Читайте также:
|
|
Как видим, интеграция службы безопасности с остальными субъектами на-правлена на осуществление контроля со стороны службы безопасности, причем администраторы и разработчики должны сами принимать участие в изобретении механизмов их контроля. Этот процесс должен быть двусторонним. Известно, что бесконтрольность даже по отношению к самым доверенным лицам, провоцирует неустойчивые личности к возможным злоупотреблениям. Кроме того, создавать лестницу "проверяющих над проверяющими" также не всегда целесообразно, поскольку в этом случае верхняя служба все же находится вне контроля. На наш взгляд, наилучшим способом будет организовать возможность перекрестной проверки, скажем, контролеров (специалистов по безопасности) и администраторов, причем проверка контролерами администраторов носит характер обязанности, а проверка администраторами контролеров носит характер возможности. То есть она не входит в обязанности администраторов, но тем не менее может проводится по его усмотрению регулярно или выборочно. В данном случае важную роль играет не сама проверка, а именно ее возможность, что дисциплинирует контролирующего.
Примером может быть контроль корпоративного использования Интернета, сотрудник, который проверяет, чтобы работники организации не использовали корпоративный канал для посещения развлекательных и других, не связанныx с работой, Веб-сайтов, может также иметь доступ к Интернету. Таким образом, необходимо фиксировать его интернет-активность, который должен быть доступен на чтение, например, администратору доступа к Интернету или другому администратору. Соответственно, администратор с правами контролера в любой момент сможет проконтролировать то, как сам контролер Интернета использует вверенный ему ресурс. Очевидно, что и для проверок администратором контролера также необходимо установить определенный регламент.
Еще одним важным моментом является размещение службы информационной безопасности в структуре организации. Конкретное местоположение службы в иерархии коммерческой структуры может быть различным и зависеть от множества факторов — особенностей самого бизнеса и способов его ведения, традиций организации, местности и страны, персональных предпочтений и качеств руководителя организации, руководителя службы и многих других факторов. Однако есть вопросы, на которые стоит обратить внимание при планировании структурного размещения.
Службы информационных технологий и информационной безопасности не должны иметь принципиально различных целей, в положении о подразделениях необходимо указать взаимоподдерживающие, согласовывающие и дополняющие черты.
Подчиненность служб руководителям, находящимся в персональном конфликте, есть отрицательный фактор. Целесообразно (при существующих возможностях) размещать ключевых специалистов безопасности и администраторов в одном здании, на одном этаже, в соседних помещениях, обеспечивать совместное их участие в семинарах, обучении и т. п.
Уполномоченные специалисты службы информационной безопасности должны иметь возможность прямого обращения к руководителю организации или его ближайшему заместителю.
Важность фиксации и регистрации взаимодействия между различными службами (субъектами) организации целесообразно, как для отслеживания тенденций в исполь-зовании информационных систем, так и для анализа в рамках информационной безопасности. В качестве примера, приведем выдержки из документа — регламента оформления заявок на те или иные работы подразделения информатизации. Известно, что наиболее частый заказ на работы ИТ-подразделения идет от рядовых пользователей. Формализация этого процесса (вне зависимости — в бумажном или электронном виде) позволит оптимизировать процесс работы ИТ-подразделения и даст основу (в том числе правовую) для ряда работ службы информационной безопасности.
Дата добавления: 2015-09-11; просмотров: 26 | Поможем написать вашу работу | Нарушение авторских прав |