Rambler's Top100

3-я международная выставка Security. Кишинев 9-12 ноября
 
         
 
             
Новости Публикации Литература НАСТ Законы Ссылки Каталог фирм
Paintball Фильмы Оружие Инфозащита Приколы Тесты О проекте

[Новости]
[Публикации]
[Литература]
[НАСТ]
[Законы]
[Ссылки]
[Каталог фирм]
[Paintball]
[Фильмы]
[Оружие]
[Инфозащита]
[Приколы]
[Тесты]
[О проекте]

[Гостевая]
[Пишите нам]
[Главная]


международный оружейный салон ARMS-2003

Технологии безопасности

10 Московская международная выставка MIPS
Кто возглавит службу информационное безопасности

КТО ВОЗГЛАВИТ СЛУЖБУ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ?

По мере развития любой отечественной компании и роста стоимости ее информационных активов в той же мере развивается и служба информационной безопасности. При этом стратегия и тактика работы этой службы становится не только одной из основных функций высшего менеджмента компании, но и ее конкурентным преимуществом. Успех политики информационной безопасности компании зависит, конечно, от организационных и технических решений в области защиты информации. Но эффективности кадровых решений – вот что дает настоящие конкурентные преимущества. Или не дает. Давайте рассмотрим, каким уровнем компетентности должны обладать специалисты современной службы информационной безопасности российской компании, и как он влияет на сумму конкурентных преимуществ компании.

Сегодня ведущие отечественные компании создают две ключевые позиции, отвечающие за информационную безопасность (ИБ):

  • CISO (Chief Information Security Officer) – директор по информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной происходящим в ней бизнес-процессам.

  • BISO (Business Information Security Officer) – менеджер/специалист службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации.

Структура подчиненности

Согласно Gartner Research 2001 в компаниях, входящих в список Global 2000, наблюдается несколько тенденций.

Одна из них – вывод CISO из структуры отдела ИТ/автоматизации в подчиненность первому лицу компании (изменение статуса). Причина в том, что директор по информационным технологиям/ автоматизации (CIO) и директор по информационной безопасности (CISO) имеют разные конфликтующие интересы. CIO отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса. Иными словами, компаниям придется находить баланс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research 2001, CIO и CISO должны быть независимыми друг от друга, и оба подчиняться первому лицу компании.

Другая тенденция (в некоторых компаниях) – слияние департаментов информационной и физической безопасности в связи с тем, что у них есть некоторые общие функции: например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр.

Наиболее продвинутые в отношении ИБ и управления рисками компании инвестируют средства в позицию CPO (Chief Privacy Officer), русский аналог – заместитель директора по безопасности. В этом случае CISO будет подчинен CPO.

Рассмотрим один из возможных вариантов места службы ИБ в компании.

Структура подчиненности службы ИБ компании

Можно спрогнозировать, что рынком будут востребованы специалисты по ИБ с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда.

К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных с точки зрения ИБ компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне совета директоров, что наиболее характерно для финансового сектора. Непосредственное участие топ-менеджмента организации необходимо для постановки правильных целей в области ИБ. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.

Профиль компетентности

Если поиск компетентного специалиста на позицию BISO – вопрос сложный, но вполне решаемый (во всяком случае, на московском и петербургском рынках труда), то поиск CISO, по всей видимости, является самой настоящей проблемой по причине несформированности профиля компетенции и отсутствия подготовленных специалистов.

Действительно, главная задача CISO – это оценка и управление технологическими, производственными и иными рисками компании в срезе информационной безопасности. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать риски и управлять ими в соответствии с целями и задачами компании и уровнем ее развития. Свою специфику также вносит сфера деятельности компании, ее размер и стоимость информационных активов.

CISO, по-видимому, будет входить в верхний эшелон управления компанией, чтобы иметь возможность сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий, возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров. Дело в том, что потребности бизнеса систематически «входят в клинч» с потребностями безопасности. CISO должен быть способен «переводить с русского на русский», то есть с технического на тот язык, который могут понять руководители бизнеса. В дополнение к солидному образованию и опыту в области защиты информации CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными познаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического/технологического образования, также как и только «защитного». Есть два пути замещения вакантной позиции CISO.

