2014-10-30
1290
Для нейтрализации существующих угроз и обеспечения информационной безопасности предприятия организуют систему менеджмента в сфере информационной безопасности, в рамках которой (системы) проводят работу по нескольким направлениям:
• формирование и практическая реализация комплексной многоуровневой политики информационной безопасности предприятия и системы внутренних требований, норм и правил;
• организация департамента (службы, отдела) информационной безопасности;
• разработка системы мер и действий на случай возникновения непредвиденных ситуаций («Управление инцидентами»);
проведение аудитов (комплексных проверок) состояния информационной безопасности на предприятии.
Рис. 7.2. Структура организационной деятельности в сфере информационной безопасности в организации
Каждое из этих направлений организационной работы имеет свои особенности и должно реализовываться с использованием специфических методов менеджмента и в соответствии со своими правилами. Политики и правила информационной безопасности являются организационными документами, регулирующими деятельность всей организации или отдельных подразделений (категорий сотрудников) в части обращения с информационными системами и информационными потоками. Департамент информационной безопасности является узко специализированным подразделением, решающим специфические вопросы защиты информации. Система мер по реагированию на инциденты обеспечивает готовность всей организации (включая Департамент информационной безопасности) к осмысленным целенаправленным действиям в случае каких-либо происшествий, связанных с информационной безопасностью. Проведение внутренних аудитов информационной безопасности (периодических или связанных с определенными событиями) должно обеспечить контроль за текущим состоянием системы мер по защите информации и, в частности, независимую проверку соответствия реального положения дел установленным правилам и требованиям.
|
|
|
При этом каждое из направлений деятельности должно постоянно совершенствоваться по мере развития организации, а конкретные задачи должны постоянно уточняться в соответствии с изменением в организационной структуре, производственных процессах или внешней среде. Так, например, если предприятие начинает выпуск продукции военного назначения параллельно с выпуском гражданской продукции, то это может потребовать изменений всех основных направлений организационной работы в сфере обеспечения информационной безопасности:
• корректировки стратегии и основных положений политики информационной безопасности (на всех ее уровнях);
• изменения организационной структуры и функциональных задач департамента информационной безопасности;
• совершенствования системы реагирования на инциденты;
• использование более совершенных методик проведения аудитов информационной безопасности.
