- совет по безопасности ИТТ, который обычно решает междисциплинарные вопросы, дает консультации и рекомендует стратегии, одобряет политики и процедуры;
- администратор безопасности ИТТ, который связывает воедино все аспекты безопасности внутри организации.
Совет по безопасности и администратор безопасности должны иметь строго определенные и четко сформулированные обязанности и достаточные полномочия для обеспечения выполнения политики безопасности ИТТ. Организация обязана предоставить администратору безопасности четкие механизмы взаимодействия, обязанности и полномочия, а его обязанности должны быть одобрены советом по безопасности ИТТ. Выполнение этих функций может быть дополнено привлечением внешних консультантов.
Пример отношений между администратором безопасности ИТТ, советом по безопасности ИТТ и представителями других структур в рамках организации, таких как пользователи и персонал ИТТ, показан на рисунке 4. Эти отношения могут носить управленческий или функциональный характер. В представленном на рисунке 4 примере организации безопасности ИТТ показаны три организационных уровня. Они в целом вытекают из классической организационной структуры, такой как корпорация/департамент или центр/бизнес-подразделение, но могут быть легко адаптированы применительно к любой организации увеличением или уменьшением числа уровней в соответствии с потребностями организации. Малые или средние организации могут возложить на администратора безопасности ИТТ все обязанности, связанные с безопасностью. Когда обязанности объединяются, важно обеспечить сохранение соответствующего контроля и баланса, чтобы избежать концентрации в одних руках слишком большой ответственности без возможности оказывать влияние или осуществлять контроль обязанностей.
 | |
| 2195 × 2457 пикс. Открыть в новом окне | |
5.1.2 Совет по безопасности информационно-телекоммуникационных технологий
В совет по безопасности ИТТ должны входить люди, обладающие достаточной квалификацией, чтобы давать консультации и рекомендации в отношении стратегий, определять требования, формулировать политику, разрабатывать программу безопасности, проверять их выполнение и руководить администратором безопасности ИТТ. Совет может уже существовать в рамках организации или, что предпочтительнее, может быть создан отдельный совет по безопасности ИТТ. В обязанности такого совета или комитета входит:
- консультирование управляющего комитета ИТТ по вопросам стратегического планирования в сфере безопасности;
- формулирование политики безопасности ИТТ в поддержку стратегии ИТТ и согласование с управляющим комитетом по ИТТ (если существует);
- транслирование политики безопасности в программу безопасности ИТТ;
- мониторинг реализации программы безопасности ИТТ;
- анализ эффективности политики безопасности ИТТ;
- повышение осведомленности о вопросах безопасности ИТТ;
- консультирование относительно ресурсов (людских, денежных, научных и т.д.) для поддержания процесса планирования и реализации программы безопасности ИТТ;
- решение межотраслевых проблем.
Для большей эффективности совет должен включать в свой состав членов, имеющих подготовку в области безопасности и технических аспектов ИТТ, а также представителей провайдеров и пользователей ИТТ. Знания и опыт в этих сферах необходимы для разработки политики безопасности ИТТ.
5.1.3 Администратор безопасности информационно-телекоммуникационных технологий
Ответственность за безопасность ИТТ должна быть возложена на конкретного администратора. Администратор безопасности ИТТ должен играть роль центра для всех направлений безопасности ИТТ в рамках организации; тем не менее, администратор безопасности ИТТ может делегировать другому сотруднику некоторые свои полномочия. Такой сотрудник может взять на себя дополнительно обязанности администратора безопасности ИТТ, хотя в средних и крупных организациях рекомендуется организовывать специальную должность. В крупных организациях может существовать сеть администраторов для подразделений, департаментов и т.д. В качестве администраторов безопасности ИТТ и администраторов безопасности ИТТ для департаментов/подразделений предпочтительно отбирать людей с образованием в области безопасности и ИТТ. В обязанности администратора безопасности ИТТ входит:
- наблюдение за реализацией программы безопасности ИТТ;
- поддержание контакта с советом по безопасности ИТТ и администратором безопасности ИТТ и предоставление им отчетов;
- опубликование и поддержка политики безопасности ИТТ и директив;
- координация расследования инцидентов;
- управление программой осведомленности о безопасности в рамках организации;
- установление целей и критериев безопасности ИТТ, исходя из политик;
- анализ, аудит и мониторинг эффективности контроля безопасности;
- анализ, аудит и мониторинг строгого соблюдения процедур безопасности ИТТ в организации.
Служебные обязанности могут быть разделены с учетом размера организации, сложности системы безопасности и других ее значимых особенностей (см. 5.1.1).
Примеры - Делегируемые функции могут быть следующими:
а) администратор безопасности проекта ИТТ.
Отдельные проекты или системы должны иметь лиц, ответственных за безопасность, которых иногда называют администраторами безопасности проекта ИТТ. В ряде случаев такие обязанности могут быть дополнительной нагрузкой. Руководство такими администраторами должен осуществлять администратор безопасности ИТТ. Администратор безопасности ИТТ является центром всех связанных с безопасностью аспектов проекта, системы или группы систем.
Обязанности администратора безопасности проекта ИТТ включают в себя:
- поддержание контакта с администратором безопасности ИТТ и предоставление ему отчетов,
- выработку и реализацию плана безопасности для конкретного проекта,
- текущий мониторинг реализации и использования защитных мер в сфере ИТТ,
- первоначальное расследование и содействие в расследовании инцидентов;
в) администратор безопасности ИТТ.
В средних и крупных организациях, как правило, существуют функции для делегированного управления, включающие в себя:
- исполнение и применение процедур безопасности ИТТ,
- администрирование безопасности систем и сети,
- обновление специфических программ безопасности (например антивирусных программ, версий программного обеспечения), программного обеспечения,
- администрирование специфических методов контроля безопасности, например резервных копий, списка контроля доступа и т.д.
Администраторы безопасности должны иметь соответствующую подготовку для проведения специальных мероприятий и применения специальных средств защиты.
5.1.4 Пользователи информационно-телекоммуникационных технологий
Пользователи ИТТ отвечают за:
- использование ИТТ-ресурсов в соответствии с политикой, директивами и процедурами;
- защиту бизнес-активов в соответствии с политикой, директивами и процедурами безопасности ИТТ.
5.2 Организационные принципы
5.2.1 Обязательства
Для обеспечения безопасности активов организации должны существовать обязательства руководства организации в отношении обеспечения безопасности ИТТ. Любой фактически существующий или осознаваемый недостаток таких обязательств будет подрывать доверие к администратору безопасности ИТТ и значительно ослаблять защиту против угроз. Результатом поддержки сверху должна стать официально согласованная и документированная политика безопасности ИТТ, вытекающая из политики безопасности организации. Существующая конкретная политика и ее ключевые элементы должны регулярно доводиться до сведения работающих в организации на постоянной основе и по контракту и (где уместно) подчеркивать заинтересованность и поддержку руководством политики безопасности ИТТ.
Обязательства руководства организации в отношении задач безопасности включают в себя: