Новые подходы к кадровому обеспечению службы информационной безопасности предприятия
По мере развития любой отечественной компании и роста стоимости ее информационных активов совершенствуется и служба информационной безопасности. Причем стратегия и тактика работы этой службы становится одной из основных функций высшего менеджмента компании. Действительно, успех политики информационной безопасности компании зависит не только от организационных и технических решений в области защиты информации, но и от эффективности кадровых решений. Итак, какоа должен быть уровень компетентности специалистов современной службы информационной безопасности российской компании.
Особенно это актуально для фирм в области информационна коммуникационных технологий. Применительно к этой сфере последние годы сформировался новый подход к подготовке J использованию специалистов высшего уровня в области защите информации. Для этой группы специалистов выделяются две ключевых позиции:
· CISO (Chief Information Security Officer) – директор службы информационной безопасности, который отвечает главным образом за разработку и реализацию политики безопасности компании, адекватной бизнес-процессам компании.
· BISO (Business Information Security Officer) – менеджер службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации.
Рассмотрим возможную организационную структуру новой службы ИБ компании (рис. 8.1).
Здесь, на наш взгляд, принципиальны следующие моменты (статусный и функциональный).
Рис. 8.1. Организационная структура службы ИБ компании
Раньше в большинстве российских компаний обеспечением информационной безопасности занимались отделы и службы автоматизации. В настоящее время ведущие отечественные компании предпочитают создавать для этих целей специальное подразделение, что, естественно, влечет организационные, кадровые и финансовые изменения, Таким образом, спрос на квалифицированных специалистов по защите информации растет.
Статус лица, определяющего защищенность информационных ресурсов компании, соответствует статусу ведущих ТОР-менеджеров компании, отвечающих за развитие таких ресурсов компании, как финансовые (финансовый директор), технологические (директор по производству), человеческие (директор по персоналу) и т. д. По всей видимости, рынком будут востребованы специалисты по ИБ с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда.
К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных, с точки зрения ИБ, компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне совета директоров, что наиболее характерно для финансового сектора. Непосредственное участие ТОР-менеджмента организации необходимо для постановки правильных целей в области защиты информации, ' позволяющих без ущерба осуществлять деятельность и ее развитие. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.
Если поиск компетентного специалиста на позицию BISO - вопрос сложный, но вполне решаемый, то поиск CISO, по всей видимости, самая настоящая проблема, поскольку профиль такой компетенции не сформирован и подготовленные специалисты в России отсутствуют.
Действительно, главная задача CISO - это оценка и управление технологическими, производственными и информационными рисками компании. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать и управлять рисками в соответствии с целями и задачами компании и уровнем ее
развития. Свою специфику вносит и сфера деятельности компании, а также ее размер и стоимость информационных активов.
CISO должен входить в верхний эшелон управления компанией и уметь сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров. Часто потребности бизнеса входят в противоречие с требованиями безопасности. CISO должен быть способен переводить с «русского на русский», то есть с технического русского на тот русский, который понятен руководителям бизнеса. Помимо солидного образования и опыта в области защиты информации (5-7 лет в области защиты информации полюс дополнительное образование или опыт в IT), CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными_знаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического (технологического) образования, так же как и только «защитного». Позицию CISO скорее всего будут занимать аудиторы или аналитики в области безопасности. Идеально, если подобный специалист будет привлечен из числа своих же сотрудников, ибо в этом случае профессиональная компетенция усилена еще и знанием конкретного предприятия.
По мнению аналитиков, CISO должны быть способны выполнять следующие функции:
- разработка политики в области ИБ, включая регламенты, стандарты, руководства;
- разработка принципов классификации информационных потоков и управлении ими;
- анализ рисков, их оценка и принятие;
- обеспечение персонала всех подразделений руководствами и знаниями по исполнению политики в области ИБ, организация соответствующего обучения инструктирования;
- консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них;
- согласование всех политик и регламентов с тем, чтобы они были успешно внедрены на всех уровнях компании;
- деятельность в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формировании планов технического обновления или иных
- изменений бизнеса. Включение аспектов ИБ на самые ранние этапы данных проектов;
- «связующее звено» между службой качества и отделом IT/автоматизации с правом проверки внутренних отчетов службы качества;
- совместная работа со службой безопасности в части, касающейся их обоих, например научно-исследовательские работы (НИОКР) или пропускная система (бейджи, пропуска);
- совместная работа со службой персонала в части, касающейся проверки некоторых данных при найме на работу;
- в случае кризисов или чрезвычайных происшествий в области защиты информации участвовать вместе с ТОР-менеджментом в управлении кризисом;
- информационная поддержка ТОР-менеджеров об изменениях в законодательстве и технических новинках, имеющих отношение к информационной безопасности.