  • Один заключается в заполнении этой позиции аудиторами или аналитиками в области безопасности. Проблема в том, что хороший аналитик и хороший управленец – не одно и то же. Это люди с принципиально разным складом ума, структурой мотивации и компетентностью. Проще говоря, им нравится и они умеют разное. Для совмещения «двух в одном» профессионала аналитика в этом случае нужно значительно «подращивать» и укреплять по менеджерской составляющей.

  • Второй путь – привлечение готового или почти готового специалиста из числа своих же сотрудников. В этом случае профессиональная компетенция будет усилена еще и знанием конкретного производства.

Сертификация CISO

В настоящее время существуют три наиболее серьезных системы сертификации специалистов по защите информации.

По данным Gartner Research, среди компаний, составляющих Global 2000, предпочтения в области сертификации распределяются следующим образом:

  • сертификацию CISSP (компания ISC2) – при приеме на работу или аттестации персонала требуют 40 % компаний;

  • сертификат SANS – 15 % компаний;

  • другие (MCSE, CISA, ABCP, внутренняя сертификация) – 25 %.

Валидной отечественной сертификации пока не существует.

Функции CISO

По мнению аналитиков, CISO должны быть способны выполнять следующие функции:

  • разработку политики в области ИБ, включая регламенты, стандарты, руководства;

  • разработку принципов классификации информационных потоков и управления ими с точки зрения безопасности;

  • анализ рисков, их оценку;

  • обеспечение персонала всех подразделений руководствами по исполнению политики безопасности, организацию соответствующего обучения и инструктирования;

  • консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них;

  • согласование всех политик и регламентов для их успешного внедрения на всех уровнях компании;

  • работу в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формировании планов технического обновления или иных изменениях в бизнесе, включение аспектов ИБ в самые ранние этапы данных проектов;

  • совместная работа со службой безопасности в части, касающейся их обоих, например в функционировании пропускной системы;

  • участие вместе с топ-менеджментом в управлении кризисом или внештатной ситуацией в области защиты информации в случае возникновения таковых;

  • обеспечение высшего менеджмента компании регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики безопасности;

  • информационную поддержку топ-менеджеров в вопросах изменения законодательства, технических новшеств, имеющих отношение к сфере информационной безопасности.

Шесть советов для достижения успеха, если вы планируете карьеру CISO

Позволим себе несколько советов, которые могут помочь российским компаниям подготовить своего CISO.

  1. CISO – это не башня из слоновой кости. С первых дней появления CISO в составе совета директоров ему придется находить общий язык с огромным количеством людей, выполняющих самые разные функции.

  2. Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция предполагает следующую модель поведения: много слушаю, много собираю информации, много синтезирую – мало говорю.

  3. Возможно, есть смысл в административном помощнике в связи с высокой информационной загруженностью.

  4. Позиция предполагает большую повседневную работу по информированию, разъяснению огромному количеству людей принципов построения системы ИБ и их личной роли в ее нормальном функционировании. Если CISO не нравится заниматься этим, вряд ли он/она будет очень успешен.

  5. CISO не должен бояться слышать регулярное «нет» в ответ на свои предложения и требования, во всяком случае, на первых порах.

  6. CISO сам должен быть хорошим менеджером и коммуникатором – его работа не может быть выполнена им в одиночку.

Заключение

По данным независимых аналитических агентств, большинство отечественных компаний увеличили бюджеты на ИБ в новом 2003 году. Это показывает, насколько возросло внимание к управлению информационными рисками за последние несколько лет. Отчасти это объясняется повышенным интересом к вопросам ИБ в связи со значительно возросшими требованиями со стороны государственных регулирующих органов и деловых партнеров. Обстоятельства доказывают необходимость и своевременность роста затрат на ИБ, так как инциденты, связанные с нарушением ИБ, становятся более частыми и более обременительными в финансовом отношении. В кадровом аспекте это будет обозначать даже не поиск готовых специалистов CISO (в связи с их дефицитом). Вопрос заключается в затратах (временных, денежных, организационных) на подготовку и «тюнинг» профессионалов, способных отвечать за сохранность такого важнейшего ресурса компании, как информация.

И.В. Муравьева,
руководитель службы персонала ООО «Конфидент»
Источник: Защита информации.Конфидент

 

Rambler's Top100   Sec.ru - Весь Российский рынок безопасности  
 

© Copyright 2000-2003 www.sec4all.net