Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Сколько ступеней принятия решения по вопросам информационной безопасности должно существовать

• Если руководитель службы информационной безопасности непосредственно подчинен директору предприятия и вносит проекты решений напрямую, то это дает возможность злоупотребления своим положением (так как топ-менеджер скорее всего не очень компетентен в информационных технологиях, но на слово "безопасность" реагирует немедленным визированием всех документов).
• Если процесс согласования решения чересчур распределен по руководителям и растянут во времени, есть риск, что произойдет запаздывание в принятии жизненно важного решения (впрочем, как и для любой другой службы). Кроме того, если представители точек согласования не компетентны в вопросе безопасности, то много времени непродуктивно будет потрачено на выяснение проблем и согласование мнений.
• Согласован ли процесс принятия решения по информационной безопасности с общей стратегией развития информационных технологий? Не будут ли в информационном пространстве предприятия установлены средства защиты, которые внесут помехи в работу других информационных систем?

В данном случае существуют конкретные рекомендации, которые советуют подчинять службу информационной безопасности не напрямую директору, а некоему комитету по безопасности, в котором будут присутствовать, с одной стороны, специалисты, способные оценить качество предлагаемого решения, с другой - руководители, способные утвердить принятое решение к обязательному исполнению.

Сфера охвата информационных систем

Для полного контроля ситуации в информационном пространстве служба информационной безопасности должна иметь необходимые знания обо всех информационных системах, объектах и субъектах. Однако как быть в следующих ситуациях.

• Данная конкретная информационная система для своего функционирования уже предусматривает разделение административных функций между двумя персонами, контролирующими друг друга.
• Функции данной информационной системы, с одной стороны, достаточно специфичны и требуют серьезной подготовки для ее администрирования и/или контроля, а, с другой стороны, слишком незначительны в рамках предприятия для того, чтобы содержать (обучать) двух администраторов для ее контроля.
• Информационная система имеет вид "черного ящика": все работы по ее администрированию выполняются внешним провайдером, который не может допустить посторонних к этому процессу.

Если в третьей ситуации возможна организация соответствующего распределения ответственности в рамках контракта на поставку услуг, то с первыми двумя случаями дело обстоит сложнее. Возможно, придется назначить отдельного специалиста по безопасности данной информационной системы из имеющихся администраторов и подчинить его (полностью или частично) службе информационной безопасности или комитету, о котором шла речь выше. Возможно, придется выделить понятия "прикладной безопасности", оставив ее в ведении службы, администрирующей данную систему, и "системной безопасности" (то есть безопасности взаимодействия данной системы с остальными), которую отдать общей службе информационной безопасности. Возможно, будет достаточно предоставить службе информационной безопасности доступ к упомянутым электронным регистрационным журналам, файлам конфигураций, учету пользователей и т.д.

Однако для всех трех ситуаций мы бы рекомендовали разработать процедуру отчета администраторов систем перед службой информационной безопасности. Детализацию и периодичность отчетов можно согласовывать дополнительно, в зависимости от конкретной системы, но службе безопасности следует иметь полную картину работы всех систем информационного пространства.

Другая проблема, приводящая иногда к выпадению отдельных аспектов из сферы деятельности службы информационной безопасности, - это представление о ней только как о компьютерной службе. Это допустимо, но тогда необходимо подумать о следующем.

Кто в организации курирует вопросы безопасности телефонной связи (сотовые телефоны, мини-АТС, факсимильную связь)? Безопасно ли уничтожение бумажных отчетов предприятия? Как защищены источники электроэнергии и т.п.?

Если всем этим занимаются отдельные службы, то следует также продумать вопросы связи их со службой информационной безопасности. Если же есть необходимость передать контроль над ними в службу информационной безопасности, то следует добавить и необходимое число сотрудников, провести их соответствующее обучение.


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна