Организация ресурсного (кадрового и финансового) обеспечения ИБ: от определения необходимости до эффективности

По данным ФСТЭК России, потребность в специалистах по защите информации в 2023–2025 годах составляла около 7 тысяч человек. В России ситуация с кадрами сложная и в ИТ, и в ИБ. По разным оценкам, сегодня отечественная ИТ – отрасль нуждается не менее чем в 700 тысячах новых специалистов. А ресурсное обеспечение ИБ — это не только кадры, но более сложная система со своими нюансами и особенностями. Подробнее об этом расскажет Илья Коломыцев, младший консультант по управлению рисками RTM Group.

Зачем нужно и как регулируется ресурсное обеспечение ИБ

Положение №716-П от 8 апреля 2020 г. говорит о том, что каждой организации необходимо во внутренних документах определить порядок функционирования системы ИБ, включая ресурсное (кадровое и финансовое) обеспечение. Основные моменты описываются в политике информационной безопасности.

Далее, есть ряд документов, сверяясь с которыми, можно получить все необходимые сведения для подготовки процесса ресурсного обеспечения в кредитной организации. В частности, приказ №739н от 28.11.2022 перечисляет трудовые функции, уровень квалификации и необходимые компетенции для сотрудников. ГОСТ 57580.3-2022 определяет требования к распределению ролей в рамках модели «трех линий защиты» и требования к организации ресурсного (кадрового и финансового) обеспечения. Рекомендации Банка России № РС БР ИББС-2.7-2015 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации и Ресурсное обеспечение информационной безопасности» определяют потребности службы ИБ (далее – СИБ) организации банковской сферы (далее – БС) РФ в обеспечении кадровыми ресурсами.

Применяемые финансовой организацией меры по организации ресурсного (кадрового и финансового) обеспечения должны быть направлены на:

— организацию ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз;

— организацию ресурсного (кадрового и финансового) обеспечения функционирования СИБ;

— организацию целевого обучения по вопросам выявления и противостояния реализации информационных угроз.

В соответствии с Положением ЦБ № 716-П от 08.04.2020, кредитная организация устанавливает во внутренних документах методики оценки необходимого ресурсного (кадрового и финансового) обеспечения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации (далее ОН и ЗИ).

Для того, чтобы организовать и реализовывать деятельность по оценке необходимого ресурсного (кадрового и финансового) обеспечения и определения состава основных ресурсов формируется политика управления рисками. Далее, осуществляется ресурсное обеспечение процессов системы управления рисками реализации информационных угроз, ресурсного обеспечения функционирования СИБ, целевого обучения по вопросам выявления и противостояния реализации информационных угроз.

Формируются «три линии защиты» с распределением функций между подразделениями:

• Первая: ведущая роль возложена на руководителей подразделений и организаций — сотрудников, которые ежедневно принимают решения, управляют процессами и несут ответственность за идентификацию, оценку и минимизацию рисков;

• Вторая: служба управления рисками и СИБ;

• Третья: уполномоченное подразделение, осуществляющее внутренний аудит (Служба внутреннего аудита).

Должна учитываться значимость ресурсов (кадровых и финансовых), необходимых для обеспечения должного уровня зрелости процессов управления риском реализации информационных угроз, обеспечения ОН и ЗИ. Например, при внедрении новых технологий или расширении бизнеса финансовой организацией требуется дополнительный анализ ресурсных потребностей.

Подбор кадров осуществляется на основе наличия необходимых компетенций, а также с учетом требований профессиональных стандартов к квалификации работников, включая профессиональный стандарт для специалистов по ИБ в кредитно-финансовой сфере.

Оценка эффективности персонала, задействованного в рамках управления риском реализации информационных угроз, проводится в соответствии с приказом Минтруда России от 28 ноября 2022 года №739н.

При этом учитываются следующие показатели:

• · Выполнение KPI

• · Соблюдение регламентов и процедур

• · Уровень знаний и навыков

• · Участие в проектах и инициативах

• · Способность к обучению и адаптации

• Отсутствие нарушений

При необходимости принимается решение о том, чтобы повысить квалификацию сотрудников. При этом проводится систематическая оценка их работы через ключевые показатели и ROI/ROSI. Кроме того, обязательно должна учитываться возможность ухода работников, задействованных при выполнении ключевых ролей по управлению риском реализации информационных угроз. Очень важно разработать планы реагирования на увольнение сотрудников, имеющих доступ к критическим системам.

Почему важно планировать и утверждать бюджет для СИБ?

Совет директоров разрабатывает стратегические направления финансирования, утверждает бюджет и ключевые показатели, связанные с ОН и ИБ. Также при закупке или разработке программных, аппаратных и программно-аппаратных продуктов проводятся тендеры или прямые закупки у поставщиков, соответствующих требованиям безопасности и совместимости с существующей инфраструктурой, или разработка организацией собственных решений с учетом требований к ЗИ и ОН.

