Основы информационной безопасности

        Основы информационной безопасности.

        Безопасность – это непрерывный процесс. Она включает в себя людей, политику, процедуры, процессы и технологии. Эти категории можно считать столпами информационной безопасности.

        Люди являются важной частью информационной безопасности. Эффективная система информационной безопасности предполагает четкое распределение ролей и обязанностей людей в любой организации. Без людей нет необходимости или возможности в обеспечении информационной безопасности. Они являются самым важным элементом информационной безопасности с одной стороны. Но иногда этот элемент может быть самым слабым из-за плохих мотивов или различных вредоносных атак, социального характера, например. Высокий уровень информационной безопасности позволяет обеспечить и повысить уровень осведомленности, бдительности.

        Организация информационной безопасности.

        Каждая организация создает свою структуру, с функциональной и административной точки зрения, для эффективной и результативной работы. С широким использованием компьютера, интернета, новых технологий, все более важным является внедрение системы информационной безопасности. Однако, недостаточно того, чтобы только высшее руководство заботилось об информационной безопасности, это должны быть также работники организации, обслуживающий персонал, администраторы и все остальные заинтересованные лица.

        С каждым днем организация приобретает все больше средств обработки информации, готового и специализированного программного обеспечения, что предполагает увеличение зависимости системы информационной безопасности от него в последующие годы. Следовательно, нужен четкий план реализации обеспечения информационной безопасности.

        Независимость.

        За информационную безопасность и технологии в организации отвечает технический директор или директор по информационным технологиям. Они поддерживаются ИТ-менеджерам и таким персоналом, как системные администраторы, администраторы баз данных, сетевые администраторы, программисты и другие, по мере необходимости. Многие организации в обеспечении информационной безопасности имеют ту же роль, что и технический или информационный директор. В данном случае возможен конфликт интересов, возможно, из-за отсутствия достаточной зрелости такого человека, или же из-за того, что он не будет уделять должного внимания информационной безопасности. Он также может скрывать или не публиковать инциденты информационной безопасности, чтобы обезопасить себя, свой персонал. Я считаю, что должно быть четкое разделение обязанностей между ИТ и информационной безопасностью. С этой целью целесообразно внедрение специалистов, выполняющих функции, схожие с функциями начальника отдела информационной безопасности или специалиста по информационной безопасности, для обеспечения независимого и непредвзятого взгляда на информационную безопасность. Организации, их взаимодействие с внешней средой, усложняются, поэтому разделение обязанностей в области информационной безопасности так же важно, как и в любых других функциональных областях, включая финансы, людские ресурсы и т.д.

        Конкретные роли и обязанности.

        В идеале, для успешной реализации информационной безопасности целесообразно использовать нисходящий метод управления, с четким разделением обязательств и назначением конкретных ролей. Если это не так, то система информационной безопасности может считаться успешно внедренной только на бумаге, без особого успеха на местах.

        Комитет по аудиту или комитет по информационной безопасности на уровне правления.

        Если мы возьмем нисходящий метод, то должны иметь на уровне совета директоров, либо в составе комитета по аудите, либо в качестве отдельного комитета по информационной безопасности, лицо из совета директоров, ответственное за изучение вопросов по обеспечению информационной безопасности на уровне организации. Это не обязательно должен быть человек, являющийся экспертом в области технологий, он хорошо анализирует внешнюю среду организации и отслеживает различные изменения, связанные с информационной безопасностью на глобальных и различных организационных уровнях. Также он должен быть заинтересован в информационной безопасности и задавать конструктивные вопросы по любому предложению о новых средствах обработки информации, модификации существующих средств обработки информации, новых приобретениях критически важных программных средств, значительно влияющих на бизнес или любые аспекты информационной безопасности.