Сертификация CISO. В настоящее время существуют три наиболее серьезных системы сертификации специалистов по защите информации.
По данным Gartner Research, среди компаний, составляющих две тысячи наиболее значимых, предпочтения в области сертификации распределяются следующим образом:
— сертификацию CISSP (компания ISC — razgovorodele.ru) при приеме на работу или аттестации персонала требуют 40% компаний;
— сертификат SANS 15% компаний;
— другие (MCSE, CISA, АВСР, внутренняя сертификация) 25%.
Функции CISO. По мнению аналитиков, CISO должны быть способны выполнять следующие функции:
— разработку политики в области информационной безопасности (ИБ), включая регламенты, стандарты, руководства;
— разработку принципов классификации информационных потоков и управления ими с точки зрения безопасности;
— анализ рисков, их оценку;
— обеспечение персонала всех подразделений руководствами по исполнению политики безопасности, организацию соответствующего обучения и инструктирования;
— консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них;
— согласование всех политик и регламентов для их успешного внедрения на всех уровнях компании;
— работу в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формировании планов технического обновления или иных изменениях в бизнесе, включение аспектов ИБ в самые ранние этапы данных проектов;
— совместная работа со службой безопасности в части, касающейся их обоих, например, в функционировании пропускной системы;
— участие вместе с топ-менеджментом в управлении кризисом или внештатной ситуацией в области защиты информации в случае возникновения таковых;
— обеспечение высшего менеджмента компании регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики безопасности;
— информационную поддержку топ-менеджеров в вопросах изменения законодательства, технических новшеств, имеющих отношение к сфере информационной безопасности.
Позволим себе несколько советов, которые могут помочь российским компаниям подготовить своего CISO.
1. CISO это не башня из слоновой кости. С первых дней появления CISO в составе совета директоров ему придется находить общий язык с огромным количеством людей, выполняющих самые разные функции.
2. Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция предполагает следующую модель поведения: много слушаю, много собираю информации, много синтезирую мало говорю.
3. Возможно, есть смысл в административном помощнике в связи с высокой информационной загруженностью — razgovorodele.ru. Позиция предполагает большую повседневную работу по информированию, разъяснению огромному количеству людей принципов построения системы информационной безопасности и их личной роли в ее нормальном функционировании. Если CISO не нравится заниматься этим, вряд ли он/она будет очень успешен.
4. CISO не должен бояться слышать регулярное «нет» в ответ на свои предложения и требования, во всяком случае, на первых порах.
5. CISO сам должен быть хорошим менеджером и коммуникатором его работа не может быть выполнена им в одиночку. |