Журнал "Information Security/ Информационная безопасность" #6, 2021

Написание регламентов не очень дорогое мероприя- тие, но позволяет снизить количество ошибок и даже требования к персоналу. Там, где есть потреб- ность всего в одном-двух специалистах, создавать целый отдел не нужно. В этом случае есть смысл обратить внима- ние на аутсорсинг. Когда величина и потребности организации достигают уровня пяти специалистов, которые не только закрывают потребности в защите информации, но и могут подменять друг друга в случае отпуска/больничного и растить молодых экспертов, аутсорсинг, как правило, невы- годен (см. рис. 1). Иногда крупная организация может содержать штат специа- листов по ИБ, но быть слишком масштабной, чтобы обойтись своими силами. В этом случае не хватает не только админи- стративных ресурсов, чтобы управлять штатом непроизвод- ственных подразделений, вклю- чая охрану, бухгалтерию, ИТ, но и специалисты по безопас- ности не справляются со своими задачами. В такой ситуации аутсорсинг является хорошей возможностью снять головную боль с руководства. Разумеется, только при грамотных SLA и KPI подрядчика. Достаточно ли квалификацированы ИТ- и ИБ-специалисты? Вопрос квалификации кадров является больной темой для разных отраслей. Несмотря на обилие выпускников вузов по направлениям ИБ, число вакан- сий, открытых длительный период времени, довольно вели- ко. Дело не только в жадности работодателей (хотя и такая проблема есть), основная при- чина долгих поисков в том, что найти компетентного специали- ста проблематично. В нашей компании мы пошли по пути стажировок и взращивания собственных спе- циалистов (аудиторов и экс- пертов). Такой подход могут себе позволить только про- фильные аутсорсинговые фирмы. Но тот, кто нанимает сотрудников в штат, вынужден долго и упорно выбирать кан- дидатов (см. рис. 2). К сожалению, увеличение срока подбора не всегда дает результат. Многие безопасники, выбравшие специализацию сразу после обучения, не хотят ее менять, вплоть до того, что им сложно перейти на новый язык программирования. Поче- му – тема отдельной статьи. Просто примем как данность. В итоге часть вакансий (по нашим наблюдениям, более 50%) занимают сотрудники, не имеющие соответствующей ква- лификации, в лучшем случае находящиеся в процессе обуче- ния специфике. И это грустно. Достаточно ли регламентирована деятельность сотрудников ИТ и ИБ? Как можно справиться с про- блемой недостаточной квали- фикации? Здесь поможет толь- ко жесткая регламентация. Неважно, свой у организации штат или аутсорсинг – их дея- тельность должна быть четко прописана. Прежде всего речь идет о должностной инструкции и рег- ламентах. Что они должны в себя включать? На примере финансовых организаций в ГОСТ 57580.1 выделено восемь процессов защиты информации. Для каж- дого из них должны быть про- писаны инструкции и регламен- ты, как и что следует выполнять сотруднику ИБ, чтобы вчераш- ний студент, пришедший в отдел ИБ, мог с ходу выполнять свои функции и отрабатывать свою зарплату. В ИТ-отделе должно быть то же самое, хотя на деле ситуация еще плачевнее, чем в ИБ. В луч- шем случае имеется система учета заявок. Обязанности на ежедневной или иной периоди- ческой основе есть только у отделов в несколько десятков человек. Даже не у всех аут- сорсинговых ИТ-компаний име- ется хотя бы удовлетворитель- ная степень регламентации. 26 • УПРАВЛЕНИЕ Аудит эффективности ИБ- и ИТ-отделов Нужен ли собственный ИБ- или ИТ-отдел? лассные специалисты по информационной безопасности – большая редкость. Мало найти такого сотрудника, ему необходимо создать условия для развития и компетентного выполнения обязанностей. В одиночку ему будет трудно совершенствоваться, он не сможет расти как профессионал – проходить обучение, взаимодействовать с единомышленниками, быть в курсе событий индустрии. К Федор Музалевский, директор технического департамента RTM Group Рис. 1 Рис. 2