Читайте также:
|
|
ИТ безопасностью часто пренебрегают, поэтому сотрудник может взяться за текущие дела. Если ответственность не ясна, существует риск, что безопасность ИТ становится "проблемой других людей". Результат – ответственность за безопасность ИТ ходит по кругу, пока кто-то не возьмет ее на себя. Чтобы избежать этого должно быть назначено главное контактное лицо в проблемах безопасности ИТ – сотрудник отдела безопасности ИТ. Это лицо координирует и управляет безопасностью ИТ в организации. Есть ли другие люди, у которых тоже есть роли в системе безопасности, и как организована безопасность ИТ зависит от типа и размера организации.
Чтобы удачно спланировать, внедрить и поддерживаться процесс защиты ИТ, ответственность должна быть четко определена. Должны быть определены роли, описывающие множество задач, которые необходимо выполнить для достижения целей безопасности ИТ. А также, квалифицированные люди, которые владеют соответствующими ресурсами, должны быть назначены на эти роли.
Сотрудник отдела безопасности ИТ несет ответственность за управление всеми проблемами безопасности ИТ в организации. Главная роль сотрудника отдела безопасности ИТ – советовать администрации и руководству в выполнении их ролей в безопасности ИТ и поддерживать их в выполнении этих ролей. Это влечет за собой следующие моменты:
• Управление процессом безопасности ИТ и работа над всеми относящимися к нему задачами;
• Поддержка руководства в создании политики безопасности ИТ;
• Координация создания концепции безопасности ИТ, концепции аварийного питания, других субконцепций и политик безопасности системы, а также выпуская другие руководства и правила безопасности ИТ;
• Инициация и контроль внедрения деятельности по безопасности ИТ;
• Информирование руководства и команды управления безопасностью ИТ о текущем состоянии безопасности ИТ;
• Координирование проектов, относящихся к безопасности;
• Расследование инцидентов в системе безопасности ИТ;
• Инициация и координация информированности, повышающей и обучающей деятельности.
Кроме того, сотрудник отдела безопасности ИТ вовлекается во все новые проекты, имеющие отношение к ИТ и к внедрению ИТ-приложений и систем, чтобы гарантировать следование ограничениям безопасности ИТ на разных фазах проекта.
Профайл требований
Чтобы выполнять эти задачи, желательно, чтобы сотрудник отдела безопасности ИТ имел знания и опыт в вопросах, имеющих отношение к ИТ и безопасности ИТ. Так как эта задача требует навыков, лицо, назначенное на эту позицию, должно обладать следующей квалификацией и качествами:
• Установлении целей безопасности ИТ, пересмотр задач и целей организации и понимания необходимости защиты ИТ;
• Способность координировать и работать в команде, а также способность быть напористым (некоторые задачи требуют таких навыков и способностей при работе с людьми: руководство всегда должно вовлекаться в основные проблемы процесса защиты ИТ, необходимо отыскивать решения, а пользователи ИТ должны вовлекаться в процесс защиты ИТ, возможно с помощью сотрудника безопасности ИТ подразделения или отдела);
• Опыт управления проектами, в идеале в системном анализе и понимании методов оценки риска.
У сотрудника отдела безопасности ИТ должно быть желание изучать новые области и следовать разработкам ИТ. Эта роль требует дополнительного обучения, чтобы сотрудник потом мог выполнять необходимые задачи.
Сотрудничество и связи
Работа с пользователями ИТ требует высокого уровня подготовки, так как этих пользователей необходимо убедить в необходимости защиты ИТ, которую некоторые из них могут воспринимать как излишнюю. Такой же важной задачей является опрос пользователей ИТ о критических инцидентах и слабых местах в безопасности ИТ. Чтобы гарантировать здесь успех, пользователей ИТ следует убедить, что честные ответы не причинят им вреда.
Хорошие способности общения нужны сотруднику отдела безопасности не только при разговоре с пользователями ИТ. Так же важно, чтобы он мог передать мнение пользователей руководству. Поэтому он должен быть уверенным в себе и уметь при необходимости возразить против принятого решения, несовместимого с безопасностью ИТ.
Независимость
Желательно создать должность сотрудника отдела безопасности ИТ как роль персонала. Например, будет проблематично, если действующий администратор возьмет на себя эту роль в дополнение к своим обычным задачам, т.к. существует большая вероятность конфликта интересов. Если роль выполняется одним и тем же лицом, то как сотрудник отдела безопасности ИТ он/она могут возразить против решений, которые облегчили бы ему/ей работу как администратору или которые одобрило начальство.
Сотрудник защиты данных
Частый вопрос: может ли сотрудник отдела безопасности ИТ выполнять роль сотрудника защиты данных. Эти две роли не являются взаимоисключающими, но некоторые вопросы должны проясняться заранее:
• Различие между двумя ролями должно быть четко определено и задокументировано. Кроме того, обе роли должны напрямую отчитываться начальству. А также должно быть рассмотрено, должны ли противоречивые вопросы регистрироваться в отделе аудита;
• Сотрудник отдела безопасности ИТ должен соответствующие возможности выполнять обе доли. При необходимости его должны поддерживать назначенные помощники.
Не следует забывать, что сотрудник отдела безопасности ИТ также нуждается в квалифицированном заместителе.
Дата добавления: 2015-11-14; просмотров: 48 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Установка организации безопасности ИТ | | | Команда управления безопасностью ИТ |