Исследование: особенности организации служб ИБ в разных сферах бизнеса

При этом только 8% компаний до сих пор не имеют отдельно выделенного ИБ-подразделения. Обычно это небольшие организации коммерческого сектора. Поддержкой ИБ-процессов в таких компаниях неформально занимаются ИТ-работники, которые получают такие обязанности как дополнительную нагрузку и выполняют их по остаточному принципу.

Полученные данные значительно отличаются от тех, которые мы фиксировали в российских компаниях 5–7 лет назад. Растет понимание необходимости выведения ИБ-подразделений из подчинения ИТ-службам и службам безопасности, что подтверждает довольно высокая цифра в 41%.

 

Александр Морковчин,

эксперт по информационной безопасности компании «Инфосистемы Джет».

1 мая 2022 года был подписан Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Под действие указа подпадают компании из многих сфер бизнеса: коммерческие и государственные организации, включая стратегические, системообразующие субъекты КИИ. Ключевые требования указа — создание в компании структурного подразделения, отвечающего за вопросы ИБ, а также назначение ответственного за ИБ, который должен подчиняться руководителю организации и входить в состав основных совещательных органов.

Ключевой целью исследования «Инфосистемы Джет» стала оценка уровня соответствия компаний введенным требованиям. Выводы сделаны на основе данных, полученных в ходе проектов по аудиту ИБ в 2019–2021 годах, и результатов опроса заказчиков компании. В выборку вошли 100 компаний из более чем 10 отраслей, география исследования включает компании России, Азербайджана и Узбекистана.

Практика выделения ИБ-службы в самостоятельное структурное подразделение наиболее характерна для компаний финансового и государственного секторов, сферы услуг, девелопмента. Подчинение безопасников департаменту ИТ чаще всего встречается в телекоме и промышленности. Ситуация, когда ИБ относится к службе безопасности, характерна для топливно-энергетического комплекса и ритейла.

В исследовании также собрана информация об интегральном уровне зрелости процессов ИБ. Инструментом измерения стала Capability Maturity Model Integration (CMMI) — модель совершенствования процессов, характеризующаяся шестью уровнями. Большая часть (58%) компаний имеет интегральный второй (повторяемый) уровень зрелости, что показывает наличие минимально необходимых средств защиты, планирование и повторяемость ИБ-процессов. В то же время для этого уровня характерны отсутствие соответствия общепринятым практикам и плохая управляемость процессами, в том числе из-за недостатка ресурсов.