Если принимается решение об аутсорсинге, необходимо организовать процесс с соблюдением требований по ИБ, конфиденциальности и непрерывности оказания услуг на основе репутации поставщика, опыта работы в сфере ИБ и соответствия требованиям по защите информации. При заключении договоров с поставщиками услуг по обеспечению доступа к информационным ресурсам (на основе возмездного договора) должны быть четко прописаны условия доступа, ограничения использования данных и ответственных сторон.

Предоставление СИБ собственного бюджета является критически важным условием обеспечения киберустойчивости финансовой организации согласно ГОСТ Р 57580.3-2022.

В ходе формирования бюджета СИБ обосновываются затраты на основе планируемых задач и утверждаются Генеральным директором или советом директоров организации.

Собственный бюджет позволяет СИБ проводить оценку рисков, идентифицировать уязвимости, разрабатывать политики безопасности и оперативно реагировать на новые угрозы. Также повышается операционная эффективность ИБ через автоматизацию SIEM или DLP, которые снижают нагрузку на сотрудников и затраты на администрирование.

Обязательно должен выделяться бюджет на услуги по разработке документации и аудиту ИБ. Как показывает практика, для выполнения таких задач дешевле и эффективнее привлекать внешних экспертов, нежели расходовать внутренний ресурс (персоналу чаще всего требуется обучение в таких случаях).

Как определить численность ИБшников?

Численность и компетенция работников для ресурсного (кадрового и финансового) обеспечения СИБ должны определяться на основе трудозатрат, количества процессов СОИБ и масштаба их выполнения. При этом нужно учитывать уровень автоматизации процессов ОН и ЗИ, а также планы развития бизнес‑технологических процессов финансовой организации (например, расширение филиальной сети).

Для расчета можно использовать формулу:

Где:

• N — расчётная численность сотрудников;

• T₀ — общие трудозатраты на выполнение всех задач и функций СИБ в часах или днях;

• Zn — предполагаемый нормативный фонд рабочего времени одного сотрудника;

• Kn — коэффициент, учитывающий возможные невыходы сотрудника.

Пример определения минимальной необходимости численности работников СИБ:

Условно, представим, что у нас есть ряд задач:

• По мониторингу событий – просмотр и обработка сообщений, поступивших от SIEM системы – 200 ч

• СКЗИ – проверка флешек и других сменных носителей, а также ПО и драйверов, скачиваемых из Интернета – 150 ч

• ИБ – анализ защищенности, контроль удаленного доступа подрядчиков, актуализация перечня аккаунтов подрядчиков и админов, внесение изменений в отслеживаемые списки — 300 ч

Первым шагом считаем общие трудозатраты:

Т = 200+150+300 = 650 (часов за месяц)

Вторым шагом рассчитываем нормативный фонд времени

Z = (Д x t) — П

Где:

• Д – количество рабочих дней по производственному календарю

• t – продолжительность рабочей смены

• П – предпраздничные сокращения (если есть)

Условно:

Рабочих дней: 22; Смена: 8 ч; Предпраздничных дней: 1;

Z = (22×8) — 1 = 175 ч

Следующим шагом, определяем коэффициент невыходов:

Где:

• Н – суммарное количество дней невыходов на одного сотрудника

• Д – общее количество рабочих дней.

Условно:

• Отпуск: 20 дней/год;

• Больничные: 5 дней/год;

• Иные невыходы: 3 дня/год;

• Всего рабочих дней в году: 247.

Итог:

Также важно учитывать масштаб выполнения, управляемого процессов СОИБ, в том числе:

• количество подразделений (филиалов, отделений) организации БС РФ;

• количество АБС (автоматизированная банковская система);

• количество работников организации БС РФ;

• территориальное расположение подразделений организации БС РФ.

Численность работников СИБ рекомендуется определять для каждого филиала организации БС РФ.

ВЫВОДЫ И РЕКОМЕНДАЦИИ

Итак, в данном материале мы поговорили об организации ресурсного (кадрового и финансового) обеспечения ИБ. По нашему опыту, основными этапами в данном процессе являются следующие:

— определить требования к компетенциям специалистов на основе профессиональных стандартов;

— рассчитать необходимую численность сотрудников ИБ;

— рассмотреть сценарии формирования бюджета СИБ, в т.ч. отдельного бюджета на ИБ;

— применить механизмы совершенствования: пересмотр бюджета, обучение персонала, автоматизация процессов.

Процесс обеспечения ресурсами — это непрерывный цикл от определения потребности и выделения ресурсов до контроля их использования и оценки эффективности. Следовательно, важно учитывать специфику организации и обеспечивать необходимый уровень защиты информации.