К сожалению, очень часто компании пытаются решать все вопросы безопасности на уровне системного администратора. При этом вопросы безопасности, как правило, рассматриваются достаточно узко, риски не анализируются. Средства на безопасность выделяются только после очередного инцидента. Такой подход к безопасности не может быть успешным.
Безопасность компании – это не только установленный межсетевой экран и обновления операционной системы. Компьютерная среда компании наполнена различными ресурсами, процессами, людьми. Необходимо обеспечить целостную защиту этой среды, каждый аспект безопасности требует учета и взвешенного подхода. Хотя большинство компаний не имеет всех перечисленных ниже ролей, все обязанности этих ролей должны выполняться.
Генеральный директор (CEO– Chief Executive Officer) который выполняет повседневные управленческие функции в компании. Часто именно этот человек является председателем Правления. CEO следит за финансами компании, занимается стратегическим планированием, высокоуровневыми операциями, разрабатывает и вносит изменения в бизнес-планы компании. CEO устанавливает бюджеты, формы сотрудничества, принимает решения о том, на какие рынки нужно выходить компании, какую линию продуктов выпускать, как дифференцировать компанию и т.д. Эта роль полностью отвечает за развитие и процветание компании.
Финансовый директор (CFO – Chief Financial Officer) отвечает за счета, финансовую деятельность и всю финансовую структуру компании.
Директор по ИТ (CIO – Chief Information Officer) CIO отвечает за стратегию использования и управление информационными системами и технологиями в рамках компании.
Директор по защите конфиденциальной информации (CPO – Chief Privacy Officer) – это новая должность, созданная в основном из-за повышения требований к компаниям в части защиты большого перечня различных типов данных.
Директор по безопасности (CSO – Chief Security Officer) - обязан понимать риски, с которыми сталкивается компания, и снижать их до приемлемого уровня, он отвечает за то, чтобы бизнес компании не был нарушен из-за проблем с безопасностью.
CSO vs. CISO. CSO и Директор по информационной безопасности (CISO – Chief Information Security Officer) могут иметь схожие или очень разные обязанности. Это зависит от решения самой компании. В большинстве случаев CSO имеет больше обязанностей по сравнению с CISO. CISO, как правило, в большей степени сосредоточен на технологиях и ИТ-инфраструктуре, а CSO обязан работать с более широким кругом бизнес-рисков, включая физическую безопасность, а не только технологические риски. Если компания имеет обе роли, обычно CISO отчитывается перед CSO.
Руководящий комитет по безопасности отвечает за принятие решений по стратегическим и тактическим вопросам безопасности в рамках всей компании. Этот Комитет должен состоять из представителей всех подразделений компании, чтобы они могли учитывать риски и последствия решений по безопасности, как для отдельных департаментов, так и для всей компании в целом.
Возглавлять этот Комитет должен CEO, а участие в нем должны принимать CFO, CIO, руководители подразделений, а также руководитель Службы внутреннего контроля (CIA – Chief Internal Auditor). Комитет должен собираться не реже, чем ежеквартально, и иметь четкую повестку дня. Вот некоторые из обязанностей Комитета:
• Определение приемлемого уровня риска для компании
• Разработка целей и стратегий безопасности
• Определение приоритетных инициатив в области безопасности, основанных на потребностях бизнеса
• Анализ оценки рисков и аудиторских отчетов
• Мониторинг воздействия рисков безопасности на бизнес
• Анализ основных нарушений безопасности и инцидентов
• Утверждение любых существенных изменений в политике и программе безопасности.
Комитет по аудиту должен быть организован Советом Директоров. Целью Комитета по аудиту является помощь Совету Директоров в вопросах анализа и оценки внутренние процессов компании, системы внутреннего контроля, а также прозрачности и достоверности финансовой отчетности, обеспечивающей доверие к компании со стороны инвесторов, клиентов и кредиторов. Комитет по аудиту, как правило, отвечает за следующие элементы:
• Целостность финансовой отчетности и другой финансовой информации компании,
предоставляемой акционерам и другим лицам
• Система внутреннего контроля компании
• Привлечение независимых аудиторов и обеспечение эффективности их работы
• Выполнение функции внутреннего аудита
• Соответствие требованиям законодательства и политикам компании в отношении норм этичного поведения.
Владелец данных (информации) (data owner) – обычно руководитель соответствующего подразделения, который несет персональную ответственность за защиту и использование определенного подмножества информации. Владелец данных проявляет необходимую заботу об информации и несет ответственность за любые халатные действия, искажение или разглашение информации. Владелец данных принимает решения по классификации информации и обязан своевременно пересматривать уровень классификации в случае изменения потребностей бизнеса.
Ответственный за хранение данных (информации) (data custodian) – это лицо, ответственное за поддержку и защиту данных. Эта роль обычно выполняется ИТ-департаментом или департаментом безопасности, в ее обязанности входит выполнение регулярного резервного копирования, периодической проверки целостности, восстановления данных, сохранения лог-файлов, выполнение требований политики безопасности компании, стандартов, руководств, относящихся к информационной безопасности и защите данных.
Владелец системы (system owner) отвечает за одну или несколько систем, в каждой из которых хранятся и обрабатываются данные, принадлежащие различным владельцам данных. Владелец системы отвечает за соответствие закупаемых и разрабатываемых систем требованиям безопасности, а также за соблюдение требований безопасности в самих процессах закупки или разработки систем. Владелец системы отвечает за надлежащий уровень ее безопасности, обеспечиваемый защитными мерами, паролями, настройками и т.д. Эта роль необходима при оценке уязвимостей; лицо, выполняющее эту роль, отчитывается перед группой реагирования на инциденты и владельцем данных.
Роль администратора безопасности не может выполнять просто человек, имеющий административные права. У администратора безопасности (security administrator) много задач. Например, создание новых системных учетных записей, внедрение новых программных средств безопасности, тестирование обновлений и компонентов безопасности, выпуск новых паролей и т.д. Администратор безопасности не должен просто подтверждать новые учетные записи – это задача супервизора. Администратор безопасности должен обеспечить распределение прав доступа в соответствии с требованиями политик безопасности и распоряжений владельца данных.
Роль аналитика по безопасности (security analyst) работает на высоком стратегическом уровне. Данная роль оказывает помощь при разработке политик, стандартов, руководств и наборов базисов. Предыдущие роли фокусируются на своих частях программы безопасности, а аналитик по безопасности помогает определить элементы программы безопасности в целом, обеспечить их внедрение и правильное функционирование. Человек, выполняющий эту роль, больше работает на уровне планирования, чем на уровне реализации.
Владельцами приложений (application owner) обычно являются руководители подразделений, определяющие права доступа к их приложениям (в соответствии с политиками безопасности) и принимающие соответствующие решения в конкретных случаях. В каждом подразделении должен быть владелец приложений подразделения, который отвечает за безопасность этих приложений, включая тестирование, установку обновлений, управление изменениями, обеспечение внедрения соответствующих защитных мер, обеспечение необходимого уровня безопасности.
Роль супервизора (supervisor) несет персональную ответственность за все действия пользователей и любые активы, которые создали пользователи и которыми они владеют. Супервизор обязан обеспечивать понимание пользователями (входящими в его зону ответственности) их обязанностей в части безопасности, выдавать им первоначальные пароли, актуализировать информацию учетных записей пользователей, уведомлять администратора безопасности об увольнении сотрудников, их временном отсутствии, переводе в другие подразделения. Любые изменения в ролях сотрудников компании обычно влияют на то, какие права им нужны для работы. О таких изменениях супервизор должен незамедлительно информировать администратора безопасности.
Аналитик управления изменениями (change control analyst) анализирует запросы на проведение изменений в сети, программном обеспечении или системах, после чего одобряет, либо отвергает запрашиваемые изменения. Эта роль обеспечивает отсутствие новых уязвимостей при внедрении изменений, обеспечивает проведение необходимого тестирования, а также возможность корректного «отката» к старой версии. Аналитик управления изменениями должен понимать, как различные изменения влияют на безопасность, совместимость, производительность и продуктивность.
Аналитик данных (data analyst) отвечает за организацию наилучшего (для компании и пользователей) хранения данных. Например, чтобы информация о платежах не перемешивалась с данными инвентаризации, базы данных имели удобную схему имен и т.д. Аналитик данных отвечает за проектирование архитектуры новых систем, либо
предоставляет рекомендации для покупки систем.
Аналитик данных постоянно взаимодействует с владельцами данных, чтобы обеспечить соответствие структуры данных бизнес-целям компании.
Владелец процесса (process owner) отвечает за правильное определение, повышение качества и мониторинг процессов компании. Владелец процесса не обязательно должен быть «привязан» к отдельному подразделению или приложению. Большинство процессов являются достаточно сложными, в их реализацию вовлечены различные подразделения и сотрудники компании, различные виды данных, технологии и т. д.
Роль поставщика решения (solution provider) требуется, когда у компании возникает проблема или требуется улучшение какого-либо процесса. Например, если компания решила внедрить инфраструктуру открытых ключей и организовать аутентификацию с их использованием, она обращается к поставщику решений PKI. Поставщик решения работает с руководителями подразделений, владельцами данных и высшим руководством компании для разработки и внедрения своего решения.
Пользователь (user) – любой человек, который санкционировано использует данные, имея к ним уровень доступа, достаточный для выполнения своих должностных обязанностей. Пользователь несет ответственность за соблюдение процедур безопасности, обеспечивающих конфиденциальность, целостность данных и их доступность для других.
Менеджер по технологиям (product line manager) объясняет бизнес-требования поставщикам, оценивает – подходит ли продукт компании, отвечает за соблюдение лицензионных требований, переводит бизнес-требования в задачи и спецификации для разработчиков продуктов и решений. Он решает, например, действительно ли компании необходимо перейти на новую версию операционной системы.
Задачей аудитора является предоставление гарантированной независимости, на которую может положиться руководство и акционеры компании в вопросах оценки адекватности задач безопасности с учетом текущего состояния компании в целом. Аудитор должен проконтролировать внедрение защитных мер, достижение определенных технических и физических характеристик, реализацию целей безопасности, поставленных требованиями действующего законодательства или требованиями руководства самой компании. Аудиты компании могут быть как внутренними, так и внешними. Их сочетание, как правило, предоставляет наиболее полную и объективную оценку деятельности компании.
Дата добавления: 2015-09-29; просмотров: 29 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |
| | |