Рубрикатор | ![]() |
![]() |
Блоги | ![]() |
Алексей ЛУКАЦКИЙ | ![]() |
![]() |
Какой должна быть структура службы ИБ?
16 июля 2019 |
![]() |
Сразу надо сказать, что "правильной", единственно верной структуры не
существует и не может быть в принципе, так как ее формирование зависит
от множества факторов - зрелости, отношения к рискам, корпоративной
культуры, использования аутсорсинга, распределенной структуры, наличия
дочерних и зависимых обществ, функциональности ИТ-службы, подчиненности и
т.п. Я бы выделил несколько функциональных блоков, которые
должны реализовываться в рамках корпоративной ИБ. Это именно
функциональные блоки, за которыми может следовать и оргштатное
разделение ( а может и нет). Как мне кажется, тут выделены ключевые
направления деятельности службы ИБ - защита данных и инфраструктуры,
контроль доступа, мониторинг и реагирование на ИБ, администрирование,
управление ИБ, названное на картинке модным термином "GRC", и
архитектурный блок.
![](/data/2019/07/16/1237544605/securityorganization.png)
Нет, постойте, скажете вы. А защита АСУ ТП где? А где контроль облачных
сред? Правильно. Поэтому я написал в самом начале, что не бывает
универсальной структуры. Все очень сильно зависит от окружения. У
кого-то безопасность АСУ ТП - это прерогатива не службы ИБ, а службы АСУ
ТП. У кого-то нет облаков и им не нужен отдельный функциональный блок,
связанный с ними. А вот, например, в Cisco, пользующейся услугами около
700 облачных провайдеров по миру, служба ИБ содержит отдельное
подразделение, которое отвечает именно за это, очень важное для нашего
бизнеса направление. А кто-то создает отдельный блок, связанный с
защитой прорывных технологий - блокчейна, больших данных, машинного
обучения и т.п.
![](/data/2019/07/16/1237544579/securityorganization3.png)
Кто-то функцию мониторинга и реагирования на инциденты целиком
отдает на аутсорсинг, а кто-то создает под это направление отдельный
центр (а кто-то нет). Где-то антивирусной защиты, управлением
уязвимостями и управлением доступом занимается ИТ, а где-то это
по-прежнему функция ИБ. Да те же межсетевые экраны. В одних компаниях их
эксплуатацию давно отдали в службу ИТ, а в других ими "рулят"
безопасники. Все очень условно и общих правил формирования службы ИБ не
существует. Есть, однако, несколько аксиом, которые должны быть
соблюдены:
Разбив на функциональные блоки структуру своей службы ИБ (ориентируясь на картинку выше), вы можете уже детализировать их наполнение и смотреть, что должно быть сделано в рамках, например, блока повышения осведомленности или управления рисками или разработки архитектуры. Например, это может выглядеть вот так (я эту схему рисовал для одного из проектов по проектированию SOC).
- следуйте за процессами
- разделяйте реализацию и надзор
- не пытайтесь делать все - делегируйте
- не смотрите, как у других.
Разбив на функциональные блоки структуру своей службы ИБ (ориентируясь на картинку выше), вы можете уже детализировать их наполнение и смотреть, что должно быть сделано в рамках, например, блока повышения осведомленности или управления рисками или разработки архитектуры. Например, это может выглядеть вот так (я эту схему рисовал для одного из проектов по проектированию SOC).
![](/data/2019/07/16/1237544577/securityorganization2.png)
Обратите внимание на второй справа блок "Business Enablement". Он
отвечает за уже набившую оскомину тему привязки ИБ к бизнесу и, в данном
случае, за безопасность проектов по цифровой трансформации, которые
реализовывались у заказчика. В итоге у вас может родиться вот такая
структура службы ИБ.
![](/data/2019/07/16/1237544583/securityorganization4.png)
Да вы охренели?! - скажете вы. Если каждый прямоугольник рассматривать
как отдельную штатную единицу, то кто же мне даст 50 человек для
обеспечения ИБ? Вспомните последние две аксиомы, которые я описал выше.
Не пытайтесь делать все и не смотрите, как сделано у других. Я привел
эту схему в качестве примера, в котором реализовано почти все описанные
выше функциональные блоки. Вы, например, в вашем случае можете взять
только ключевые функции и распределить их между, допустим, тремя
специалистами по ИБ, включая и руководителя ИБ.
![](/data/2019/07/16/1237544581/securityorganization5.png)
Вот как-то так получается с оргструктурой службы ИБ. Универсального ответа нет, но есть на что ориентироваться.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.