Перечитывая британский стандарт BS 7799-3: 2006 "Системы управления информационной безопасностью" (часть 3, перевод ООО "GlobalTrust Solutions"), задержался на характеристиках людей, которые должны заниматься рисками безопасности:

Систематичные и организованные в своем подходе к мониторингу известных рисков и предложении соответствующих действий.

Бизнес-ориентированные и осведомленные о текущем состоянии бизнеса и его приоритетах.
Настойчивые и с независимым мышлением, но способные воспринимать противоположные точки зрения и идти им на встречу в случае, если это наилучшим образом помогает бизнесу.
Способные убедительно представлять аргументацию (например, обоснование расходов на уменьшение высокого риска).
Способные общаться на всех уровнях в организации.
Обладающие хорошим пониманием риска, а также технологий и мер безопасности.

Перечитывая британский стандарт BS 7799-3: 2006 "Системы управления информационной безопасностью" (часть 3, перевод ООО "GlobalTrust Solutions"), задержался на характеристиках людей, которые должны заниматься рисками безопасности:

Систематичные и организованные в своем подходе к мониторингу известных рисков и предложении соответствующих действий.

Бизнес-ориентированные и осведомленные о текущем состоянии бизнеса и его приоритетах.
Настойчивые и с независимым мышлением, но способные воспринимать противоположные точки зрения и идти им на встречу в случае, если это наилучшим образом помогает бизнесу.
Способные убедительно представлять аргументацию (например, обоснование расходов на уменьшение высокого риска).
Способные общаться на всех уровнях в организации.
Обладающие хорошим пониманием риска, а также технологий и мер безопасности.


Так и должно быть. Хорошие формулировки. Именно бизнес ориентированными и должны быть.
IT само по себе мертво, оно живет пока живет бизнес для которого оно и создано.

Очень странно, что здесь мало комментариев. Да, бесспорно, проблема актуальная. Я помню этот отрывок, и, кстати, в статьях о спецах по ИБ, было больше и шире написано.
А вообще, есть около __ [больше 20 (: ] качеств и противоположных им недостатков, по наличию которых можно решить вопрос о принятии на работу конкретного спеца по ИБ.

Я тут обсуждаю с одним товарисчем вопрос о необходимости разделения подразделений ИТ и ИБ. Ведь в мире так и делается: функции администрирования (компьютерщики) и ОИБ (офицеры ИБ) разделены, эти подразделения независимы.
Кто что думает по этому поводу?

Например, Максим Халматов, директор департамента ИТ Unitel - один из спецов по ИБ.

Например, Максим Халматов, директор департамента ИТ Unitel - один из спецов по ИБ.
Считаю это неправильно.
IT должен работать в рамках существующих процедур и политик. Если устарели, не соответствует реалиям или нужны исключения, то это работа ИБ (оценка рисков) или совместное обсуждение как минимум.

PS работа в рамках готовых политик и процедур существенно упрощает и организует работу IT, и если их нет, то надо вводить.

Например, Максим Халматов, директор департамента ИТ Unitel - один из спецов по ИБ.

У вас неверные данные, он давно уже не "директор департамента ИТ Unitel". К тому же ИБ в Юнителе это отдельное подразделение

Ведь в мире так и делается: функции администрирования (компьютерщики) и ОИБ (офицеры ИБ) разделены, эти подразделения независимы. Кто что думает по этому поводу?

Это верное разделение.
Также как и аудит раздельно с ИТ и финансами.