□ Если руководитель службы информационной безопасности непосредственно подчинен директору предприятия и вносит проекты решений напрямую, то это дает возможность злоупотребления своим положением (так как топ-менеджер скорее всего не очень компетентен в информационных технологиях, но на слово “безопасность” реагирует немедленным визированием всех документов). (далее…)

□ Специалисты информационной безопасности имеют полный контроль над информационной системой, равный правам администратора системы.
□ Специалисты по безопасности принимают частичное участие в администрировании системы, например в настройке прав пользователей.
□ Специалисты по безопасности имеют доступ в информационной системе ко всем объектам, но имеют право только читать сведения о них.
□ Специалисты информационной безопасности не имеют доступа в систему, используют для контроля работы администраторов регистрационные журналы, конфигурационные отчеты и т. п. (далее…)

□ Администрировать имеющиеся средства безопасности (межсетевые экраны, антивирусные пакеты, системы обнаружения атак и пр.)?
□ Разрабатывать модели и схемы защиты информации, принимать решения о приобретении новых средств безопасности?
□ Контролировать работу пользователей информационного пространства предприятия? Каких групп — только конечных пользователей или также и администраторов систем? (далее…)

Несмотря на, казалось бы, прямую очевидность задач службы информационной безопасности (“служба безопасности должна обеспечивать безопасность — что же еще?”), возникает множество вопросов, не бросающихся в глаза на первый взгляд. Разобьем эти вопросы или проблемы на следующие группы:
□ размещение службы информационной безопасности;
□ взаимодействие ее с другими службами;
□ иерархия подчинения. (далее…)