Третий Саммит директоров по информационной безопасности (Russian CSO Summit III) . Первая из "изюминок", о которой хотелось рассказать - выступление начальника отдела информационных рисков Русь-банка, с вопросом: "Кому должен подчиняться отдел информационной безопасности (ИБ)?"
Есть структура: Председатель, под ним три службы: Служба ИТ, Служба безопасности (СБ), Служба риск-менеджера.
Вариант, когда ИБ подчиняется ИТ плох тем, что подчинённому проблематично инспектировать начальство.
Вариант, когда ИБ под СБ плох тем, что не понимают язык друг-друга.
Вариант, когда ИБ напрямую подчиняется Председателю плох тем, что у Председателя мало времени для ИБ.
Вариант, когда ИБ подчиняется риск-менеджеру оказался оптимальным, после того, как были перепроованы все перечисленные варианты.
Комментарий
В этом симпатичном примере интересен, как сам результат, так и путь к нему. Положительным следует признать отношение банка к изменениям для поиска оптимального.
Вспомнилось, как лет двадцать, а может и больше, тому назад не дай бог было усомниться в том, что ИТ должно напрямую подчиняться Директору, а не Главному бухгалтеру: "Вот потому-то и не создать вам корпоративную информационную систему (КИС), что цепляемся за бухгалтерию!".
Опыт показал, что в каждом случае результат может быть любой. В одном случае Главный бухгалтер вырастил КИС, в другом - ИТ зачахли, невзирая на прямое подчинение. Так, что вывод - менять и смотреть самим, что получается, устраивает или нет, без всякой демагогии
Постоянный адрес статьи в Интернет: http://www.ispl.ru/Komu_otdat_IB.html
Ключевые слова: Третий Саммит директоров по информационной безопасности, Russian CSO Summit III, информационная безопасность, риск-менеджер, служба безопасности