Какова должна быть численность службы ИБ в соотношении с ИТ?

Продолжая начатую вчера тему про проценты ИБ от ИТ, решил выложить различные цифры о том, какова должна быть численность службы ИБ в соотношении с ИТ. Итак, удалось найти следующие цифры:

  • Согласно исследованию 2003 Deloitte Touche Tohmatsu 1 сотрудник ИБ нужен на 1000 пользователей ИТ (не сотрудников, а обычных работников).
  • Согласно исследованию Computer Security Institute (CSI) и финансовым отчетам города Сакраменто численность ИБ составляет около 3%-5% от общего состава ИТ-службы.
  • По исследованию Computer Security Institute на каждых 4 ИТ-аудиторов приходится 6 сотрудников ИБ.
  • Согласно исследованию 2009 IT Spending and Staffing Benchmarks, проведенного Computer Economics, ИБшников должно быть 1,5%-2% от общего числа ИТ-службы.
  • 5000 устройств (включая мобильные, стационарные, сетевые) требует не менее одного сотрудника ИБ. Это вытекает из отчета 2004 Educause report, High Stakes, Strategies for Optimal IT Security Staffing.
  • Согласно отчетности многих американских администраций штата и города на каждые 100 ИТшников требуется 8,5 сотрудников ИБ (включая 2,5 аудиторов).
Можно видеть, что цифры разняться от 1,5% до 8,5%. Видится мне, что обе эти границы скорее являются частными случаями, и реальное значение численности ИБ от ИТ составляет 3%-6%.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Сергей Борисов

    Тут ещё вопрос, что они считают за ИБ, а что за ИТ?
    Администратор МЭ куда попал?

    Ответить
  2. Алексей Лукацкий

    Зависит от того, МЭ — это чья функция — ИТ или ИБ?

    Ответить
  3. Сергей Городилов

    Если за ИБ оставить установление требований и контроль их выполнения, то число "ИБшников" сократится. А если считать ИБшными добавление юзеров, сброс пароля, разграничение доступа, управление политиками — операции не с требованиями, а реальными объектами — то их число увеличится. Т.е. что считать ИБ? чисто консультационную функцию (менеджмент требований) или еще и ИТ-операции по выполнению этих требований?

    Ответить
  4. Unknown

    Зависимость ИТ/ИБ причудливая… Не верная постановка, но так и есть на практике. Если ИТшников 1 чел., то ИБшников ни одного.. И лишь на фоне толпы ИТшников (более 33 чел при 3%) берут одного ИБешника, под увольнение при критическом инциденте. Так происходило в ограбленых банках за 2015 год. А итегратор, вендор, руководство, бенифициары ни причем и "светлая память постуху". Как при авиакатастрофах-всегда ошибка пилота. Алексей, раскройте, пожалуйста, тему размеров оплаты труда того ИБшника, что попал в 1,5-8,5% от ИТшников. Какая должна она быть, если он один на 33 ИТшника (при 3%).

    Ответить
  5. Unknown

    Этот комментарий был удален автором.

    Ответить