![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68comphttp://www.infosecurity.ru/_gazeta/content/040210/article2.html
Новый взгляд на службу информационной безопасности компании
Ирина Муравьева
По мере развития любой отечественной компании и роста стоимости ее информационных активов совершенствуется и служба информационной безопасности. Причем стратегия и тактика работы этой службы становится одной из основных функций высшего TOPменеджмента компании. Действительно, успех политики информационной безопасности компании зависит не только от организационных и технических решений в области защиты информации, но и от эффективности кадровых решений. Итак, каков должен быть уровень компетентности специалистов современной службы информационной безопасности российской компании.
Сегодня ведущие отечественные компании создают две ключевые позиции, отвечающие за информационную безопасность (ИБ):
Рассмотрим возможную организационную структуру службы ИБ компании (рис. 1).
Здесь, на наш взгляд, принципиальны следующие моменты (статусный и функциональный):
К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных, с точки зрения ИБ, компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне Совета директоров, что наиболее характерно для финансового сектора. Непосредственное участие TOPменеджмента организации необходимо для постановки правильных целей в области ИБ, позволяющих без ущерба осуществлять деятельность и ее развитие. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.
Профиль компетентности
Если поиск компетентного специалиста на позицию BISO — вопрос сложный, но вполне решаемый (во всяком случае, на московском и петербургском рынках труда), то поиск CISO, по всей видимости, самая настоящая проблема, поскольку профиль такой компетенции не сформирован и подготовленные специалисты отсутствуют.
Действительно, главная задача CISO — это оценка и управление технологическими, производственными и информационными рисками компании. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать и управлять рисками в соответствии с целями и задачами компании и уровнем ее развития. Свою специфику вносит и сфера деятельности компании, а также ее размер и стоимость информационных активов.
CISO должен входить в верхний эшелон управления компанией и уметь сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий, возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров. Часто потребности бизнеса «входят в клинч» с требованиями безопасности. CISO должен быть способен переводить с русского на русский, то есть с технического русского на тот русский, который понятен руководителям бизнеса. Помимо солидного образования и опыта в области защиты информации (5–7 лет в области защиты информации полюс дополнительное образование или опыт в IT) CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными знаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического/технологического образования, так же как и только «защитного». Позицию CISO, скорее всего, будут занимать аудиторы или аналитики в области безопасности. Идеально, если подобный специалист привлечен из числа своих же сотрудников, ибо в этом случае профессиональная компетенция усилена еще и знанием конкретного предприятия.
Сертификация CISO
В настоящее время существуют три наиболее серьезных сертификации специалистов по защите информации.
По данным Gartner Research, среди компаний из Global 2000 предпочтения в области сертификации распределяются следующим образом:
Функции CISO
По мнению аналитиков, CISO должны быть способны выполнять следующие функции:
Структура подчиненности
Согласно Gartner Research 2001, в компаниях, входящих в список Global 2000 наблюдается несколько тенденций.
Одна из них — вывод CISO из структуры отдела IT/автоматизации в подчинение первому лицу компании (изменение статуса). Причина в том, что директор по информационным технологиям/автоматизации (CIO) и директор по информационной безопасности (CISO) имеют разные, конфликтующие интересы. CIO отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса. Иными словами, компаниям придется находить разумный компромисс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research 2001, CIO и CISO должны быть независимы друг от друга и подчиняться первому лицу компании.
Другая тенденция (в некоторых компаниях) — слияние департаментов информационной и физической безопасности в связи с тем, что у них есть некоторые общие функции. Например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр.
Компании, наиболее продвинутые в отношении ИБ и управления рисками, инвестируют средства в создание должности CPO (Chief Privacy Officer, русского аналога данному названию пока не найдено). В этом случае CISO будет подчинен CPO.
