Информация сегодня — одна из валют. Ей можно торговать и на этом хорошо зарабатывать. Поэтому, как и любые другие товары, её пытаются украсть, уничтожить, подменить, испортить и т. д. Если это произойдёт с данными компании, это может навредить не только её продажам и производству, но и репутации. Вот почему так важно создать в предприятии внутреннюю службу информационной безопасности. Но как это сделать? Сколько сотрудников должно в ней быть? Какой должна быть её структура?
В стандартной схеме такой службы законодательная функция, функция согласования и аудита информационной безопасности выстраивается за пределами ИТ-службы — обычно в службе безопасности. Архитекторы информационной безопасности находятся там, и все документы, регламенты, проверки и согласования производятся через это подразделение. Другая часть службы находится в структуре IТ-дирекции и занимается реализацией схем, подходов и решений, выработанных архитекторами. Плюсы такой схемы — аудируемость и прозрачность. Минусы — сложная управляемость, разрыв во взаимодействии между, казалось бы, специалистами одной сферы. Всё это ведет к конфликтам и недоверию между коллегами.
ТЕХНОНИКОЛЬ, чтобы этого избежать, разработала свою структуру службы информационной безопасности. При этом мы опирались на несколько следующих принципов.
1. Служба информационной безопасности у нас сконцентрирована только на уровне IТ. Коллегиально, на внутренних встречах специалистов, зачастую с привлечением внутренних и внешних экспертов, разрабатывается стратегия развития сервисов, определяется уровень защищённости и сохранности данных. За счёт такого подхода значительно сокращается потребность в ресурсах, время разработки и принятия решений. Нет дополнительных конфликтных зон, зато есть высокий уровень доверия IТ-специалистов внутри группы.
2. В качестве приоритетных определили 5 процессов:
• управление непрерывностью деятельности;
• управление средствами защиты в IТ-инфраструктуре;
• управление инцидентами информационной безопасности;
• мониторинг и постоянное улучшение;
• внутренний аудит.
3. Выбрали мы и 5 наиболее актуальных угроз, учитывающих специфику нашего бизнеса:
• нарушение работы станций и серверов;
• нарушение работы банк-клиентов;
• нарушение информационной безопасности при разработке и эксплуатации информационных систем;
• утечка конфиденциальных данных;
• нарушение работы автоматизированных систем управления техпроцессом.
4. Изучив аналитические отчёты Gartner, Information Shield Inc. и другие, мы пришли к выводу, что в службе информационной безопасности такой корпорации, как наша, должно работать шесть сотрудников.
IТ-специалисты имеют достаточную квалификацию для проведения автоматизированных аудитов инфраструктуры и программного обеспечения, имеют возможность настроить аварийные оповещения в случае злостных нарушений политик безопасности. Нагрузка высокая, но при грамотной расстановке приоритетов структура работает эффективно.