Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Место отдела информационной безопасности (ИБ) в структуре организации

Сегодня ведущие отечественные компании создают две ключевые позиции, отвечающие за информационную безопасность (ИБ):

1) CISO (Chief Information Security Officer) директор по информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной происходящим в ней бизнес-процессам.
2) BISO (Business Information Security Officer) менеджер/ специалист службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации.

Позиции, отвечающие за информационную безопасность

Согласно исследованиям Gartner Research в компаниях, входящих в список двух тысяч наиболее значимых, наблюдается несколько тенденций структуры подчиненности специалистов по ИБ в рамках штатного расписания организации. Одна из них - вывод CISO из структуры отдела ИТ/автоматизации в подчиненность первому лицу компании (изменение статуса - razgovorodele.ru). Причина в том, что директор по информационным технологиям/автоматизации (СЮ) и директор по информационной безопасности (CISO) имеют разные конфликтующие интересы. СЮ отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса.

Иными словами, компаниям придется находить баланс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research, СЮ и CISO должны быть независимыми друг от друга, и оба подчиняться первому лицу компании.

Другая тенденция (в некоторых компаниях) - слияние департаментов информационной и физической безопасности в связи с тем, что у них есть некоторые общие функции: например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр. Наиболее продвинутые в отношении ИБ и управления рисками компании инвестируют средства в позицию СРО (Chief Privacy Officer), русский аналог - заместитель директора по безопасности. В этом случае CISO будет подчинен СРО. Рассмотрим один из возможных вариантов места службы ИБ в компании.

Структура подчиненности службы ИБ компании

Можно спрогнозировать, что рынком будут востребованы специалисты по ИБ с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда. К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных с точки зрения ИБ компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне совета директоров, что наиболее характерно для финансового сектора.

Непосредственное участие топ-менеджмента организации необходимо для постановки правильных целей в области ИБ. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.

Профиль компетентности

Потребности бизнеса и обеспечение информационной безопасности

Если поиск компетентного специалиста на позицию BISO вопрос сложный, но вполне решаемый (во всяком случае, на московском и петербургском рынках труда), то поиск CISO, по всей видимости, является самой настоящей проблемой по причине несформированности профиля компетенции и отсутствия подготовленных специалистов.

Действительно, главная задача CISO - это оценка и управление технологическими, производственными и иными рисками компании в срезе информационной безопасности. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать риски и управлять ими в соответствии с целями и задачами компании и уровнем ее развития. Свою специфику также вносит сфера деятельности компании, ее размер и стоимость информационных активов. CISO, по-видимому, будет входить в верхний эшелон управления компанией, чтобы иметь возможность сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий, возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров.

Дело в том, что потребности бизнеса систематически «входят в клинч» с потребностями безопасности. CISO должен быть способен «переводить с русского на русский», то есть с технического на тот язык, который могут понять руководители бизнеса. В дополнение к солидному образованию и опыту в области защиты информации CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными познаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического (технологического) образования, также как и только «защитного».

Есть два пути замещения вакантной позиции CISO. Один заключается в заполнении этой позиции аудиторами или аналитиками в области безопасности. Проблема в том, что хороший аналитик и хороший управленец не одно и то же - razgovorodele.ru. Это люди с принципиально разным складом ума, структурой мотивации и компетентностью. Проще говоря, им нравится и они умеют разное. Для совмещения «двух в одном» профессионала аналитика в этом случае нужно значительно «подращивать» и укреплять по менеджерской составляющей.

Второй путь привлечение готового или почти готового специалиста из числа своих же сотрудников. В этом случае профессиональная компетенция будет усилена еще и знанием конкретного производства.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна