Состав службы информационной безопасности

admin — Thu, 28 Aug 2008 13:15:11 +0000

Как создать такую службу “с нуля” и кто должен входить в ее состав?
Конечно, ответы на эти вопросы также зависят от самой организации, ее целей, от условий, в которых она существует, и многих других факторов. В качестве модели будет рассматриваться достаточно крупное предприятие, в котором описываемые задачи и функции могут быть распределены между различными сотрудниками службы информационной безопасности. Для более скромных компаний различные роли могут быть совмещены меньшим количеством сотрудников или даже одним.
Итак, состав службы. Нужен собственно руководитель службы —- тот, кто будет определять ее общую стратегию и тактику, отчитываться руководству, принимать оперативные решения и нести за них ответственность. Это должен быть достаточно подготовленный специалист, так как ему необходимо следующее.
1. Разбираться в общих чертах в технических особенностях используемого информационного обеспечения (включая аппаратное и программное обеспечение, принятые де-юре и де-факто методы работы в информационном пространстве организации и т. п.). Иначе он просто не будет понимать, чем занимаются его подчиненные, а те в свою очередь смогут манипулировать своим руководителем.
2. Осуществлять надзорные функции как формализованные, так и нет, в том числе управление проектами, так как внедрение многих механизмов безопасности (например, таких как приобретение и внедрение технических решений) потребует проектной работы.
3. Разбираться в психологии работников, уметь разрешать конфликты (так как служба безопасности часто сама служит основой для репрессивного или ограничительного воздействия). Возможно, придется использовать слабые или сильные стороны различных сотрудников организации.
4. Знать основы существующего законодательства, так как, возможно, придется производить расследования, в которых будут фигурировать такие понятия, как “право частной собственности на информацию”, “улики и доказательства”, “свидетельства” и т. п.
5. Налаживать связи как с коллегами в других организациях, так и с вышестоящими организациями для защиты интересов своей компании в соответствующей сфере.
6. Пользоваться доверием руководства, так как при определенном желании можно создать такую ситуацию, когда на службу безопасности будет замкнуто очень многое, что даст возможность ее руководителю использовать свой пост в личных интересах.
Подчиненные описанного выше “идеального” руководителя будут специалистами, подбор которых также возможно осуществлять по различным критериям. В первую очередь, следует учесть характер функций, которые им предстоит выполнять.
□ Операционный. Сюда входит выполнение ежедневных процедур по мониторингу сети и отдельных сервисов (приложений), инструктаж и регистрация пользователей, контроль выполнения процедур (например, резервного копирования) и т. п. Можно добавить к перечисленному также проведение расследований.
□ Исследовательский. Сюда входит изучение текущей обстановки в информационном пространстве как ближайшем, так и общемировом, анализ новых возможностей и уязвимостей. Возможно, здесь будет производиться выбор, разработка и внедрение новых технологий.
□ Методический. Данный набор функций является связующим между первыми двумя. Завершенный проект по внедрению технологии необходимо поставить на рельсы ежедневного рутинного функционирования, т. е. обеспечить соответствующими процедурами и порядками, нормативной и технической документацией и т. п. Эта же группа может производить анализ рисков.
Теперь, когда руководитель и специалисты подобраны, можно ли начинать работать? Не можно, а нужно, только это еще будет не работа, а подготовка к ней.
Ведь вам предстоит определить:
□ стратегию и тактику вашей защиты;
□ что, от чего и как вы будете защищать;
□ необходимые средства для этого (в том числе и финансовые);
□ обеспечить необходимое нормативно-правовое пространство.

Информационная безопасность » Состав службы информационной безопасности

Состав службы информационной безопасности