1. Руководитель соответствующей службы ИБ - выходец из правоохранительных органов
2. Руководитель службы ИТ, которому подчинен отдел ИБ (да-да, такое тоже бывает) имеет более слабые позиции в организации и вместо непосредственного руководства подразделением ИБ, фактически идет на поводу у начальника службы безопасности, и начальник подразделения ИБ фактически выполняет задачи СБ.

Почему это неверно в принципе?

Да потому, что задачи у подразделения ИБ гораздо шире, чем просто проведение расследований. Если попытаться сформулировать в двух словах, то задача ИБ – сделать так, чтобы злоумышленнику (внешнему или внутреннему) максимально затруднить весь процесс добывания нужных данных, т.е. снизить вероятность воровства.

Задача же проведения расследования – найти виновного и доказать его вину.

Т.е. в первом случае – это профилактика правонарушения и построение «забора», а во втором – поиск виноватого в том, что «забор» уже проломлен и деньги уже ушли. Т.е. вторая ситуация возникает тогда, когда отдел ИБ фактически уже не справился со своими функциями и преступление уже произошло!

Таким образом, надеюсь, вы понимаете, что первый подход срабатывает ДО совершения правонарушения, а второй ПОСЛЕ такового.

Вместе с тем, не стоит забывать, что проводя расследование, мы фактически нарушаем закон Украины об оперативно-розыскной деятельности, и любые доказательства, найденные нами, будут считаться добытыми противоправным путем, а, следовательно, не могут быть доказательствами в суде.

Итак, проводить расследование мы с вами можем только в том случае, если сотрудники правоохранительных органов сочтут необходимым привлекать нас для проведения экспертизы.

И никак иначе!

Заключение

Как видите, создание группы проведения расследований это всего лишь часть (правда существенная часть) работы подразделения информационной безопасности и нельзя подменять всю работу ИБ исключительно расследованием происшествий!