Журнал "Information Security/ Информационная безопасность" #6, 2025

аудит. Такая модель позволяет достичь баланса: ИТ занимаются операционкой, ИБ обеспечивает управление рисками – и никто никому не мешает. Иногда встречаются попытки слить два подразделения в одно, и во многих компаниях это так и работает. Я считаю, что любая схема может быть рабочей, если помогает достигать цели. Но пол- ностью скрестить ИТ и ИБ невозможно: миссии различаются слишком сильно. – Как вы распределяете ответ- ственность и находите баланс между ИБ и ИТ? – Здесь вопрос в умении искать ком- промиссы. Не "делай так", а "давай попро- буем вот так". Такой подход работает значительно эффективнее. В нашей ком- пании служба ИБ называется не "служба безопасности", а "служба обеспечения бизнеса". Это отражает суть: наша цель – не ограничивать, а создавать условия, в которых бизнес может работать без- опасно, стабильно и без простоев. На уровне топ-менеджмента это тоже подчеркивается: ИБ – партнер бизнеса, а не тормоз. Мы обеспечиваем непре- рывность, минимизируем риски, помо- гаем компаниям развиваться без угроз и инцидентов. Именно в этой логике выстраиваются отношения с ИТ – как сотрудничество, а не борьба за влияние. – Удалось ли вам достичь поставленных целей после внед- рения SECURITM? – Да, однозначно. Более того, я писал диплом МВА на тему повышения эффек- тивности процессов менеджмента ИБ и основывал работу именно на опыте внедрения этой системы. Мне удалось оцифровать результаты: сформировано более пятидесяти метрик, отражающих текущее состояние процессов, динамику их изменений. По всем ключевым направлениям мы получили тот эффект, которого добивались и закладывали в техническое задание на внедрение. Что касается взаимодействия с коман- дой SECURITM – здесь тоже все отлично. На этапе внедрения и после мы получали полную поддержку. Если требовалось внести изменения или доработки, ника- ких проблем не возникало: коллеги реа- гировали быстро и конструктивно. Иногда случалось, что в базе норма- тивных требований чего-то не хватало, нормативная база часто обновляется, но стоило написать в чат поддержки или позвонить – нужные документы опе- ративно добавлялись. В этом смысле работа с командой SECURITM оказалась очень комфортной. – Чем вы занимаетесь сейчас, на текущем этапе? – Сейчас моя работа в большей сте- пени административная. Я координирую деятельность служб информационной безопасности в нескольких компаниях разных отраслей нашего холдинга. Ино- гда выступаю как методолог: помогаю менее опытным коллегам, подсказываю, как выстраивать процессы, решать воз- никающие вопросы. В целом моя роль сегодня – именно координационная. – Набор специалистов, как пра- вило, болезненная тема. Как вы формируете команду? – Если говорить о текущем состоянии рынка, ситуация действительно непро- стая. В моей практике команда ИБ пол- ностью обновлялась минимум два раза. Коллеги, набравшись опыта, решали попробовать себя в новых условиях и компаниях, тем не менее почти со всеми сложились дружеские отношения, мы периодически общаемся. Сегодня однозначного ответа на этот вопрос в условиях кадрового голода нет. Необходимо применять все доступ- ные методы. Может быть не всегда нужно искать сразу опытных сотрудни- ков, а брать, например, студентов или вчерашних выпускников – и развивать, обучать их. Кстати, современные SGRC-системы берут на себя значительную часть рутин- ной работы и, по сути, частично компен- сируют нехватку специалистов: позво- ляют держать процессы под контролем даже тогда, когда штат ограничен. – Что бы вы порекомендовали компаниям, которые только начи- нают рассматривать возмож- ность внедрения единой системы управления процессами инфор- мационной безопасности? На что стоит обратить особое внимание? – Мои рекомендации такие: 1. Не бойтесь внедрять, хуже точно не будет. 2. Сформулируйте для себя узкие места, наметьте точки роста. Ответьте себе на вопросы: чего вы хотите достичь после внедрения системы? Каким дол- жен быть результат? 3. Начните с малого, например, с пла- нировщика задач или модуля компла- енса. Я уверен, что аппетит придет во время еды, и через какое-то время вы захотите от такой системы значительно большего. l • 17 ПЕРСОНЫ www.itsec.ru На правах рекламы Ваше мнение и вопросы присылайте по адресу is@groteck.ru