Этот вопрос нас несколько удивил.
Если рассматривать предприятие через призму ИБ-АСУТП-IT, то с нашей точки зрения все три должны быть разными подразделениями, находящимися на одном уровне иерархии. Именно так обеспечится равенство интересов этих трех направлений или их обоснованная приоритизация с учетом стратегии развития. Конечно, кто-то в этом трио все равно возьмет верх.
Теперь непосредственно об ответственном за ИБ промышленных систем. Он должен принадлежать к подразделению ИБ. В случае, если данный специалист будет под подразделением АСУТП и подчиняться ему, то, весьма вероятно, он станет забитым ИБшником, которого никто не слушает. Ведь ИБ мешает работе, ограничивает возможности, и, если можно сказать ИБшнику нет, то это будет первым, что ему скажут. Аналогична будет ситуация и в том случае, если ИБшник будет принадлежать к IT-департаменту. Только в данном случае он будет еще больше отдален от АСУТП.
Однако сразу поднимается вопрос о компетентности специалиста по ИБ в сфере автоматизации. Это действительно было бы неплохо, но найти два в одном весьма сложно.
Хочется вспомнить NIST SP 800-82:
«To properly address security in an ICS, it is essential for a cross-functional cybersecurity team to share their varied domain knowledge and experience to evaluate and mitigate risk to the ICS. The cybersecurity team should consist of a member of the organization’s IT staff, control engineer, control system operator, network and system security expert, a member of the management staff, and a member of the physical security department at a minimum.»
Это переводится примерно так:
«Чтобы должным образом обеспечить безопасность в ICS, для межфункциональной команды кибербезопасности важно делиться их различными знаниями проблемных областей и опытом, чтобы оценить и снизить риск для ICS. Команда кибербезопасности, как минимум, должна состоять из сотрудника штата IT, управляющего инженера, оператора системы управления, эксперта по безопасности системы и сети, сотрудника из руководящего штата и сотрудника из отдела физической безопасности.»
И да, создание такой межфункциональной команды является действительно сильным решением для обеспечения безопасности АСУТП. Это позволит сгладить все острые углы, возникающие из-за непонимания и некомпетентности в не своих областях сотрудников различных подразделений.
Подведем итоги.
Разделение на три подразделения – это идеальный случай, который не всегда выполним в силу различных причин (незрелости, нежелание выделять отдельное подразделение, состоящее из одного-двух человек, и т.д.).
Как бы ни было, с нашей точки зрения необходимо обеспечить именно «равенство интересов этих трех направлений или их обоснованную приоритизацию …», и организация штатной структуры является лишь одним из инструментов.
Также с нашей точки зрения необходимо обеспечить полное взаимодействие подразделений, и создание межфункциональной команды кибербезопасности хорошее решение.
