Разработка должностных инструкций и положений

Внутренние угрозы. ИБ должна быть составной частью бизнес-процессов организации, охватывая всех сотрудников, независимо от их служебного положения. По статистике, только 20% проблем ИБ можно решить технически, остальные 80% - проблемы, связанные с персоналом компании, который намеренно или случайно совершает ошибки, ведущие к существенным потерям в бизнесе.

Обучение персонала предусматривает решение следующих вопросов: контроль доступа к корпоративным данным при найме и увольнении сотрудников, проведение регулярного обучения сотрудников установленным правилам ИБ и ознакомление с предусмотренными мерами ответственности за их нарушение.

В область эффективного менеджмента входят такие вопросы операционной безопасности, как разграничение полномочий и обеспечение функциональной взаимозаменяемости сотрудников. Операционная безопасность является объектом пристального внимания сотрудников, отвечающих за ИБ, а также внешних и внутренних аудиторов и других регулирующих организаций. Объясняется это тем, что операции, проводимые персоналом компании, должны соответствовать определенным принципам и быть прозрачными для проверок на предмет отсутствия мошенничества, преступного сговора, модификации платежных документов, разграничения функций ввода и подтверждения правильности введенной информации.

Четвертый уровень документов по обеспечению ИБ составляют документы, содержащие записи о результатах реализации деятельности по обеспечению ИБ, регламентированной документами верхних уровней. Свидетельства выполненной деятельности совместно с документами более высоких уровней иерархии могут служить документированным доказательством реализации требований ИБ при проведении внутреннего контроля и внешнего аудита ИБ организации БС РФ.

К этой группе документов относятся, например:

– реестры и описи (например, опись информационных активов организации БС РФ);

– регистрационные журналы, в том числе журналы регистрации инцидентов;

– протоколы (например, протокол проведения испытаний);

– листы ознакомления;

– обязательства (например, обязательства о неразглашении);

– акты;

– договоры;

– отчеты.

Наличие документов организации БС РФ, содержащих свидетельства выполненной деятельности по обеспечению ИБ, определяется требованиями, зафиксированными во внутренних документах по обеспечению ИБ верхних уровней иерархии.

Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, могут быть представлены как в электронной форме, так и на бумажном носителе.

Рекомендуется по возможности дублировать документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, представленные в электронной форме, на бумажный носитель.

Должно обеспечиваться архивное хранение документов, содержащих свидетельства выполненной деятельности по обеспечению ИБ. Время хранения может определяться как требованиями законодательных актов Российской Федерации и требованиями Банка России, так и требованиями самой организации БС РФ.

Итак, мы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить ИБ фирмы? может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.

Первый – оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода – его субъективизм. Хотелось бы иметь действительно независимую оценку ИБ. Причем было бы неплохо, чтобы эту количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

Другое по теме:

Управление рисками
Задача управления рисками состоит в их постоянной идентификации, анализе, оценке и поддержании на допустимом для организации уровне. Отсутствие внимания к существующим в организации информационным рискам может привести к возникновению кризисных ситуаций, потере имиджа, репутации и бизнеса в целом. ...

Перестрахование и формы его организации
Перестрахование - это тоже страхование (страховщика, который выступает в роли клиента, называют «цедент»), и формы его организации различны. Существуют как компании, занимающиеся исключительно перестрахованием, так и сочетающие обычные виды страхования с перестрахованием. Есть объединения компаний ...

Функции страхования
Функции страхования и его содержание как экономической категории органически связаны. В качестве функций экономической категории страхования можно выделить следующие: 1. Формирование специализированного страхового фонда денежных средств. 2. Возмещение ущерба и личное материальное обеспечение гражда ...