Иллюстрированный самоучитель по Development of safety


Интеграция информационной безопасности в бизнес-процесс организации


Основной целью распределения обязанностей по защите информации является интеграция информационной безопасности в среду бизнеса. В качестве одного из этапов этой интеграции необходимо определить должности, которые обеспечивают безопасность всей работы. Например, один из способов осуществления этого заключается в распределении обязанностей и контроля над активами организации путем координирования работы каждого, включая ответственных за информацию и материально ответственных сотрудников. При таком подходе, не возникнет двусмысленностей относительно того, кто, за что и когда отвечает.

Еще одним аспектом исследований является вопрос, каким образом организовано управление безопасностью в организации. Обычно в организации формируется главная группа управления информационной безопасностью. Главная группа отвечает за внедрение и контролирует исполнение правил безопасности и процедур. Будем рассматривать подход, принятый для неограниченных систем (см. главу 2 "Определение целей политики"), когда главная группа управления информационной безопасностью назначает администраторов безопасности для многопользовательских систем, в которых имеется большое число подразделений. Тогда в каждом подразделении будет свой собственный сотрудник безопасности или посредник, который будет помогать внедрению программы безопасности подразделения. Таким образом можно обеспечить более тесное сотрудничество тех, кто следит за безопасностью, с пользователями Это похоже на институт участковых милиционеров, принятый в милиции.

Тесное сотрудничество сотрудников службы безопасности с остальным персоналом будет полезным и при управлении связями в реальном времени со сторонними организациями. Но утроза безопасности исходит не только от собственных служащих, но и от клиентов, поставщиков, а также от каждого, кто, подключаясь к информационным активам организации, имеет возможность нарушить правила безопасности. Посредники должны отвечать за обучение перечисленных выше аутсайдеров, а также контролировать их деятельность и стимулировать ее.


Начало  Назад  Вперед