Шесть советов для успеха
Рассмотрим несколько советов, которые могут помочь российским компаниям подготовить своего CISO:
Заключение
По данным независимых аналитических агентств, большинство отечественных компаний увеличили бюджеты на ИБ в новом, 2003 году. Это показывает, насколько за последнее время возросло внимание к управлению информационными рисками. Отчасти это объясняется повышенным интересом к вопросам ИБ в связи с последними террористическими актами, а также значительно возросшими требованиями со стороны государственных регулирующих органов и деловых партнеров. Обстоятельства доказывают необходимость и своевременность увеличения затрат на ИБ, так как инциденты, связанные с нарушением ИБ, становятся более частыми и обременительными в финансовом отношении. В кадровом аспекте это означает даже не поиск готовых специалистов CISO (их просто нет), вопрос в затратах (временных, денежных, организационных) на подготовку и «тюнинг» профессионалов, способных отвечать за сохранность такого ресурса компании, как информация.
Источник: Журнал IT Manager
Новый взгляд на службу информационной безопасности компании
Ирина Муравьева
По мере развития любой отечественной компании и роста стоимости ее информационных активов совершенствуется и служба информационной безопасности. Причем стратегия и тактика работы этой службы становится одной из основных функций высшего TOPменеджмента компании. Действительно, успех политики информационной безопасности компании зависит не только от организационных и технических решений в области защиты информации, но и от эффективности кадровых решений. Итак, каков должен быть уровень компетентности специалистов современной службы информационной безопасности российской компании.
Сегодня ведущие отечественные компании создают две ключевые позиции, отвечающие за информационную безопасность (ИБ):
- CISO (Chief Information Security Officer) — директор службы информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной бизнеспроцессам компании.
- BISO (Business Information Security Officer) — менеджер службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например, плановоэкономического отдела, службы маркетинга или автоматизации.
Рассмотрим возможную организационную структуру службы ИБ компании (рис. 1).
Здесь, на наш взгляд, принципиальны следующие моменты (статусный и функциональный):
- Сейчас (да и раньше) в большинстве российских компаний обеспечением информационной безопасности занимаются отделы и службы автоматизации. В настоящее время ведущие отечественные компании предпочитают создавать для этих целей специальное подразделение, что естественно, влечет организационные, кадровые и финансовые изменения. Таким образом, спрос на квалифицированных специалистов по защите информации растет.
- Статус лица, определяющего защищенность информационных ресурсов компании, соответствует статусу ведущих TOPменеджеров компании, отвечающих за развитие таких ресурсов компании, как финансовые (финансовый директор), технологические (директор по производству), человеческие (директор по персоналу) и т. д. По всей видимости, рынком будут востребованы специалисты по ИБ с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда.
К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных, с точки зрения ИБ, компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне Совета директоров, что наиболее характерно для финансового сектора. Непосредственное участие TOPменеджмента организации необходимо для постановки правильных целей в области ИБ, позволяющих без ущерба осуществлять деятельность и ее развитие. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.
Профиль компетентности
Если поиск компетентного специалиста на позицию BISO — вопрос сложный, но вполне решаемый (во всяком случае, на московском и петербургском рынках труда), то поиск CISO, по всей видимости, самая настоящая проблема, поскольку профиль такой компетенции не сформирован и подготовленные специалисты отсутствуют.
Действительно, главная задача CISO — это оценка и управление технологическими, производственными и информационными рисками компании. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать и управлять рисками в соответствии с целями и задачами компании и уровнем ее развития. Свою специфику вносит и сфера деятельности компании, а также ее размер и стоимость информационных активов.
CISO должен входить в верхний эшелон управления компанией и уметь сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий, возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров. Часто потребности бизнеса «входят в клинч» с требованиями безопасности. CISO должен быть способен переводить с русского на русский, то есть с технического русского на тот русский, который понятен руководителям бизнеса. Помимо солидного образования и опыта в области защиты информации (5–7 лет в области защиты информации полюс дополнительное образование или опыт в IT) CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными знаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического/технологического образования, так же как и только «защитного». Позицию CISO, скорее всего, будут занимать аудиторы или аналитики в области безопасности. Идеально, если подобный специалист привлечен из числа своих же сотрудников, ибо в этом случае профессиональная компетенция усилена еще и знанием конкретного предприятия.
Сертификация CISO
В настоящее время существуют три наиболее серьезных сертификации специалистов по защите информации.
По данным Gartner Research, среди компаний из Global 2000 предпочтения в области сертификации распределяются следующим образом:
- Сертификацию CISSP (компания ISC 2) при приеме на работу или аттестации персонала требуют 40% компаний.
