Структура отдела информационной безопасности

Главная — Информационная безопасность — Основы ИБ — Документы по информационной безопасности — Инструкции по информационной безопасности — Служба информационной безопасности — Структура отдела информационной безопасности

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Для того чтобы обеспечить защиту информации на предприятии недостаточно возложить функцию обеспечения информационной безопасности на специалиста из отдела IT. Необходимо создать отдельное управление или департамент информационной безопасности.

Отдел ИБ и его основные задачи

Под управлением информационной безопасности понимается обособленное структурное подразделение, главной функцией которого является защита информационных ресурсов предприятия.

Основные задачи:

организовать комплексную охрану информационных ресурсов;
координировать работу по обеспечению безопасности;
контролировать соблюдению принятых охранных мер персоналом;
оценивать эффективность методов информационной безопасности;
готовить документы по охране данных на всех уровнях;
внедрять средства защиты данных и обеспечивать их правильную работу;
администрировать информационные системы.

Задачи ИБ-департаментов могут различаться в зависимости от:

имеющихся угроз;
отношения руководства к организации защиты конфиденциальных данных;
роли систем информации в бизнес-процессах;
задач IT-отдела;
объема финансирования на информационную безопасность со стороны руководства.

Маленьким предприятиям бывает достаточного одного специалиста по защите информации. Некоторые собственники бизнеса предпочитают привлекать специалистов со стороны, имеющих достаточный уровень знаний и опыт работы.

Служба ИБ на предприятии

Некоторые руководители не спешат создавать отдельное структурное подразделение, чтобы обеспечить информационную безопасность. И нагружают дополнительной работой программистов либо нанимают специалиста им в помощь. Отдача от такого сотрудничества будет минимальной. Необходимо понимать, что работа системного администратора и специалиста по информационной безопасности – это абсолютно разные, хотя и взаимосвязанные между собой, направления. Защита данных включает не только сохранность систем и баз, но и работу с персоналом, ограничение доступа на территорию, физическую охрану, обеспечение комфортного психологического климата и многое другое.

У сисадмина свои обязанности. Охрана информации, внедрение средств защиты данных будут у него не в приоритете. Да и на эти задачи может попросту не хватать времени.

Можно нанять ИБ-сотрудника и в отдел «охранников». Но тогда проблемой может стать недопонимание между начальником данного управления и его подчиненным. Чаще всего люди, занимающиеся охраной объекта, далеки от технологий и компьютерных разработок.

Служба, обеспечивающая сохранность секретных сведений, должна тесно сотрудничать с программистами и охранной службой предприятия (имеется в виду физическая охрана помещений, территории и сотрудников). Но подчиняться сотрудники управления ИБ должны напрямую руководителю компании или одному из его заместителей. Только таким образом удастся добиться максимальной эффективности в работе.

Как подобрать сотрудников

Недостаточно создать структурное подразделение и ввести новые должности в штатное расписание. Нужно еще подобрать профессионалов для замещения вакансий. Можно переобучить уже имеющихся IT-специалистов. Об этом уже было упоминание в тексте – подобное решение нецелесообразно. Но лучше не отвлекать сотрудников от основной работы и нагружать их дополнительными обязанностями. А набрать новый штат работников. Или для начала хотя бы одного специалиста.

Он должен знать:

правовые основы защиты данных;
основы информационной защиты (теория, методы, средства);
аудит ИБ;
основы криптографии.

Документальное обеспечение (инструкции, правила работы с определенными сервисами, разработка политики безопасности и т.п.) также относится к обязанностям отдела или специалиста по ИБ.

Хороший специалист в области информационной безопасности – большая редкость. А на должность начальника отдела необходим человек не только с нужными знаниями, но и с опытом управления людьми.

Поэтому популярностью пользуется аутсорсинг, когда обеспечением безопасности конфиденциальных сведений занимается сторонняя организация, которая специализируется в данном направлении.

Функции сотрудников управления ИБ

Функциональные обязанности сотрудников управления ИБ можно условно разделить на несколько групп:

формирование и документальное обеспечение политики ИБ;
разработка, внедрение средств защиты информации;
администрирование информационных систем, установка программных средств защиты, генерирование паролей и т.д.;
контроль ввоза и вывоза материалов, готовой продукции, документов;
контроль выполнения требований по защите конфиденциальных сведений;
охрана территории и персонала;
проведение аудита, в том числе сотрудничество со сторонними организациями;
проверка соблюдения режима работы и правил внутреннего распорядка;
организация пропускного режима;
взаимодействие с органами правопорядка.

Основные обязанности специалистов по защите информационных технологий:

разработка и реализация единой политики ИБ, контроль ее исполнения;
организация безопасного документооборота с использованием криптографии;
внедрение мер информационной безопасности на каждом рабочем месте в головном офисе и филиалах предприятия, подведомственных подразделениях, дочерних компаниях;
предупреждение и выявление утечек данных и других угроз;
обезвреживание кибератак;
создание комфортного психологического климата среди персонала, мотивация людей к выполнению требований службы ИБ.

Перечень функций и обязанностей службы ИБ наглядно показывает, насколько работа безопасника отличается от работы программиста или службы охраны.

Трудности в работе отдела ИБ

Основной проблемой является непонимание руководством важности работы по обеспечению информационной безопасности. Добиться финансирования проектов достаточно сложно, так как безопасники и айтишники разговаривают с обычными людьми на разных языках.

Управление не приносит предприятию прямой прибыли, оно работает в направлении минимизации убытков. Оценить продуктивность работы специалистов бывает сложно.

Руководству предприятия необходимо четко понимать, что работа службы информационной безопасности позволяет сохранить денежные средства, которые можно потерять в результате хакерских атак, распространения секретных сведений, потери ценных кадров, мести обиженных сотрудников и т.д.

В обязанности управления, обеспечивающего информационную безопасность предприятия, входит обучение всего персонала основам защиты информации при исполнении своих должностных обязанностей. И контроль выполнения установленных правил. Один специалист и даже целый отдел ничего не смогут сделать без успешного взаимодействия со всеми подразделениями организации.

ИБ-специалисты – это в первую очередь аудиторы, организаторы, координаторы – одним словом управленцы, а не исполнители. Профессионалы в области ИБ обходятся предприятию недешево. Но и закрывать вакансию некомпетентным сотрудником, только для того, чтобы на него можно было в случае чего «повесить всех собак», смысла нет. Нужно также понимать, что информационная безопасность должна обеспечиваться не сотрудниками одноименного управления, а всем персоналом предприятия.

17.06.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.