Информационная безопасность » Задачи службы информационной безопасности

Сколько ступеней принятия решения по вопросам информационной безопасности должно существовать?

admin — Thu, 28 Aug 2008 13:09:36 +0000

□ Если руководитель службы информационной безопасности непосредственно подчинен директору предприятия и вносит проекты решений напрямую, то это дает возможность злоупотребления своим положением (так как топ-менеджер скорее всего не очень компетентен в информационных технологиях, но на слово “безопасность” реагирует немедленным визированием всех документов). □ Если процесс согласования решения чересчур распределен по руководителям и растянут во времени, есть риск, что произойдет запаздывание в принятии жизненно важного решения (впрочем, как и для любой другой службы). Кроме того, если представители точек согласования не компетентны в вопросе безопасности, то много времени непродуктивно будет потрачено на выяснение проблем и согласование мнений.
□ Согласован ли процесс принятия решения по информационной безопасности с общей стратегией развития информационных технологий? Не будут ли в информационном пространстве предприятия установлены средства защиты, которые внесут помехи в работу других информационных систем?
В данном случае существуют конкретные рекомендации, которые советуют подчинять службу информационной безопасности не напрямую директору, а некоему комитету по безопасности, в котором будут присутствовать, с одной стороны, специалисты, способные оценить качество предлагаемого решения, с другой — руководители, способные утвердить принятое решение к обязательному исполнению.

Как происходит взаимодействие со службой информационных технологий, а конкретно с администраторами сетей и систем?

admin — Thu, 28 Aug 2008 13:08:29 +0000

□ Специалисты информационной безопасности имеют полный контроль над информационной системой, равный правам администратора системы.
□ Специалисты по безопасности принимают частичное участие в администрировании системы, например в настройке прав пользователей.
□ Специалисты по безопасности имеют доступ в информационной системе ко всем объектам, но имеют право только читать сведения о них.
□ Специалисты информационной безопасности не имеют доступа в систему, используют для контроля работы администраторов регистрационные журналы, конфигурационные отчеты и т. п.
Все эти варианты указаны преднамеренно, так как вопрос взаимоотношений службы безопасности и, скажем, администратора локальной сети может быть очень напряженным, особенно если служба только создается, а администратор уже несколько лет выполнял свои функции. Как быть, если администратор действительно честно работает долгое время, а специалисты по безопасности только пришли в организацию, но требуют значительных прав в системе для себя и ограничения прав администратора? Что делать, если администратор в этом случае решил покинуть организацию? А что если квалификация специалистов по безопасности по конкретной информационной системе значительно ниже, чем у администратора, и они могут, при наличии определенных прав, внести помехи в работу системы? Что если система устроена таким образом, что для того, чтобы контролировать администратора, необходим полный контроль над всей системой? Вопросов больше, чем ответов, решение необходимо принимать с учетом всех этих проблем.
Возможно, болезненный процесс передачи или разделения прав придется растянуть на продолжительный период, пока специалисты службы безопасности не приобретут соответствующий опыт, а администраторы постепенно не привыкнут к частичному, а затем и полному контролю.

Чем должна заниматься служба безопасности?

admin — Thu, 28 Aug 2008 13:06:55 +0000

□ Администрировать имеющиеся средства безопасности (межсетевые экраны, антивирусные пакеты, системы обнаружения атак и пр.)?
□ Разрабатывать модели и схемы защиты информации, принимать решения о приобретении новых средств безопасности?
□ Контролировать работу пользователей информационного пространства предприятия? Каких групп — только конечных пользователей или также и администраторов систем?
□ Куда направлен основной фокус внимания службы — на внутренних пользователей (по статистике больше всего нарушений информационной безопасности — как умышленно, так и неумышленно — проистекает изнутри предприятия) или на защиту от доступа из внешнего информационного пространства?
Без сомнения, вопросы информационной безопасности должны учитываться в каждом из перечисленных пунктов. Однако прикладное применение может быть различным и зависеть от множества причин, которые обычно не предусмотрены западными рекомендациями, например таких как нехватка квалифицированного персонала.
Примером различных решений могут быть две следующие ситуации: служба информационной безопасности только производит анализ ситуации, разработку модели и принимает решение о необходимости приобретения средства защиты, а его администрирование производится в рамках обычной работы подразделения информационных технологий. Противоположный вариант — приобретение средств защиты производится в рамках общей стратегии развития информационных технологий предприятия, а конкретные работы по установке и поддержке средства защиты производит служба информационной безопасности.

Задачи службы информационной безопасности

admin — Thu, 28 Aug 2008 13:05:40 +0000

Несмотря на, казалось бы, прямую очевидность задач службы информационной безопасности (“служба безопасности должна обеспечивать безопасность — что же еще?”), возникает множество вопросов, не бросающихся в глаза на первый взгляд. Разобьем эти вопросы или проблемы на следующие группы:
□ размещение службы информационной безопасности;
□ взаимодействие ее с другими службами;
□ иерархия подчинения.
Иначе говоря, следует определить, где в штатной структуре предприятия должна размещаться служба информационной безопасности, как она будет взаимодействовать с другими подразделениями (особенно с подразделением информационных технологий), сколько начальников должно стоять между руководителем службы безопасности и директором предприятия.

Существует ряд рекомендаций по вопросам размещения, взаимодействия и подчинения службы безопасности, как продвинутые, в основном западные, ориентированные на электронный мир, так и старые, еще советские, пришедшие от первых отделов. На наш взгляд, эти процедуры очень зависят от множества факторов конкретного предприятия, быть может даже таких, как сложившиеся неформальные взаимоотношения между сотрудниками. Если во главу угла на предприятии ставится эффективность работы службы информационной безопасности, то такие аспекты невозможно не учитывать.
Чтобы не очерчивать жестких рамок для всего этого, предлагаем просто рассмотреть проблемы и ответить для себя на возникающие вопросы. Из полученных ответов станет ясно, как и где должна располагаться служба информационной безопасности на организационном дереве предприятия.