Компания «Инфосистемы Джет» провела исследование особенностей организации служб ИБ в разных сферах бизнеса. Его результаты показали, что почти половина опрошенных организаций (41%) имеет собственную службу информационной безопасности, подчиненную высшему менеджменту. В 23% случаев служба ИБ подчиняется ИТ-блоку, в 25% — службе безопасности, 3% имеют иную структуру подчиненности.
При этом только 8% компаний до сих пор не имеют отдельно выделенного ИБ-подразделения. Обычно это небольшие организации коммерческого сектора. Поддержкой ИБ-процессов в таких компаниях неформально занимаются ИТ-работники, которые получают такие обязанности как дополнительную нагрузку и выполняют их по остаточному принципу.
«Полученные данные значительно отличаются от тех, которые мы фиксировали в российских компаниях 5–7 лет назад. Растет понимание необходимости выведения ИБ-подразделений из подчинения ИТ-службам и службам безопасности, что подтверждает довольно высокая цифра в 41%», — отмечает Александр Морковчин, эксперт по информационной безопасности компании «Инфосистемы Джет».
1 мая 2022 года был подписан Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Под действие указа подпадают компании из многих сфер бизнеса: коммерческие и государственные организации, включая стратегические, системообразующие субъекты КИИ. Ключевые требования указа — создание в компании структурного подразделения, отвечающего за вопросы ИБ, а также назначение ответственного за ИБ, который должен подчиняться руководителю организации и входить в состав основных совещательных органов.
Ключевой целью исследования «Инфосистемы Джет» стала оценка уровня соответствия компаний введенным требованиям. Выводы сделаны на основе данных, полученных в ходе проектов по аудиту ИБ в 2019–2021 годах, и результатов опроса заказчиков компании. В выборку вошли 100 компаний из более чем 10 отраслей, география исследования включает компании России, Азербайджана и Узбекистана.
Практика выделения ИБ-службы в самостоятельное структурное подразделение наиболее характерна для компаний финансового и государственного секторов, сферы услуг, девелопмента. Подчинение безопасников департаменту ИТ чаще всего встречается в телекоме и промышленности. Ситуация, когда ИБ относится к службе безопасности, характерна для топливно-энергетического комплекса и ритейла.
В исследовании также собрана информация об интегральном уровне зрелости процессов ИБ. Инструментом измерения стала Capability Maturity Model Integration (CMMI) — модель совершенствования процессов, характеризующаяся шестью уровнями. Большая часть (58%) компаний имеет интегральный второй (повторяемый) уровень зрелости, что показывает наличие минимально необходимых средств защиты, планирование и повторяемость ИБ-процессов. В то же время для этого уровня характерны отсутствие соответствия общепринятым практикам и плохая управляемость процессами, в том числе из-за недостатка ресурсов.
«Несмотря на то, что около 92% компаний уже имеют штат собственных специалистов ИБ, общий уровень зрелости процессов ИБ по-прежнему остается достаточно низким. Такая ситуация обусловлена как нехваткой профессиональных кадров, так и недостаточным финансированием со стороны бизнеса. Наиболее зрелыми отраслями традиционно остаются финансовый сектор и крупные ИТ-компании», — резюмирует Александр Морковчин.
