Теория бизнеса
Организация службы информационной безопасности

Организация службы информационной безопасности

 

По мере развития любой отечественной компании и роста стоимости ее информационных активов в той же мере развивается и служба информационной безопасности. При этом стратегия и тактика работы этой службы становится не только одной из основных функций высшего менеджмента компании, но и ее конкурентным преимуществом. Успех политики информационной безопасности компании зависит, конечно, от организационных и технических решений в области защиты информации. Но эффективности кадровых решений - вот что дает настоящие конкурентные преимущества. Или не дает. Давайте рассмотрим, каким уровнем компетентности должны обладать специалисты современной службы информационной безопасности российской компании, и как он влияет на сумму конкурентных преимуществ компании.

 

Сегодня ведущие отечественные компании создают две ключевые позиции, отвечающие за информационную безопасность (ИБ):

 

· CISO (Chief Information Security Officer) - директор по информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной происходящим в ней бизнес-процессам.

 

· BISO (Business Information Security Officer) - менеджер/специалист службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации.

 

Структура подчиненности

Согласно Gartner Research 2001 в компаниях, входящих в список Global 2000, наблюдается несколько тенденций.

 

Одна из них - вывод CISO из структуры отдела ИТ/автоматизации в подчиненность первому лицу компании (изменение статуса). Причина в том, что директор по информационным технологиям/ автоматизации (CIO) и директор по информационной безопасности (CISO) имеют разные конфликтующие интересы. CIO отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса. Иными словами, компаниям придется находить баланс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research 2001, CIO и CISO должны быть независимыми друг от друга, и оба подчиняться первому лицу компании.

 

Другая тенденция (в некоторых компаниях) - слияние департаментов информационной и физической безопасности в связи с тем, что у них есть некоторые общие функции: например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр.

 

Наиболее продвинутые в отношении ИБ и управления рисками компании инвестируют средства в позицию CPO (Chief Privacy Officer), русский аналог - заместитель директора по безопасности. В этом случае CISO будет подчинен CPO.

 

Можно спрогнозировать, что рынком будут востребованы специалисты по ИБ с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда.

 

К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных с точки зрения ИБ компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне совета директоров, что наиболее характерно для финансового сектора. Непосредственное участие топ-менеджмента организации необходимо для постановки правильных целей в области ИБ. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.

 

Профиль компетентности

Если поиск компетентного специалиста на позицию BISO - вопрос сложный, но вполне решаемый (во всяком случае, на московском и петербургском рынках труда), то поиск CISO, по всей видимости, является самой настоящей проблемой по причине несформированности профиля компетенции и отсутствия подготовленных специалистов.

Действительно, главная задача CISO - это оценка и управление технологическими, производственными и иными рисками компании в срезе информационной безопасности. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать риски и управлять ими в соответствии с целями и задачами компании и уровнем ее развития. Свою специфику также вносит сфера деятельности компании, ее размер и стоимость информационных активов.

 

CISO, по-видимому, будет входить в верхний эшелон управления компанией, чтобы иметь возможность сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий, возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров. Дело в том, что потребности бизнеса систематически "входят в клинч" с потребностями безопасности. CISO должен быть способен "переводить с русского на русский", то есть с технического на тот язык, который могут понять руководители бизнеса. В дополнение к солидному образованию и опыту в области защиты информации CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными познаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического/технологического образования, также как и только "защитного". Есть два пути замещения вакантной позиции CISO.

 

· Один заключается в заполнении этой позиции аудиторами или аналитиками в области безопасности. Проблема в том, что хороший аналитик и хороший управленец - не одно и то же. Это люди с принципиально разным складом ума, структурой мотивации и компетентностью. Проще говоря, им нравится и они умеют разное. Для совмещения "двух в одном" профессионала аналитика в этом случае нужно значительно "подращивать" и укреплять по менеджерской составляющей.

 

· Второй путь - привлечение готового или почти готового специалиста из числа своих же сотрудников. В этом случае профессиональная компетенция будет усилена еще и знанием конкретного производства.

 

Сертификация CISO

В настоящее время существуют три наиболее серьезных системы сертификации специалистов по защите информации.

