службу ИБ целесообразнее выделять в самостоятельное структурное подразделение с непосредственным подчинением руководителю предприятия. Эта схема наиболее эффективна, но имеет один существенный недостаток. Руководитель службы ИБ должен уметь разговаривать с топ-менеджерами компании на понятном им языке.

К сожалению, в России не создано предпосылок для подготовки управленческих кадров в области ИБ. Действующие образовательные стандарты для специалистов не включают в себя изучение таких предметных областей, как менеджмент и предпринимательская деятельность[vi]. Ситуацию усугубили требования к лицензиатам на право деятельности по защите информации. Некоторые некоммерческие учебные организации исключили из своих портфелей учебные курсы по подготовке «менеджеров по информационной безопасности» и «менеджеров по обеспечению непрерывности бизнеса». В настоящее время проходит модернизация федеральных государственных образовательных стандартов высшего образования. Они приводятся в соответствие с требованиями едерального закона от 02.05.2015 № 122-ФЗ «О внесении изменений в Трудовой кодекс Российской Федерации и статьи 11 и 73 федерального закона „Об образовании в Российской Федерации“». На момент написания статьи ещё не были опубликованы новые образовательные стандарты по направлению "Информационная безопасность"[vii]. Но есть надежда, что в состав объектов профессиональной деятельности выпускников, освоивших программу по этому направлению, будут включены технологии защиты информации в областях административного управления, бизнеса, предпринимательства, коммерции и менеджмента, как это было сделано в образовательном стандарте по направлению "Информационные системы и технологии«[viii]. А пока руководителям организаций придется рассчитывать только на то, что за годы практической работы ныне действующие менеджеры служб информационной безопасности научились слышать и понимать чаяния бизнеса, а также говорить со своим руководством на понятном ему языке.

Если же руководителю организации не повезло и взаимопонимания с менеджером службы ИБ не удалось достичь, то это вовсе не означает, что этого менеджера срочно необходимо заменяит. Далеко не факт, что на рынке можно найти ИБ-специалиста, понимающего специфику управления бизнесом. Этот сегмент рынка труда испытывает острый дефицит кадров. Тем более, что отсутствие навыков коммуникации с высшим менеджментом у руководителя службы ИБ никак не коррелирует с отсутствием у него профессиональных качеств в области защиты информации и управления ИБ предприятия. Тут наиболее подходящим коммуницирующим между высшим руководством и службой ИБ звеном будет руководитель блока автоматизации бизнеса предприятия, например, директор по информационным технологиям. Особенно в тех случаях, когда уровень информатизации деятельности предприятия находится на достаточно высоком уровне зрелости. В упомянутом выше образовательном стандарте, по которому готовятся управленцы в области информационных технологий, отмечается область безопасности информационных систем, что позволяет предположить, что директор по информационным технологиям найдет общий язык со службой ИБ. Разумеется, эффект от подчинения службе ИТ не будет положительным, если квалификация руководителя этой службы не отвечает действующему профессиональному стандарту[ix].

Таким образом, если руководитель предприятия чувствует, что служба ИБ не приносит пользы бизнесу, то имеет смысл попробовать перевести её в прямое подчинение. В крайнем же случае, если руководитель испытывает сложности в общении с руководителем службы ИБ, — подчинить её директору по ИТ. Следует ещё раз посмотреть, какие задачи поставлены перед ИТ-службой, развивает ли она систему управления ИБ или занимается «охотой на ведьм». Руководителям надо понять, что служба ИБ является эффективным инструментом управления бизнесом. Нужно просто научиться правильно ее использовать. Вспомните, когда в последний раз руководитель вашей организации говорил менеджеру по ИБ о проблемах бизнеса. А когда в последний раз ему ставилась задача провести анализ того или иного бизнес-процесса? Спросите, консультировался ли руководитель вашего подразделения со специалистами по ИБ, когда готовил предложения по совершенствованию своего участка деловой деятельности предприятия. Начните использовать службу ИБ по назначению, и вы получите доказательства ее необходимости в виде реального увеличения маржинальности бизнеса, а не виртуального «как бы предотвращенного» ущерба от «вроде бы вероятной» атаки.