Что же нужно для того, чтобы навести порядок с
информационной безопасностью в вашей организации и обезопасить её от возможных
утечек конфиденциальных данных? Пошаговый алгоритм выглядит следующим образом:
- Определите риски, с которыми сталкивается ваша компания
- Разработайте политики информационной безопасности
- Организуйте отдел информационной безопасности
- Обеспечьте этот отдел качественными средствами
Как видите, шаги кажутся достаточно простыми и тривиальными,
но на деле это не всегда так, поэтому мы поговорим немного подробнее о каждом
из них.
Определение рисков для компании, в которой никто никогда
всерьез не занимался вопросами обеспечения информационной безопасности,
возможность в одном варианте, а именно – с привлечением сторонней компании
(чаще всего, консалтинговой), которая занимается этими вопросами
профессионально. Можно, конечно, пойти другим путем, и начать с организации
отдела информационной безопасности, в руководители которого найти опытного и
адекватного человека. Но такие, увы и ах, на дороге не валяются, поэтому
необходимо тщательно обдумать, где такого человека можно взять.
Под политиками безопасности понимается набор документов,
который говорит о том, как именно компания планирует бороться со встречающимися
на её пути проблемами в сферах информационной безопасности. Разработкой политик
безопасности также лучше поручить заниматься компании, имеющей в этом опыт,
особенно если вы хотите, чтобы ваша компания затем прошла сертификацию на
соответствие международным стандартам обеспечения информационной безопасности.
Впрочем, в том, чтобы над политиками безопасности работали те, кто будет
трудиться и над их реализацией, есть свои плюсы – будет меньше проблем, когда
дело дойдет до практики.
Теперь стоит сказать пару слов о самом отделе ИБ. Во многих
компаниях принято считать, что роль службы информационной безопасности должен
играть ИТ-отдел. Это худшее в данном жанре, что вообще можно придумать,
поскольку ИТ-отдел чаще всего и является источником проблем в сфере ИБ. Поэтому
информационной безопасностью должен заниматься только отдельный профильный
отдел, причем ни в коем случае не подчиненный ИТ-отделу – в противном случае работа
отдела будет парализована, а сам он быстро будет ликвидирован в силу своей
бесполезности и несостоятельности.
Комментариев нет:
Отправить комментарий