По данным Gartner Research, среди компаний, составляющих Global 2000, предпочтения в области сертификации распределяются следующим образом:

· сертификацию CISSP (компания ISC2) - при приеме на работу или аттестации персонала требуют 40 % компаний;

· сертификат SANS - 15 % компаний;

· другие (MCSE, CISA, ABCP, внутренняя сертификация) - 25 %.

Валидной отечественной сертификации пока не существует.

 

Функции CISO

По мнению аналитиков, CISO должны быть способны выполнять следующие функции:

· разработку политики в области ИБ, включая регламенты, стандарты, руководства;

· разработку принципов классификации информационных потоков и управления ими с точки зрения безопасности;

· анализ рисков, их оценку;

· обеспечение персонала всех подразделений руководствами по исполнению политики безопасности, организацию соответствующего обучения и инструктирования;

· консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них;

· согласование всех политик и регламентов для их успешного внедрения на всех уровнях компании;

· работу в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формировании планов технического обновления или иных изменениях в бизнесе, включение аспектов ИБ в самые ранние этапы данных проектов;

· совместная работа со службой безопасности в части, касающейся их обоих, например в функционировании пропускной системы;

· участие вместе с топ-менеджментом в управлении кризисом или внештатной ситуацией в области защиты информации в случае возникновения таковых;

· обеспечение высшего менеджмента компании регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики безопасности;

· информационную поддержку топ-менеджеров в вопросах изменения законодательства, технических новшеств, имеющих отношение к сфере информационной безопасности.

 

Шесть советов для достижения успеха, если вы планируете карьеру CISO

Позволим себе несколько советов, которые могут помочь российским компаниям подготовить своего CISO.

 

1. CISO - это не башня из слоновой кости. С первых дней появления CISO в составе совета директоров ему придется находить общий язык с огромным количеством людей, выполняющих самые разные функции.

 

2. Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция предполагает следующую модель поведения: много слушаю, много собираю информации, много синтезирую - мало говорю.

 

3. Возможно, есть смысл в административном помощнике в связи с высокой информационной загруженностью.

 

4. Позиция предполагает большую повседневную работу по информированию, разъяснению огромному количеству людей принципов построения системы ИБ и их личной роли в ее нормальном функционировании. Если CISO не нравится заниматься этим, вряд ли он/она будет очень успешен.

 

5. CISO не должен бояться слышать регулярное "нет" в ответ на свои предложения и требования, во всяком случае, на первых порах.

 

6. CISO сам должен быть хорошим менеджером и коммуникатором - его работа не может быть выполнена им в одиночку.

 


просмотров: 681
Search All Ebay* AU* AT* BE* CA* FR* DE* IN* IE* IT* MY* NL* PL* SG* ES* CH* UK*
10/15/24/36 пластиковых отсека ювелирные изделия регулируемые органайзер для хранения коробка чехол

224,59 руб.
End Date: 23.07 07:26
Buy It Now for only: US 224,59 руб.
Buy it now |
Пластиковый органайзер для галстуков бюстгальтер носки ящик косметический контейнер разделитель ящик для хранения

78,81 руб.
End Date: 08.07 11:29
Buy It Now for only: US 78,81 руб.
Buy it now |
Пластиковый 15/10/24 слоты регулируемый ювелирных изделий хранения коробка чехол Craft устроитель бисер

99,96 руб.
End Date: 13.07 09:42
Buy It Now for only: US 99,96 руб.
Buy it now |
Портативный путешествий хранения водонепроницаемая обувь сумка органайзер для мешочек упаковочные пластиковые сумка

61,11 руб.
End Date: 25.07 06:05
Buy It Now for only: US 61,11 руб.
Buy it now |
10 отсеков прозрачная пластиковая коробка для хранения ювелирных изделий бусина винт органайзер контейнер

61,93 руб.
End Date: 08.07 18:43
Buy It Now for only: US 61,93 руб.
Buy it now |
Adjustab обуви стойки двойная для хранения обувь стойка Удобный органайзер для обуви подставка

