Информационная безопасность — Служба или функция?

Автор статьи:

В настоящий момент к продуктам информационной безопасности относится большой спектр самых различных решений, включая систему сбора корреляции событий, аналитические системы, системы контроля за утечками и так далее. И если мы посмотрим внутрь этих систем, то мы увидим, что они содержат в себе достаточно большой функционал либо IT-систем, либо систем оптимизации процессов. Это одна из принципиальных сложившихся тенденций. Каково же будущее информационной безопасности? Достаточно неблагодарное дело – строить прогнозы, однако оценить накопившиеся и развивающиеся тенденции более чем возможно. Для начала определим, что же такое информационная безопасность сегодня, и как мы пришли к текущей ситуации.

Как все начиналось

В современном виде информационная безопасность начала формироваться 20-25 лет назад, тогда же она представляла собой работу со средствами защиты. То есть изначально у нас появились средства защиты информации, которые необходимо было администрировать, ими нужно было управлять, и первые службы информационной безопасности занимались именно такой работой. Это межсетевые экраны, средства антивирусной защиты, позже появились средства обнаружения вторжений и так далее.

Мощный толчок в направлении развития систем управления произошел 10 лет назад, с появлением тематики защиты персональных данных. Это привело к тому, что информационная безопасность стала восприниматься не только как работа со средствами защиты, а как процесс, которым необходимо управлять. Появились законы, стандарты, требования регуляторов, которые активно стали применяться на обязательном уровне и поддерживаться законодательством.

Постепенно от работы со средствами защиты мы перешли к эпохе «комплаенс», то есть к неким системам менеджмента. И для этого появились соответствующие продукты, которые позволяют все это реализовать. Оглядываясь на классическую историю, это межсетевые экраны, средства антивирусной защиты, однако в современных реалиях в крупных организациях это такие системы и подсистемы как антивирусная защита, межсетевое экранирование, которые перешли на администрирование обычных служб IT.

Информационная безопасность

Грань между службой и функцией

Как результат, службы информационной безопасности приобрели функцию контроля, а именно функцию контроля и управления какой-то частью некоторых процессов. Например, чтобы установить какое-либо приложение, необходимая заявка проходит, в числе прочего, и службу безопасности. Но если мы ответим честно на вопрос – насколько это оправдано, окажется, что лишь для меньшего числа организаций этот процесс эффективен. Другими словами процесс, когда каждый чих согласуется со службой ИБ, для большинства организаций оказался неправильным.

Как выходят из ситуации? Различные подразделения, которые существуют в современных компаниях, получают на себя функцию информационной безопасности. Приведем пример. Системы, которыми пользуются современные службы экономической безопасности или службы физической безопасности, теперь неразрывно связаны с инструментарием рынка информационной безопасности. Люди, занимающиеся конкурентной разведкой, также используют системы, которыми пользуются службы информационной безопасности. В то же время службы информационной безопасности пользуются СБ-шными системами и системами служб экономической безопасности. Мы становимся свидетелями ситуации, когда размываются границы между различными службами.

Информационная безопасность перестала быть отдельной службой, она стала отдельной функцией. Сегодня, когда организация создает или покупает некую информационную систему, она не хочет заниматься обеспечением ее безопасности. Она хочет либо купить безопасную систему, соответствующую ее критериям, либо же создать безопасную систему. Если мы посмотрим на группы разработки, существующие в крупных компаниях сегодня, то разработкой продуктов занимаются небольшие команды, в которых есть люди, отвечающие за отдельные вопросы информационной безопасности, например, касательно безопасности разработки; отдельные специалисты занимаются вопросами корректности встраивания криптографии; другие разбираются в регуляторных вопросах по направлению конкретного продукта.

Например

Информационная безопасность превратилась в функцию, которую можно заменить отдельными участниками команды. Теперь, если мы посмотрим на крупных разработчиков программных продуктов – «Яндекс» или «Google», то мы увидим, что деление идет по продуктовым линейкам. Разработкой конкретного продукта занимаются не только айтишники, разработчики, программисты, но также есть люди, занимающиеся вопросами информационной безопасности в рамках этого продукта.

Если рассмотреть каждого в отдельности: будет 100 продуктов, будет 100 функций в каждом продукте по вопросам информационной безопасности. Если мы посмотрим на современные российские компании, то в структуре менеджмента обязательно есть человек, разбирающийся в вопросах информационной безопасности. Если мы посмотрим на правовую сторону вопроса, опять же – юридические службы так же набирают людей, которые занимаются или по крайней мере на каком-то уровне разбираются в вопросах информационной безопасности и в состоянии проконсультировать по этим вопросам.

Информационная безопасность: заключение

Для многих компаний не обязательно иметь ИБ-шника для того, чтобы тот разбирал для них какие-то кейсы или ситуации. Для многих, например, юридических служб необходимо, чтобы был специалист по вопросам, например, защиты персональных данных или по вопросам корректности оформления работы с конфиденциальной информацией. Эти люди в компании могут существовать не в качестве специалистов отдельной службы ИБ, а в качестве специалистов кадровой службы или специалистов юридической службы.

В конечном итоге мы приходим к ситуации, когда информационная безопасность из профессии или такой прикладной задачи превращается в банальную функцию, которую можно в каждой отдельной системе – будь то система управления, будь то информационная система – решить путем привлечения конкретного специалиста в рамках конкретного проекта. И вопрос обоснованности службы информационной безопасности в настоящий момент остается открытым.

Компания, занимающаяся информационной безопасностью

RTM Group на протяжении многих лет предоставляет услуги по информационной безопасности, с перечнем которых можно ознакомиться по ссылке.

    Нужна консультация?

    Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

    Телеграм канал ИТ Право Безопасность

    Задать вопрос эксперту

      Связанные услуги