Разработка должностных инструкций и положений

Внутренние угрозы. ИБ должна быть составной частью бизнес-процессов организации, охватывая всех сотрудников, независимо от их служебного положения. По статистике, только 20% проблем ИБ можно решить технически, остальные 80% - проблемы, связанные с персоналом компании, который намеренно или случайно совершает ошибки, ведущие к существенным потерям в бизнесе.

Обучение персонала предусматривает решение следующих вопросов: контроль доступа к корпоративным данным при найме и увольнении сотрудников, проведение регулярного обучения сотрудников установленным правилам ИБ и ознакомление с предусмотренными мерами ответственности за их нарушение.

В область эффективного менеджмента входят такие вопросы операционной безопасности, как разграничение полномочий и обеспечение функциональной взаимозаменяемости сотрудников. Операционная безопасность является объектом пристального внимания сотрудников, отвечающих за ИБ, а также внешних и внутренних аудиторов и других регулирующих организаций. Объясняется это тем, что операции, проводимые персоналом компании, должны соответствовать определенным принципам и быть прозрачными для проверок на предмет отсутствия мошенничества, преступного сговора, модификации платежных документов, разграничения функций ввода и подтверждения правильности введенной информации.

Четвертый уровень документов по обеспечению ИБ составляют документы, содержащие записи о результатах реализации деятельности по обеспечению ИБ, регламентированной документами верхних уровней. Свидетельства выполненной деятельности совместно с документами более высоких уровней иерархии могут служить документированным доказательством реализации требований ИБ при проведении внутреннего контроля и внешнего аудита ИБ организации БС РФ.

К этой группе документов относятся, например:

– реестры и описи (например, опись информационных активов организации БС РФ);

– регистрационные журналы, в том числе журналы регистрации инцидентов;

– протоколы (например, протокол проведения испытаний);

– листы ознакомления;

– обязательства (например, обязательства о неразглашении);

– акты;

– договоры;

– отчеты.

Наличие документов организации БС РФ, содержащих свидетельства выполненной деятельности по обеспечению ИБ, определяется требованиями, зафиксированными во внутренних документах по обеспечению ИБ верхних уровней иерархии.

Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, могут быть представлены как в электронной форме, так и на бумажном носителе.

Рекомендуется по возможности дублировать документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, представленные в электронной форме, на бумажный носитель.

Должно обеспечиваться архивное хранение документов, содержащих свидетельства выполненной деятельности по обеспечению ИБ. Время хранения может определяться как требованиями законодательных актов Российской Федерации и требованиями Банка России, так и требованиями самой организации БС РФ.

Итак, мы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить ИБ фирмы? может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.

Первый – оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода – его субъективизм. Хотелось бы иметь действительно независимую оценку ИБ. Причем было бы неплохо, чтобы эту количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

Другое по теме:

Сущность и принципы функционирования ЦБ РФ
Принцип независимости – ключевой элемент статуса Центрального Банка Российской Федерации. Банк России обладает экономической и политической независимостью от исполнительных органов государственной власти. Его экономическая независимость проявляется в организационном, финансовом и политическом аспек ...

Направления развития платежной системы РФ
В последнее десятилетие ХХ века произошла кардинальная переориентация взглядов экономистов на систему расчетов: от инфраструктуры, выполняющей чисто технические (механические) функции, до базового элемента экономики. Как следствие, вопросы организации системы расчетов стали предметом оживленной дис ...

Организационное устройство ЗАО «Банк Азии»
ЗАО "Банк Азии" образован 10 февраля 1998 года (лицензия № 42 от 17 ноября 1998 года) и зарегистрирован как субъект Свободной Экономической Зоны «Бишкек». ЗАО "Банк Азии" - один из немногих банков в Кыргызской Республике, созданных со 100% участием иностранного капитала. Основно ...