- Сертификат SANS — 15% компаний.
- Другие (MCSE, CISA, ABCP, внутренняя сертификация) — 25% опрошенных компаний.
Функции CISO
По мнению аналитиков, CISO должны быть способны выполнять следующие функции:
- разработка политики в области ИБ, включая регламенты, стандарты, руководства;
- разработка принципов классификации информационных потоков и управления ими;
- анализ рисков, их оценка и принятие;
- обеспечение персонала всех подразделений руководствами и знаниям по исполнению политики в области ИБ, организация соответствующего обучения и инструктирования;
- консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них;
- согласование всех политик и регламентов с тем, чтобы они были успешно внедрены на всех уровнях компании;
- деятельность в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формировании планов технического обновления или иных изменений бизнеса. Включение аспектов ИБ на самые ранние этапы данных проектов;
- «связующее звено» между службой качества и отделом IT/автоматизации с правом проверки внутренних отчетов службы качества;
- совместная работа со службой безопасности в части, касающейся их обоих, например, научноисследовательские работы (НИОКР) или пропускная система (бейджи, пропуска);
- совместная работа со службой персонала в части, касающейся проверки некоторых данных при найме на работу;
- в случае кризисов или чрезвычайных происшествий в области защиты информации участвовать вместе с топменеджментом в управлении кризисом;
- обеспечение менеджмента компании регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики;
- информационная поддержка топменеджеров об изменениях в законодательстве и технических новинках, имеющих отношение к информационной безопасности.
Структура подчиненности
Согласно Gartner Research 2001, в компаниях, входящих в список Global 2000 наблюдается несколько тенденций.
Одна из них — вывод CISO из структуры отдела IT/автоматизации в подчинение первому лицу компании (изменение статуса). Причина в том, что директор по информационным технологиям/автоматизации (CIO) и директор по информационной безопасности (CISO) имеют разные, конфликтующие интересы. CIO отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса. Иными словами, компаниям придется находить разумный компромисс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research 2001, CIO и CISO должны быть независимы друг от друга и подчиняться первому лицу компании.
Другая тенденция (в некоторых компаниях) — слияние департаментов информационной и физической безопасности в связи с тем, что у них есть некоторые общие функции. Например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр.
Компании, наиболее продвинутые в отношении ИБ и управления рисками, инвестируют средства в создание должности CPO (Chief Privacy Officer, русского аналога данному названию пока не найдено). В этом случае CISO будет подчинен CPO.
Шесть советов для успеха
Рассмотрим несколько советов, которые могут помочь российским компаниям подготовить своего CISO:
- С первых дней появления CISO в составе Совета директоров ему придется находить общий язык с огромным количеством людей, выполняющих самые разные функции.
- Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция предполагает «много слушаю, много собираю информации, много синтезирую — мало говорю».
- В связи с высокой информационной загруженностью, возможно, есть смысл в административном помощнике.
- Позиция предполагает информирование и умение находить контакт с огромным количеством людей для того, чтобы они понимали задачи ИБ и свою роль в этом деле. Если CISO не нравится заниматься этим, вряд ли он сможет добиться большого успеха.
- CISO не должен бояться слышать постоянное «нет» в ответ на свои предложения и требования, во всяком случае, на первых порах.
- CISO должен быть хорошим менеджером и коммуникатором — эта работа не может быть выполнена им в одиночку.
Заключение
По данным независимых аналитических агентств, большинство отечественных компаний увеличили бюджеты на ИБ в новом, 2003 году. Это показывает, насколько за последнее время возросло внимание к управлению информационными рисками. Отчасти это объясняется повышенным интересом к вопросам ИБ в связи с последними террористическими актами, а также значительно возросшими требованиями со стороны государственных регулирующих органов и деловых партнеров. Обстоятельства доказывают необходимость и своевременность увеличения затрат на ИБ, так как инциденты, связанные с нарушением ИБ, становятся более частыми и обременительными в финансовом отношении. В кадровом аспекте это означает даже не поиск готовых специалистов CISO (их просто нет), вопрос в затратах (временных, денежных, организационных) на подготовку и «тюнинг» профессионалов, способных отвечать за сохранность такого ресурса компании, как информация.
Источник: Журнал IT Manager
