Вестник цифровой трансформации

Особенности организации служб ИБ в разных сферах бизнеса
Особенности организации служб ИБ в разных сферах бизнеса




10:49 09.11.2022  |  1900 просмотров



«Инфосистемы Джет» провели исследование особенностей организации служб ИБ в разных сферах бизнеса. Его результаты показали, что почти половина опрошенных организаций (41%) имеет собственную службу информационной безопасности, подчиненную высшему менеджменту. В 23% случаев служба ИБ подчиняется ИТ-блоку, а в 25% — службе безопасности.

Как показало исследование, только 8% компаний до сих пор не имеют отдельно выделенного ИБ-подразделения. Обычно это небольшие организации коммерческого сектора. Поддержкой ИБ-процессов в таких компаниях неформально занимаются ИТ-работники, которые получают такие обязанности как дополнительную нагрузку и выполняют их по остаточному принципу.

Полученные данные значительно отличаются от тех, которые фиксировались в российских компаниях 5–7 лет назад. Растет понимание необходимости выведения ИБ-подразделений из подчинения ИТ-службам и службам безопасности, что подтверждает довольно высокая цифра в 41%.

1 мая 2022 года был подписан Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Под действие указа подпадают компании из многих сфер бизнеса: коммерческие и государственные организации, включая стратегические, системообразующие субъекты КИИ. Ключевые требования указа — создание в компании структурного подразделения, отвечающего за вопросы ИБ, а также назначение ответственного за ИБ, который должен подчиняться руководителю организации и входить в состав основных совещательных органов.

Ключевой целью исследования, проведенного «Инфосистемы Джет», стала оценка уровня соответствия компаний введенным требованиям. Как выяснилось, практика выделения ИБ-службы в самостоятельное структурное подразделение наиболее характерна для компаний финансового и государственного секторов, сферы услуг, девелопмента. Подчинение безопасников департаменту ИТ чаще всего встречается в телекоме и промышленности. Ситуация, когда ИБ относится к службе безопасности, характерна для топливно-энергетического комплекса и ретейла.

В исследовании также собрана информация об интегральном уровне зрелости процессов ИБ. Инструментом измерения стала Capability Maturity Model Integration (CMMI) — модель совершенствования процессов, характеризующаяся шестью уровнями. Большая часть (58%) компаний имеет интегральный второй (повторяемый) уровень зрелости, что показывает наличие минимально необходимых средств защиты, планирование и повторяемость ИБ-процессов. В то же время для этого уровня характерны отсутствие соответствия общепринятым практикам и плохая управляемость процессами, в том числе из-за недостатка ресурсов.

Как отмечают аналитики, несмотря на то, что около 92% компаний уже имеют штат собственных ИБ-специалистов, общий уровень зрелости процессов ИБ по-прежнему остается достаточно низким. Такая ситуация обусловлена как нехваткой профессиональных кадров, так и недостаточным финансированием со стороны бизнеса. Наиболее зрелыми отраслями традиционно остаются финансовый сектор и крупные ИТ-компании.

Теги: Информационная безопасность Инфосистемы Джет


На ту же тему: