Тем, кто собирается контролировать работу службы информационной безопасности, следует в первую очередь ознакомиться с организационной структурой предприятия и местом в ней службы безопасности. Далее следует опираться на имеющийся опыт проверки работы других предприятий и подразделений либо на логическое мышление. В конце концов, все организационные схемы, в том числе и оптимальные, придумывают люди, и человек с аналитическим складом ума может разобраться в их принципах. (далее...)

Дополнительный интересный вопрос, который может быть поднят в связи с деятельностью службы информационной безопасности, — это ее эффективность.
Рано или поздно этот вопрос в большей или меньшей степени должен заинтересовать каждого руководителя, которому подотчетен менеджер службы информационной безопасности.
Если, например, возможно представить доказательства, что службой безопасности было предотвращено десять атак с потенциальной угрозой ущерба по 20 тысяч долларов каждая, то все просто. (далее...)

Казалось бы, чего проще — сфера действия информационной безопасности, в том числе и правила политики безопасности, едины для всех. И это справедливо. Вот только для всех ли эти правила должны быть одинаковы? Например, нормальным требованием безопасности является запрет для пользователей загружать из Интернета исполняемые модули. А для специалистов по информационным технологиям? Откуда им брать обновления и заплаты для информационных систем? Очевидно, что правила должны быть дифференцированными для таких случаев. (далее...)

Для полного контроля ситуации в информационном пространстве служба информационной безопасности должна иметь необходимые знания обо всех информационных системах, объектах и субъектах. Однако как быть в следующих ситуациях.
□ Данная конкретная информационная система для своего функционирования уже предусматривает разделение административных функций между двумя персонами, контролирующими друг друга. (далее...)

□ Если руководитель службы информационной безопасности непосредственно подчинен директору предприятия и вносит проекты решений напрямую, то это дает возможность злоупотребления своим положением (так как топ-менеджер скорее всего не очень компетентен в информационных технологиях, но на слово "безопасность" реагирует немедленным визированием всех документов). (далее...)

□ Специалисты информационной безопасности имеют полный контроль над информационной системой, равный правам администратора системы.
□ Специалисты по безопасности принимают частичное участие в администрировании системы, например в настройке прав пользователей.
□ Специалисты по безопасности имеют доступ в информационной системе ко всем объектам, но имеют право только читать сведения о них.
□ Специалисты информационной безопасности не имеют доступа в систему, используют для контроля работы администраторов регистрационные журналы, конфигурационные отчеты и т. п. (далее...)

□ Администрировать имеющиеся средства безопасности (межсетевые экраны, антивирусные пакеты, системы обнаружения атак и пр.)?
□ Разрабатывать модели и схемы защиты информации, принимать решения о приобретении новых средств безопасности?
□ Контролировать работу пользователей информационного пространства предприятия? Каких групп — только конечных пользователей или также и администраторов систем? (далее...)

Несмотря на, казалось бы, прямую очевидность задач службы информационной безопасности ("служба безопасности должна обеспечивать безопасность — что же еще?"), возникает множество вопросов, не бросающихся в глаза на первый взгляд. Разобьем эти вопросы или проблемы на следующие группы:
□ размещение службы информационной безопасности;
□ взаимодействие ее с другими службами;
□ иерархия подчинения. (далее...)