Разработка должностных инструкций и положений

Внутренние угрозы. ИБ должна быть составной частью бизнес-процессов организации, охватывая всех сотрудников, независимо от их служебного положения. По статистике, только 20% проблем ИБ можно решить технически, остальные 80% - проблемы, связанные с персоналом компании, который намеренно или случайно совершает ошибки, ведущие к существенным потерям в бизнесе.

Обучение персонала предусматривает решение следующих вопросов: контроль доступа к корпоративным данным при найме и увольнении сотрудников, проведение регулярного обучения сотрудников установленным правилам ИБ и ознакомление с предусмотренными мерами ответственности за их нарушение.

В область эффективного менеджмента входят такие вопросы операционной безопасности, как разграничение полномочий и обеспечение функциональной взаимозаменяемости сотрудников. Операционная безопасность является объектом пристального внимания сотрудников, отвечающих за ИБ, а также внешних и внутренних аудиторов и других регулирующих организаций. Объясняется это тем, что операции, проводимые персоналом компании, должны соответствовать определенным принципам и быть прозрачными для проверок на предмет отсутствия мошенничества, преступного сговора, модификации платежных документов, разграничения функций ввода и подтверждения правильности введенной информации.

Четвертый уровень документов по обеспечению ИБ составляют документы, содержащие записи о результатах реализации деятельности по обеспечению ИБ, регламентированной документами верхних уровней. Свидетельства выполненной деятельности совместно с документами более высоких уровней иерархии могут служить документированным доказательством реализации требований ИБ при проведении внутреннего контроля и внешнего аудита ИБ организации БС РФ.

К этой группе документов относятся, например:

– реестры и описи (например, опись информационных активов организации БС РФ);

– регистрационные журналы, в том числе журналы регистрации инцидентов;

– протоколы (например, протокол проведения испытаний);

– листы ознакомления;

– обязательства (например, обязательства о неразглашении);

– акты;

– договоры;

– отчеты.

Наличие документов организации БС РФ, содержащих свидетельства выполненной деятельности по обеспечению ИБ, определяется требованиями, зафиксированными во внутренних документах по обеспечению ИБ верхних уровней иерархии.

Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, могут быть представлены как в электронной форме, так и на бумажном носителе.

Рекомендуется по возможности дублировать документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, представленные в электронной форме, на бумажный носитель.

Должно обеспечиваться архивное хранение документов, содержащих свидетельства выполненной деятельности по обеспечению ИБ. Время хранения может определяться как требованиями законодательных актов Российской Федерации и требованиями Банка России, так и требованиями самой организации БС РФ.

Итак, мы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить ИБ фирмы? может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.

Первый – оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода – его субъективизм. Хотелось бы иметь действительно независимую оценку ИБ. Причем было бы неплохо, чтобы эту количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

Другое по теме:

Деятельность по управлению ценными бумагами
Деятельность по управлению ценными бумагами — это осуществление юридическим лицом от своего имени за вознаграждение в течение определенного срока доверительного управления переданными ему во владение и принадлежащими другому лицу в интересах этого лица или указанных этим лицом третьих лиц: ценными ...

Формы ссудных счетов
Методы кредитования - это способы выдачи и погашения кредита в соответствии с принципами кредитования, определяющие характер связи движения кредита с процессом кругооборота фондов и заёмщика. В международной банковской практике существует: -метод индивидуального выделения кредита (ссуда выдаётся на ...

Рекомендации по осуществлению контроля со стороны органов управления за организацией деятельности кредитной организации
1.4.1 К компетенции совета директоров (наблюдательного совета) рекомендуется отнесение следующих вопросов – создание и функционирование эффективного внутреннего контроля; – регулярное рассмотрение на своих заседаниях эффективности внутреннего контроля и обсуждение с исполнительными органами кредитн ...