Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Развитие службы информационной безопасности

Глава 1 Анализ рисков в области защиты информации | Модель Symantec LifeCycle Security | Модель Carnegie Mellon University | Различные взгляды на защиту информации | Особенности отечественных нормативных документов | Учет остаточных рисков | Глава 2 Управление рисками и международные стандарты | Обзор стандарта BS 7799 | Развитие стандарта BS 7799 (ISO 17799) | Германский стандарт BSI |


Читайте также:
  1. I "^УПРАВЛЕНИЕ РАЗВИТИЕМ
  2. I. Общественно-политическое развитие России
  3. I. ПОЛИТИЧЕСКОЕ РАЗВИТИЕ СССР от БРЕЖНЕВА до ГОРБАЧЕВА. ВЛАСТЬ и ОППОЗИЦИЯ.
  4. I.2. Развитие призрения и образования слепых и глухих в России до революции.
  5. II. Социально-экономическое развитие России
  6. III. Организация гарнизонной службы в период особого противопожарного режима
  7. IV. Организация и несение караульной службы в подразделениях

Вместе с развитием любой отечественной компании (и ростом стоимости ее информационных активов) в той же мере развивается и служба информационной безопасности. При этом определение стратегии и тактики работы службы информационной безопасности становится одной из основных функций ТОР-менеджмента компании. Действительно, сегодня успех реализации политики информационной безопасности компании зависит не только от организационных и технических решений в области защиты информации, но и от квалификации и компетентности соответствующих кадров. Вспомним известный тезис: «Кадры решают все!».

Покажем роль и место службы информационной безопасности в организационной структуре компании, а также попробуем сформулировать современные квалификационные требования к сотрудникам этой службы.

Возможная организационная структура ТОР-менеджмента компании, ответственного за организацию режима информационной безопасности, представлена на рис. 1.1.

Согласно исследованию KPMG за 2002 год (см. приложение 1) в наиболее благополучных с точки зрения ИБ западных компаниях функцией обеспечения информационной безопасности занимается отдельное подразделение, наделенное полномочиями и имеющее поддержку высшего руководства компании. При этом почти в половине «успешных» компаний ответственность за ИБ закреплена за советом директоров, что наиболее характерно для финансового сектора. Действительно, непосредственное участие ТОР-менеджмента организации требуется для корректного определения и постановки «правильных» целей и задач в области ИБ, позволяющих без ущерба для бизнеса компании обеспечивать информационную безопасность. Кроме того, как правило, только руководство компании способно поддержать обеспечение безопасности надлежащим уровнем инвестирования и другими необходимыми ресурсами.

В российских компаниях в настоящее время наблюдаются следующие основные тенденции развития службы ИБ:

– ранее (а зачастую и сейчас) в большинстве российских компаний проблемой информационной безопасности организации занимались отделы и службы автоматизации. Сегодня ведущие отечественные компании идут путем выделения подразделения информационной безопасности в отдельную службу с соответствующими организационными, кадровыми и финансовыми изменениями. При этом создаются две ключевые позиции специалистов, ответственных за информационную безопасность: CISO (Chief Information Security Officer) –

 

Рис. 1.1. Организационная структура ТОР-менеджмента компании, ответственного за обеспечение безопасности

– директор службы информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной целям и задачам бизнеса компании; BISO (Business Information Security Officer) - менеджер службы информационной безопасности, занимающийся практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации;

– в некоторых компаниях наблюдается слияние служб информационной и физической безопасности в единое подразделение, в задачу которого входит обеспечение безопасности в целом, включая защиту перспективных планов развития компании и ее активов, а также решение вопросов контроля и управления доступом и пр.;

– статус CISO становится адекватным (равным) статусу ведущих ТОР-менеджеров компании, отвечающих за стратегическое развитие компании.

Посмотрим теперь, каким квалификационным требованиям должен соответствовать руководитель современной службы информационной безопасности (CISO).

Главная задача CISO - оценка технологических, производственных и информационных рисков компании и управление ими. Это предполагает, что данный специалист должен быть способен идентифицировать риски и управлять ими в соответствии с целями и задачами компании и текущим уровнем ее развития. Дополнительно свою специфику вносит сфера деятельности компании, а также ее размер и стоимость информационных активов.

Основными функциями CISO могут быть следующие:

– разработка концепции и политики информационной безопасности компании, включая регламенты, корпоративные стандарты, руководства и должностные инструкции;

– выработка принципов классификации информационных активов компании и оценивания их защищенности;

– оценка информационных рисков и управление ими;

– обучение сотрудников компании методам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками компании;

– консультирование менеджеров компании по вопросам управления информационными рисками;

– согласование частных политик и регламентов безопасности среди подразделений компании;

– работа в составе рабочих групп или экспертных советов для оценивания рисков исполнения и развития бизнеса компании;

– контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;

– совместная деятельность со службой физической безопасности в части, касающейся их обоих, например обеспечение конфиденциальности научно-исследовательской работы (НИОКР) или поддержание контрольно-пропускного режима;

– взаимодействие со службой персонала компании по проверке личных данных сотрудников при найме на работу;

– организация мероприятии по устранению нештатных ситуаций или чрезвычайных происшествий в области защиты информации в случае их возникновения;

– информационное обеспечение руководства компании регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности компании, выдержками о результатах проверки выполнения политики безопасности;

– предоставление менеджерам компании информационной поддержки по вопросам ИБ, в частности сведений об изменениях в законодательстве и нормативной базе в сфере защиты информации, о технических новинках и пр.

Представляется разумным, чтобы руководитель службы информационной безопасности (CISO) входил в верхний эшелон управления компанией и умел увязывать потребности бизнеса и требования безопасности с учетом степени развития информационных технологий, возросшей активности разного рода злоумышленников, изменяющихся положений законодательства, а также ожиданий партнеров по бизнесу. При этом отметим, что потребности бизнеса могут вступать в противоречие с требованиями обеспечения информационной безопасности. В этом случае CISO должен быть в состоянии «переводить» технические вопросы и проблемы на язык, понятный представителям отечественного бизнеса. В свою очередь это означает, что в дополнение к солидному основному и дополнительному образованию (сертификация CISSP (ISC2), SANS, MCSE, CISA, АВСР и пр.), а также опыту работы в области защиты информации (не менее 3-5 лет) CISO, несомненно, должен обладать некоторыми личностными качествами. Например, аналитическим складом ума, способностями в области стратегического и операционного менеджмента, лояльностью к организации и пр. Понятно, что для этого недостаточно иметь лишь специальное техническое образование, так же как только экономическое или управленческое. Поэтому позицию CISO, скорее всего, будут занимать аудиторы или аналитики с достаточным опытом работы в сфере защиты информации.


Дата добавления: 2015-09-02; просмотров: 132 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Информационная безопасность бизнеса| Международная практика защиты информации

mybiblioteka.su - 2015-2024 год. (0.009 сек.)