Прежде всего, отдел информационной безопасности должен владеть информацией по предприятию и быть наполненным квалифицированными специалистами, которые занимаются только этим направлением. Часто, во многих компаниях, оказывается, что роль офицера безопасности по совместительству выполняет системный администратор, а в худшем случае – человек, который вообще не разбирается в информационных технологиях. Если коротко - если у вас нет специалистов, понимающих что и зачем, то как вы будете внедрять?
Есть два пути начала внедрения – когда инициатива исходит от младших сотрудников, работающих на местах и когда инициатива исходит от руководства. Как показывает практика, руководители мало что понимают в информационной безопасности и это нормально, т.к. за это отвечают квалифицированные сотрудники отдела ИБ. Поэтому, задачей отдела ИБ является обоснование, для руководства, необходимости внедрения системы обеспечения ИБ. Собственно, обоснование должно быть не с позиции «так надо» и «так все делают», а с позиции бизнеса - какими потерями может обернуться инцидент информационной безопасности.
Внедрение делится на несколько последовательных этапов и первый из них – это оценка рисков. Необходимо определить активы, которые нужно защитить, а затем ранжировать их по ценности – это очень пригождается при необходимости работать с небольшим бюджетом.
Затем выясняется, каковы требования и нормативы по защите информации для определенных активов. Затем анализируется инфраструктура компании, чтобы выявить слабые места и на основе этого анализа пишется модель угроз, в которой определены возможные риски,их вероятности и последствия. Последствия должны быть отображены в формате финансовых потерь – так вам будет проще донести информацию до принимающих решения.
После чего, имея на руках условное ТЗ ( в частности, модель угроз) вы приступаете к поиску наиболее подходящего по бюджету и по функциональным возможностям программному средству. Здесь важно помнить, что вам нужно будет время, для того чтобы оценить насколько хорошо действует система ИБ и «спаять» её со структурой компании. Т.е. нужно заранее понимать, что процесс технического внедрения и отладки занимает время – и это не один-два дня, это, как минимум, месяц.
Пока идет процесс технического внедрения, необходимо создать юридическую базу – политики обработки и доступа к информации, инструкции и стандарты работы. Все документы должны быть донесены до сотрудников, в соответствии с их полем деятельности и, само собой, должно быть зафиксировано ознакомление сотрудников с документами, а также закреплена ответственность за несоблюдение нормативов.
Конечно, придется донести до сотрудников, как работает система, как ей пользоваться. Поэтому вам нужно учитывать затраты – финансовые и временные – на обучение сотрудников, на поддержку системы и т.д. Система должна стать полноценной частью компании, включена во все рабочие процессы и восприниматься сотрудниками, как необходимая часть работы.
Нужно понимать, что, после окончания процесса внедрения, работа над системой не заканчивается – нужно постоянно мониторить результаты работы системы, чтобы понимать, какие нужны изменения в системе, или в бизнес-процессах, как поменялась модель угроз. И, конечно же, должен проводиться анализ результатов работы системы – насколько она хорошо справляется со своей задачей и решает ли она ваши проблемы.
Но нужно помнить, что система ИБ – это не отдельный модуль, это неотделимая часть рабочего процесса и таковой она должна восприниматься.
Переходите на сайт Staffcop, чтобы улучшить эффективность работы организаций и предприятий.