И что? Нет ни одного официального документа, который требует не подчинять ИБ ИТ-руководству. Как первое лицо решит, так и будет. При любых линиях подчинения есть свои + и -. И мнение УФСТЭК остаётся лишь мнением.

Вы это говорите от лица коммерции или от лица госов?

В коммерции точно нет. В госах не видел документов, на практике встречал разные конфигурации подчинения.

В нормативке ЦБ запрещено, чтоб куратор ИТ и ИБ совпадал, или что-то в этом роде.
Вообще, когда ИБ под ИТ, это наверное худшее, что может быть.

382п точно там

ИБ под ИТ провал в бумаге, ИБ под СБ или ЭБ провал в технике :)

Допускается ли возможность включения службы информационной безопасности в состав службы информатизации (автоматизации) при условии назначения двух соответствующих кураторов, или оператором по переводу денежных средств обязательно должно быть сформировано две самостоятельные службы?
Обновлено: 02.10.2020
Положение № 382-П не содержит запрета на включение службы информационной безопасности в состав службы информатизации (автоматизации) при исключении возможности курирования службы информационной безопасности куратором службы информатизации (автоматизации). https://cbr.ru/psystem/acts/382-p/

Реализация и контроль требований должны быть разведены, или будет просто лажа

Витиеватость в трактовке ЦБ их же требований, частенько не добавляет ясности. Но, с появлением 382-П и СТО БР, ни разу не встречал в кредитных организациях, чтоб ИБ было под ИТ.

Контроль к внутреннему аудиту :) ИТ вполне способно контролировать само себя. Особенно в больших структурах. Можно использовать внешний контроль. Да и вопрос контроля контролеров остаётся всегда.

Ну, с контролем операционных подразделений в банках, особых вопросов ни у кого не возникает. И с ИТ может быть реализовано аналогично.
Когда приходит внешний аудит и проверяет ИТ, единственно, кто может им выступить оппонентом, это ИБ.

Банки с ЦБ это отдельная планета :)

Просто в банках, если посмотреть в мире, контроль за операционкой и за ИТ давно формализован и понятно как может и должен быть организован.

Вопрос зрелости. И цена вопроса на поверхности. В остальных отраслях все не так очевидно, особенно в России.
И регуляторы не особо помогают.

Ребят накидайте чатов по кардингу и логов .. в замен конфетки дам😊

А тут админов нормальных нет чтоль?

Неа

Ась?

Админы сбежали. КИИ плохо влияет на восприятие действительности :)

Не сбежали, а ушли в другие места, без КИИ )