Читайте также:
|
Наивысший уровень руководства в любой государственной организации и компании несет ответственность за надежную, целенаправленную работу отделов, и поэтому также за гарантию внутренней и внешней безопасности ИТ. В зависимости от типа организации и отдела они могут регулироваться различными законами. Таким образом, руководство несет ответственность за запуск, контроль и наблюдение за процессом безопасности ИТ. Ответственность за безопасность ИТ остается на этом уровне, но роль "ИТ безопасности" обычно назначается сотруднику Службы безопасности ИТ. При этом руководство должно интенсивно вовлекаться в "процесс управления безопасностью ИТ". Только таким образом управление безопасностью ИТ может гарантировать отсутствие необоснованных рисков и должным образом инвестированные ресурсы. Наивысший уровень руководства – инстанция, которая принимает решения по управлению рисками и должна обеспечивать соответствующие ресурсы.
Факт, что руководство несет ответственность за предотвращение и управление рисками ИТ-безопасности, часто не осознается вовремя. Это означает, что ответственность за проблемы ИТ-безопасности часто не определена. После того, как случится инцидент в системе безопасности ИТ, оперативная информация о потенциальных ИТ-рисках может быть отмечена руководством или директором госучреждения как ответственность тех, кто отвечает за ИТ. По этой причине рекомендуется ответственным за ИТ сообщать руководству о потенциальных рисках и последствиях ошибки безопасности ИТ. Однако, руководство всегда отвечает за то, что оно получает информацию в подходящее время и в ответствующем объёме. Проблемы, относящиеся к безопасности, включают:
• Риски безопасности для организации и ее информации, включая описание связанных результатов и затрат;
• Результаты происшествий в системе безопасности ИТ в важных бизнес-процессах должны быть описаны;
• Требования безопасности, обусловленные законом или договорными условиями, должны быть описаны;
• Обычные, стандартные подходы к безопасности ИТ в отрасли должны быть представлены;
• Преимущества сертификации, включая показ достигнутого уровня информационной безопасности, должны быть пояснены клиентам, бизнес-партнерам и контролирующим организациям.
Так как третьим сторонам, которые не вовлечены, часто придают больше значения, чем своему персоналу, целесообразно использовать внешних консультантов для повышения понимания ИТ-безопасности руководства или директоров госучреждений.
Хотя руководство несет ответственность за достижение целей системы безопасности, все сотрудники организации должны быть вовлечены в процесс обеспечения безопасности. Идеально было бы придерживаться следующих принципов:
• Инициатива организации безопасности ИТ должна исходить от администрации или руководства;
• Руководство сохраняет полную ответственность за безопасности ИТ;
• Функция "безопасности ИТ" должна активно поддерживаться администрацией или руководством;
• Администрация или руководство назначают сотрудников, ответственных за безопасность ИТ и обеспечивают их необходимыми навыками и ресурсами;
• Руководство подает пример в том, что касается ИТ-безопасности. Это включает строгое соблюдение руководством оговоренных правил безопасности.
Прежде всего, руководство должно гарантировать, что безопасность ИТ интегрирована во все важные бизнес-процессы, процедуры и проекты специалистов. Опыт показал, что сотрудники Службы безопасности ИТ нуждаются в полной поддержке руководства, чтобы их распределили в основной деятельности ответственный человек.
Руководство должно установить цели управления безопасностью ИТ и других проблем так, чтобы желаемый уровень безопасности ИТ был достижим во всех областях с помощью предоставленных ресурсов (персонал, время, деньги).
Дата добавления: 2015-11-14; просмотров: 67 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Управление безопасность ИТ с помощью IT-Grundschutz | | | Определение условий окружения |