Об информационной безопасности в нормальных компаниях
В компаниях с вменяемым управлением информационной безопасностью занимается не один самодур с группой шестерок-подчиненных, а полноценный отдел, состоящий из специалистов различных компетенций и обладающих различными навыками, в сумме с топ-менеджментом образующие комитет по сокращению или полному избеганию рисков для бизнеса.
Состав службы безопасности в ситуации, приближенной к идеальной, обычно выглядит примерно следующим образом:
1. Разработчик политик. Отвечает за написание корпоративных политик. Должен иметь связи с ключевыми подразделениями компании и входить в функциональные группы, чтобы обсуждать политики с руководителями, юридическим и кадровым отделами. Должен уметь определять, какие политики требуются компании, и обеспечивать их поддержку, особенно на уровне высшего руководства.
2. Архитектор безопасности. На основании требований и нужд бизнеса, проектирует систему безопасности. Должен заниматься связями с поставщиками, отслеживать технологии, продукты и перспективы, принимать решения, когда компания должна переходить на новые технологии обеспечения безопасности, и должна ли вообще.
3. Оператор. Обеспечивает работу инфраструктуры безопасности. Имеет дело с повседневными задачами, например с потерянными или сломанными картами доступа, новыми сотрудниками или подрядчиками, увольнениями из компании. По возможности помогает архитектору в построении инфраструктуры.
4. Аудитор. Может быть членом сторонней консалтинговой группы. Аудитор строит систему проектов и служб проверки безопасности компании на предмет ее соответствия требованиям. В программу тестирования может входить социальная инженерия.
5. Менеджер рисков. Осуществляет техническое руководство со стороны бизнеса. Оценивает технические требования с целью подсчета рисков для компании, связанных с отклонением от стандартов политики.
6. Группа реагирования на происшествия. В большинстве случаев состоит из системных администраторов и сотрудников отдела информационной безопасности. Вступает в дело, когда происходит реальное вторжение или есть подозрение на него. Периодически собирается для обсуждения процедур реагирования на происшествия.
Силами такого СБ устанавливается необходимый предприятию режим информационной безопасности, не препятствующий ведению бизнеса, а способствующий ему. В компаниях такого уровня договоры не лежат на согласовании месяцами, финансовые потоки идут короткими путями с нужной скоростью, а сотрудники не затюканы постоянными допросами и подозрениями в порочных связях, и необходимостью за каждый чих писать служебные записки и объяснительные.