7

Текст лекції

з дисципліни: «Організація та управління службою захисту інформації»

Тема «Аналіз інформаційних ризиків, як факторів, що визначають політику безпеки»

Лекція «Аналіз інформаційних ризиків, як факторів, що визначають політику безпеки»

План проведення заняття

Навчальні питання

Вступ

1. Розвиток служби інформаційної безпеки (найменування першого питання)

2. Практика захисту інформації в сенсі оцінки інформаційних ризиків (найменування другого питання)

3. Практика захисту інформації в сенсі керування інформаційними ризиками (найменування третього питання)

Контрольні запитання.

1. Розвиток служби інформаційної безпеки

Разом з розвитком будь якої компанії (та зі зростанням вартості її інформаційних активів) одночасно розвивається і служба інформаційної безпеки. При цьому визначення стратегії і тактики роботи служби інформаційної безпеки стає однією з основних функцій менеджменту компанії. Дійсно, на сьогодні успіх реалізації політики інформаційної безпеки (далі – ІБ) компанії залежить не тільки від організаційних та технічних рішень в галузі захисту інформації, але й від кваліфікації та компетентності відповідних кадрів.

З’ясуємо роль і місце служби інформаційної безпеки в організаційній структурі компанії, а також сформулюємо сучасні кваліфікаційні вимоги до співробітників цієї служби.

Директор служби ІБ розробляє стратегію захисту інформаційних ресурсів та політику ІБ (тобто дослідження загроз та вразливостей, пропозиції щодо контрзаходів, оцінка ефективності їх застосування) та сумісно з директором служби автоматизації розробляє вимоги до проектування системи захисту інформації, її експлуатації та супроводження. Реалізацією розробленої політики ІБ на рівні окремих підрозділів компанії займається менеджер служби ІБ. Загальний контроль за реалізацією політики ІБ здійснює виконавчий директор компанії.

Згідно статистики у найбільш "успішних" в сенсі інформаційного захисту закордонних компаніях, функція організації безпеки інформації покладена на окремий підрозділ, який наділений відповідними повноваженнями та має підтримку та розуміння проблеми з боку найвищого керівництва. При цьому майже у половині таких компаній відповідальність за ІБ закріплена за радою директорів, що найбільш характерно для фінансового сектору. Дійсно, безпосередня участь ТОР-менеджменту організації потрібна для коректного визначення та постановки конкретних задач в галузі ІБ, які дозволять не зашкоджуючи основному бізнесу компанії забезпечити ІБ. Крім того, зазвичай тільки керівництво компанії спроможне підтримати забезпечення безпеки належним рівнем інвестування та іншими необхідними ресурсами.

У вітчизняних компаніях на теперішній час спостерігаються наступні основні тенденції розвитку служби ІБ:

• раніше (а подекуди і тепер) у більшості вітчизняних компаній проблемою ІБ організації опікувалися відділи та служби автоматизації. На сьогодні найбільш передові компанії йдуть шляхом відокремлення підрозділів ІБ в окрему службу з відповідними організаційними, кадровими та фінансовими змінами. При цьому створюються дві ключові позиції спеціалістів, відповідальних за ІБ: директор служби ІБ, який відповідає головним чином за розробку та реалізацію політики безпеки компанії та менеджер служби ІБ, який займається практичною реалізацією політики ІБ на рівні підрозділу, наприклад планово-економічного відділу, служби маркетингу тощо;

• у деяких компаніях спостерігається об’єднання служб інформаційної та загальної безпеки у єдиний підрозділ, задачею якого є забезпечення безпеки в цілому включно із захистом перспективних планів розвитку компанії та її активів, а також вирішення питань з контролю та керування доступом;

• статус директора служби ІБ стає адекватним (тобто рівним) статусу провідних ТОР-менеджерів компанії, що відповідають за стратегічний розвиток компанії.