Сегодня во многих, особенно крупных организациях, существует служба информационной безопасности (защиты информации). И это, безусловно, абсолютно правильное решение. Однако проблемой, на мой взгляд, является то, что очень часто задачи службы ИБ подменяются гораздо более частной задачей – проведением расследований происшествий. Особенно это характерно для тех организаций, где:

1. Руководитель соответствующей службы ИБ выходец из правоохранительных органов
2. Руководитель службы ИТ, которому подчинен отдел ИБ (да-да, такое тоже бывает) имеет более слабые позиции в организации и вместо непосредственного руководства подразделением ИБ фактически идет на поводу у начальника службы безопасности и начальник подразделения ИБ фактически выполняет задачи СБ.

Почему это неверно в принципе?

Да потому что задачи у подразделения ИБ гораздо шире чем просто проведение расследований. Если попытаться сформулировать в двух словах, то задача ИБ – сделать так, чтобы злоумышленнику (внешнему или внутреннему) максимально затруднить весь процесс добывания нужных данных, т.е. снизить вероятность воровства.

Задача же проведения расследования – найти виновного и доказать его вину.

Т.е. в первом случае — это профилактика правонарушения и построение «забора», а во втором – поиск виноватого в том, что «забор» уже проломлен и деньги уже ушли. Т.е. вторая ситуация возникает тогда, когда отдел ИБ фактически уже не справился со своими функциями и преступление уже произошло!

Таким образом, надеюсь, вы понимаете, что первый подход срабатывает ДО совершения правонарушения, а второй ПОСЛЕ такового.

Вместе с тем не стоит забывать, что проводя расследование мы фактически нарушаем закон Украины об оперативно-розыскной деятельности и любые доказательства, найденные нами будут считаться добытыми противоправным путем, а, следовательно, не могут быть доказательствами в суде.

Итак, проводить расследование мы с вами можем только в том случае, если сотрудники правоохранительных органов сочтут необходимым привлекать нас для проведения экспертизы.

И никак иначе!

Заключение

Как видите, создание группы проведения расследований это всего лишь часть (правда существенная часть) работы подразделения информационной безопасности и нельзя подменять всю работу ИБ исключительно расследованием происшествий!