Обязанности руководства
Те, кто читает эту книгу с первой главы, вероятно, хотел бы, чтобы она сразу начиналась с описания разработки правил безопасности. Однако перед тем как начать разрабатывать правила безопасности, необходимо получить ясное понимание ролей и обязанностей отдельных лиц в организации по отношению к безопасности. Как уже говорилось в первых двух главах, для успеха программы информационной безопасности поддержка руководства является наиболее важным моментом. Наряду с этой поддержкой должна быть и ответственность за дальнейшее участие в этой программе. В этой главе расписываются обязанности руководства и тех, кто претворяет программу в жизнь. Понимание роли этих групп необходимо для успешной реализации программы безопасности. Глава заканчивается обсуждением контрольного инструктажа и материально-технического обеспечения.
Обязанность руководства заключается не только в материально-технической и организационной поддержке. Недостаточно одного благословения программы информационной безопасности: руководство должно признать программу частью производственного процесса. Признание руководством программы информационной безопасности частью производственного процесса показывает, что отношение руководства к ней точно такое же, как и к другим задачам, стоящим перед организацией.
Обычно, когда такое говорят представителям руководства, их это шокирует и приводит в ужас. Прежде всего, они не обучались технологии или основам информационной безопасности. Им объясняют, что они и не должны понимать, как это работает, но им необходимо быть уверенными, что их бизнес надежно защищен, а решения безопасности не мешают бизнес-процессу. Руководство намечает определенные цели для организации, а большинство профессионалов в сфере безопасности и информационных систем не желают понимать или вникать в эти нюансы. Это не нападки на руководство или на технический персонал, но годы разногласий и непонимания настроили две эти группы враждебно по отношению друг к другу.
Обе группы должны понимать, что безопасность не является чем-то таким, что может быть сложено в красивую папку и поставлено на полку. Она является целью, за осуществление которой должны бороться обе эти стороны. Это становится ясно после анализа степени риска, стоимости и требований гарантии защищенности доступа к информации. Руководящий состав должен нести ответственность за проведение анализа и возложение обязанностей на технический персонал, отвечающий за внедрение правил информационной безопасности.
Комитет по управлению информационной безопасностью
Один из способов перебросить мост между двумя группами заключается в создании Комитета по управлению информационной безопасностью. В обязанности этого комитета будет входить контроль за изменениями в планировании бизнеса и определение того, каким образом правила информационной безопасности должны отражать эти изменения. Другой целью этого комитета может быть анализ производственных процессов и обеспечение гарантий соответствия их правилам безопасности, а также удовлетворение запросов на исключения из этих правил.
Чтобы комитет работал успешно, необходимо, чтобы в него входили специалисты различного профиля, наподобие состава группы, которая разрабатывает документы, определяющие политику безопасности. Однако разница в том, что этот комитет должен состоять исключительно из представителей руководства, которые будут понимать суть политики безопасности с позиций и экономических, и технических перспектив. Техническое руководство должно осознавать суть проблем бизнеса и иметь доступ к информации для того, чтобы оказывать помощь в принятии правильных решений по вопросам безопасности. Необязательно каждому члену комитета быть руководителем исполнительного уровня, но было бы неплохо, чтобы в комитете были представители и исполнительного персонала.