Контакты
Подписка 2025

Командная организация в ИБ: CISO и его команда

Сергей Рысин, 18/06/19

 

 

Если посмотреть на подходы к формированию команд для защиты информации в России, то невооруженным взглядом видны различия с зарубежными принципами выбора специалистов, обеспечивающих компьютерную и информационную безопасность. В основе сегодняшних различий изначально лежит тот факт, что в России такие команды исторически формировались в первую очередь из людей, имеющих опыт работы в правоохранительных органах, в то время как в остальном мире основной состав команды строился из ИТ-специалистов, обладающих высшим техническим образованием и компетенциями построения сложных информационных систем.

 

Только к концу нулевых годов нарастающая сложность систем обеспечения информационной безопасности наглядно показала бизнесу в России: далеко неспроста весь западный мир все это время делал ставку на опытных специалистов из ИТ, поскольку совершенно невозможно обойтись без штата компетентных сотрудников, способных к сопровождению и эксплуатации данных систем.

Итак, какие же существуют механизмы формирования команды ИБ в современных компаниях?

Для начала определимся, в чем же суть команды CISO и какие функции она должна выполнять на сегодняшний день.

rysin_ris1

Вот краткий перечень задач, стоящих перед командой CISO в современных реалиях:

  • построение архитектуры ИБ;
  • внедрение систем ИБ;
  • сопровождение и администрирование систем ИБ;
  • многоцелевой мониторинг;
  • проведение исследований в области ИБ;
  • формирование нормативной базы;
  • проведение служебных расследований.

На основании данной функциональной структуры и необходимо подбирать команду, при этом опираясь на знания и компетенции каждого члена команды.

rysin_ris2

Группа архитекторов ИБ

В состав группы архитекторов инфраструктуры ИБ должны входить  специалисты, владеющие современными технологиями обеспечения ИБ: NGFW, VDR, DLP, SIEM, iDM, VM, BM и др. В том числе для построения универсальной архитектуры далеко не будут лишними навыки работы с продуктами разных производителей для построения мультивендорной защиты.

rysin_ris3

Группа внедрения и администрирования

Команда внедрения и администрирования фактически выполняет ту стратегию, которую разработала группа архитекторов, и формирует всю цепочку интеграции во взаимодействии с подразделениями ИТ в части информационной безопасности.

Группа мониторинга

Одними из ключевых качеств специалистов группы мониторинга должны являться тщательность, ответственность, внимание к мелочам, ведь именно в результате проведения регулярного комплексного мониторинга могут быть выявлены основные проблемные места компании. Подбор такого рода специалистов представляет собой весьма тонкую задачу, но именно эти люди являются вашими глазами и вашей опорой. Полномочия группы мониторинга распределяются на отдельные зоны:

  • мониторинг внешнего периметра компании (СМИ, Социальные сети и т.п.);
  • мониторинг активного сетевого оборудования и инцидентов на нем;
  • мониторинг систем утечки информации;
  • мониторинг серверной инфраструктуры;
  • мониторинг систем защиты периметра;
  • мониторинг антивирусной безопасности.

Такая команда может организовать всесторонний анализ различных источников событий и сформировать объективный взгляд на состояние внешней и внутренней информационной среды, что обеспечит защиту от большей части угроз, окружающих вашу компанию.

Группа разработки

Для поддержания эффективной работы группы мониторинга зачастую необходимо создавать новые механизмы, которые позволят наиболее оптимально решать поставленные задачи. В частности, это предполагает автоматизированные средства обработки информации и максимальную их визуализацию. Для этого требуются специалисты со знанием программирования и визуализации процессов, а также компетенциями в вопросах интеграции различных систем между собой.

Таким образом, мы фактически получаем в команде CISO группу разработчиков программного обеспечения, создающих необходимые для практической работы продукты и сервисы, которые потенциально даже можно монетизировать – то, чего зачастую вообще не ожидают от команды CISO.

Группа технических писателей и юристов

Как бы мы ни старались обходиться без «бумажной» работы, мы гарантированно столкнемся с необходимостью создавать и поддерживать правовое поле для легализации наших действий в рамках компании. В противном случае не будет возможности ни для проведения расследований, ни для официального привлечения работников к ответственности. К тому же, нельзя забывать и про документирование всей системы защиты информации – это и схемы, и руководства, и паспорта систем.

Группа расследований

Наконец, мы можем рассмотреть группу расследований – группу, работающую на основе данных мониторинга и наделенную существенными правами в соответствии с внутренними нормативным актам. Данная группа проводит непосредственно сами расследования по выявленным инцидентам, формирует заключения и составляет отчеты руководству о проблемных вопросах. В зону ответственности данной группы также входит взаимодействие с архитекторами ИБ для формирования новых способов защиты, что позволяет усовершенствовать системы защиты и повысить общую защищенность компании.

Теперь мы можем изобразить структуру команды SICO более подробно:

rysin_ris4

Стоит отметить, что при соблюдении описанных принципов формирования команды CISO каждый специалист эффективно дополняет друг друга. Это позволяет выстроить комплексную систему защиты компании, что в сегодняшнем мире, полном киберугроз, имеет решающее значение.

Темы:Сергей РысинCISOУправление

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Стратегия аудита информационной безопасности в пяти шагах
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.
  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...