|
Сертификация CISO. В настоящее время
существуют три наиболее серьезных системы сертификации специалистов по защите
информации.
По данным Gartner Research, среди компаний, составляющих две тысячи наиболее
значимых, предпочтения в области сертификации распределяются следующим
образом:
- сертификацию CISSP (компания ISC - razgovorodele.ru) при приеме на
работу или аттестации персонала требуют 40% компаний;
- сертификат SANS 15% компаний;
- другие (MCSE, CISA, АВСР, внутренняя сертификация) 25%.
Функции CISO. По мнению аналитиков, CISO
должны быть способны выполнять следующие функции:
- разработку политики в области информационной безопасности (ИБ), включая
регламенты, стандарты, руководства;
- разработку принципов классификации информационных потоков и управления ими с
точки зрения безопасности;
- анализ рисков, их оценку;
- обеспечение персонала всех подразделений руководствами по исполнению политики
безопасности, организацию соответствующего обучения и инструктирования;
- консультирование менеджеров компании и исполнительского персонала в пределах
их компетенции по вопросам информационных рисков и защиты от них;
- согласование всех политик и регламентов для их успешного внедрения на всех
уровнях компании;
- работу в составе рабочих групп или экспертных советов, оценивающих риски при
внедрении новых технологий, модернизации производства, формировании планов
технического обновления или иных изменениях в бизнесе, включение аспектов ИБ в
самые ранние этапы данных проектов;
- совместная работа со службой безопасности в части, касающейся их обоих,
например, в функционировании пропускной системы;
- участие вместе с топ-менеджментом в управлении кризисом или внештатной
ситуацией в области защиты информации в случае возникновения таковых;
- обеспечение высшего менеджмента компании регулярными обзорами состояния
информационной безопасности, отчетами о внедрении политики безопасности;
- информационную поддержку топ-менеджеров в вопросах изменения законодательства,
технических новшеств, имеющих отношение к сфере информационной безопасности.
Позволим себе несколько советов, которые могут помочь российским компаниям
подготовить своего CISO.
1. CISO это не башня из слоновой кости. С первых дней
появления CISO в составе совета директоров ему придется находить общий язык с
огромным количеством людей, выполняющих самые разные функции.
2. Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция
предполагает следующую модель поведения: много слушаю, много собираю информации,
много синтезирую мало говорю.
3. Возможно, есть смысл в административном помощнике в связи с высокой
информационной загруженностью - razgovorodele.ru. Позиция предполагает большую
повседневную работу по информированию, разъяснению огромному количеству людей
принципов построения системы информационной безопасности и их личной роли в ее
нормальном функционировании. Если CISO не нравится заниматься этим, вряд ли
он/она будет очень успешен.
4. CISO не должен бояться слышать регулярное «нет» в ответ на свои предложения и
требования, во всяком случае, на первых порах.
5. CISO сам должен быть хорошим менеджером и коммуникатором его работа не может
быть выполнена им в одиночку.
|