197,06 руб.
End Date: 23.07 09:03
Buy It Now for only: US 197,06 руб.
Buy it now |
Креативный пластик обувь стойка организатор экономии пространства для хранения регулируемый прочный Великобритания

102,69 руб.
End Date: 02.07 14:58
Buy It Now for only: US 102,69 руб.
Buy it now |
Дорожный ключ телефон зарядное устройство Usb кабель наушники Usb организатор чехол для хранения сумка

65,37 руб.
End Date: 12.07 11:47
Buy It Now for only: US 65,37 руб.
Buy it now |
Search Results from AllSoft: новости

Сан-Франциско ждет! Вы — Маркус, блестящий хакер, объединяетесь с DedSec, чтобы противостоять ctOS 2.0, системе глобального контроля. Сокрушите ее, это будет взлом века!
Первым покупателям — скидка 250 рублей! Успей купить первым! 


подробнее»
181528

PrintStore Pro — программа для учета расходных материалов и оборудования. Просчитывает запас каждого картриджа в каждом принтере и помогает сформировать заказ на следующий период. Поддерживает учет перезаправок. Учитывает при всех операциях совместимость принтеров и картриджей. Хранит историю всех действий с картриджами и принтерами, позволяет создавать множество отчетов.


подробнее»
123795

Fax Voip T38 Fax & Voice — факс и автоответчик для вашей SIP/H.323/ISDN сети. Виртуальные голосовые факс модемы. Поддержка T.38, Fax поверх G.711 и CAPI факс. Одновременные SIP регистрации, маршрутизация вызовов, цветные факсы. Совместимость со стандартными факс программами. Fax Voip принтер, Консоль Fax Voip для управления факсами. Сохранение входящих факсов в TIFF/PDF/SFF файлы. Маршрутизация входящих факсов: E-mail, Сохранить в папке, Печать. Факс по запросу. Отправка факса через e-mail (Почта-на-факс) и получение факсов на e-mail (Факс-на-почту).


подробнее»
139103

Fax Voip T38 Fax & Voice — факс и автоответчик для вашей SIP/H.323/ISDN сети. Виртуальные голосовые факс модемы. Поддержка T.38, Fax поверх G.711 и CAPI факс. Одновременные SIP регистрации, маршрутизация вызовов, цветные факсы. Совместимость со стандартными факс программами. Fax Voip принтер, Консоль Fax Voip для управления факсами. Сохранение входящих факсов в TIFF/PDF/SFF файлы. Маршрутизация входящих факсов: E-mail, Сохранить в папке, Печать. Факс по запросу. Отправка факса через e-mail (Почта-на-факс) и получение факсов на e-mail (Факс-на-почту).


подробнее»
141754

Retouch Pilot — программа для удаления изъянов с фотографий, таких как царапины, мелкие пятна и другие мелкие дефекты, существующие на фото или полученные при сканировании. Вы можете удалять целые объекты, попавшие случайно в кадр, а также инструментом пластика изменять форму и пропорции. Программа позволяет ретушировать изъяны кожи - пятнышки, морщинки и др..


подробнее»
26516

R-Studio — эффективное программное обеспечение, позволяющее восстанавливать данные с жестких дисков, CD, DVD, дискет, USB дисков, ZIP дисков и устройств флеш-памяти.


подробнее»
88115

Сборка электронных каталогов автозапчастей включает в себя грузовые автомобили Европы и Китая. В сборку включена программа Tecdoc, позволяющая подобрать не оригинальные запчасти.


подробнее»
183206

Sound Pilot озвучивает клавиатуру. Каждое прикосновение к клавиатуре рождает звук, который разнообразит процесс набора текста, развлекает и снижает утомляемость.


подробнее»
78205
Search All Amazon* UK* DE* FR* JP* CA* CN* IT* ES* IN* BR* MX
Search Results from «Озон» бизнес книги
2008 Copyright © JobYou.ru Мобильная Версия v.2015 | PeterLife и компания
Пользовательское соглашение использование материалов сайта разрешено с активной ссылкой на сайт. Партнёрская программа.
Rambler's Top100 Яндекс цитирования Яндекс.Метрика