Сколько ИБшников надо в штат службы ИБ: формула расчета

Сколько ИБшников надо в штат службы ИБ: формула расчета

Если не рассматривать крупные организации, службы ИБ которых насчитывают сотни человек, то в массе своей нам обычно не хватает людей на все наши хотелки и мы всегда чувствует дефицит персонала. И чем мельче компания, тем сильнее этот дефицит, который надо как-то закрывать. И когда ты приходишь к генеральному директору за одобрением новых ставок в штат ИБ, ты часто слышишь: "Вас и так много (а "вас" в реальности всего один или двое)" или "И так непонятно, что вы там в ИБ делаете, дармоеды". И ты выходишь весь оплеванный и не знаешь, как обосновать выделение ресурсов. Могу поделиться достаточно простой моделью, которая, если и не обеспечит 100% выделение нужных ресурсов, но позволит с цифрами в руках обосновать, что вам нужно именно такое количество людей; не больше и не меньше.

Идея заключается в том, что мы должны выписать все функции, которые нам нужны для обеспечения ИБ в табличку и против каждой функции проставить число часов, которые эта функция требует. Подсчитать число часов не так уж и сложно - достаточно просто замерить, сколько времени тратится на работу с тем или иным техническим решением или на организацию какой-либо задачи/процесса. В качестве примера могу привести такую табличку для небольшой компании с достаточно простой инфраструктурой.


Очевидно, что чем крупнее организация, тем больше функций ИБ в ней реализуется и тем больше времени на них нужно. Но в данном примере нам нужно 140 часов в неделю, что при 40 рабочих часах по Трудовому Кодексу составит 3,5 FTE (Full-Time Equivalent). Иными словами, вам нужно (если отбросить в сторону круглосуточный режим работы некоторых функций) 3,5 сотрудника, чтобы обеспечивать минимальный набор функций ИБ на среднестатистическом предприятии. Если у вас в штате всего 2 человека, то вам не хватает "полутора землекопов", а на самом деле двух, так как у нас еще не научились делать половинки людей.

Такой расчет является точкой отсчета для общения с руководством, которое начинает понимать, что вы не из пальца высосали нужное вам количество людей, а имеете подтвержденные цифрами доказательства. Когда вы просто приходите с протянутой рукой, вы находитесь в позиции человека просящего. Когда у вас есть обоснованные расчеты, у вас появляется предмет обсуждения с руководством, которое будет стоять перед вполне осознаваемым ими выбором:

  • Выделить вам деньги на эти две вакансии.
  • Отказать в выделении вакансий, но предложить подумать об аутсорсинге указанных функций во внешней сервисной компании. Лично знаю ооооочень крупную компанию из списка Fortune500, которая имеет бюджеты на закупки различных игрушек по ИБ, но выбить там увеличение фонда оплаты труда (ФОТ) практически невозможно.
  • Подумать о сокращении времени на выполнение описанных функций за счет их автоматизации, то есть приобретении соответствующего инструментария.
  • Попросить вас сократить число функций или объем усилий по ним.

Возможно, вам стоит заранее подготовить этот список альтернатив с описанием каждой из них, чтобы руководство принимало решение, опираясь на конкретику, а не на эмоции. Теперь, когда вам надо будет добавить новых функций, например, после появления новой нормативки, вам будет проще добавлять к имеющемуся расчету новые FTE. Допустим, вы банк и вам "навесили" обеспечение непрерывной надежности и уведомление ФинЦЕРТ об инцидентах ИБ, а ИТ сбагрила вам проект по идентификации и аутентификации. В итоге у вас получится уже 260 часов или 6,5 FTE (7 человек).

Бывает конечно и так, что в организации один человек - "и швец, и жнец, и на дуде игрец", то есть этакий многостаночник, который способен работать за двоих, а то и троих человек, подменяя собой 2-3 FTE. Это редкость, но бывает. Также бывает и обратная история, сотрудник вроде и есть, штатную единицу занимает, но при этом работает вполсилы, а то и вовсе на четверть от требуемого. Обычно каждый руководитель ИБ обладает о своих сотрудниках такими сведениями и может планировать работу службы исходя из реалий, а не теории, но это не лучший вариант. Вот уйдет такой многостаночник и придется где-то искать ресурсы закрывать то, что он раньше делал в одиночку. Но это уже лирика.

Если вы хотите увидеть какие-то иные оценки временных затрат на обеспечение отдельных функций ИБ, то я могу порекомендовать интереснейший документ от Банка России, а именно РС 2.7 2015-го года по ресурсному обеспечению ИБ в финансовой организации. Он, правда, ориентирован еще на СТО БР ИББС, но ежегодные усилия для каждого процесса ИБ там расписаны достаточно детально. Согласно Банку России минимальный состав службы ИБ банка составляет 12 человек (при росте числа филиалов и отделений и число растет пропорционально). Там приводится более сложная формула расчета ресурсов, но суть у нее та же.

Если вы дочитали эту заметку до конца и решили, что я выложил на блюдечке рецепт выбивания ставок из начальства, то не обольщайтесь. Все зависит не от используемых формул и затрачиваемых вами усилий, а от того, умеете ли вы общаться с руководством "на равных" и доверяет ли оно вам.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь