Тема второй статьи: «Информационная безопасность: кто защищает»?

Тема второй статьи: «Информационная безопасность: кто защищает»?
Сегодня я расскажу о том, кто эти люди, которые занимаются вопросами обеспечения информационной безопасности в организации, кто должен решать вопросы и принимать меры, а самое главное, в каком объеме?

Согласно Единому квалифицированному справочнику должностей руководителей, специалистов и служащих, утвержденному приказом Минздравсоцразвития РФ от 22.04.2009 N 205, вопросами обеспечения информационной безопасности должны заниматься специалисты по технической защите информации.

Кто они? Что должны знать и уметь такие специалисты?
Специалист по технической защите информации или администратор информационной безопасности – это человек, обладающий навыками администрирования различных программных продуктов, информационных систем и оборудования компании. Также этот человек должен обладать знаниями в области защиты информации, чтобы применять их на практике. Именно от его профессионализма зависит качество построенной системы безопасности. Поэтому при подготовке или подборе такого специалиста необходимо обратить внимание на его опыт работы и образование. Здесь недостаточно просто технических знаний, необходимо повышать квалификацию на специализированных курсах или получать высшее образование по направлению «Информационная безопасность».
Что делать, если у нас небольшая организация и мы не можем позволить себе иметь в штате выделенного специалиста? Существует два выхода из сложившейся ситуации.

Первый, разделить полномочия между своими сотрудниками смежных направлений:
• Кадровик – отвечает за обработку и хранение персональных данных сотрудников организации, разрабатывает и доводит до сведения сотрудников приказы и положения в этой области;
• Бухгалтер – отвечает за сохранность финансовой информаций в организации, за передачу информации в госорганы (отчетность), за ее сохранность;
• Юрист – разрабатывает различные положения и регламенты, касающиеся правил работы с защищаемой конфиденциальной информацией в соответствии с требованиями законодательства,
• ИТ-специалист – занимается вопросами разграничения доступа информации на техническом и технологическом уровне, отвечает за технические и программные средства защиты информации, их правильную настройку и работоспособность, принимает участие в расследовании инцидентов безопасности;
• служба охраны и т.д. – пропуск на территорию, физическая охрана помещений и оборудования.

В таком случае, роль координатора необходимо будет взять на себя руководителю организации или его заместителю. Это не очень хороший подход, так как руководителю необходимо будет вникнуть в суть процесса обеспечения безопасности информации, зачастую у него нет на это времени. Также возможны сложности с разграничением полномочий и ответственности: когда решение вопросов зависит от множества разных людей, он всегда затягивается. Получится как в известной басне: «А воз и ныне там…»

Второй способ, предать вопросы обеспечения защиты информации на аутсорсинг. То есть заключить договор на обслуживание и проведение мероприятий со специализированной организацией. В таком случае, вам будет необходим один ответственный специалист от вашей компании, который будет взаимодействовать с организацией-аутсорсером. В данном случае ответственность за реализуемые меры защиты и возможные инциденты несет согласно договору именно аутсорсер.

Многие скажут, что это дорого. Хотелось бы отметить, что возложение дополнительных обязанностей на специалистов своей компании влечет за собой и дополнительную оплату, так как это всегда сверхнагрузка. Если посчитать, во сколько обойдется возложение новых полномочий и ответственности внутри сотрудников компании, стоимость оплаты за переработки и т.д., то получится, что заключить договор аутсорсинга гораздо выгоднее.

Хотелось бы напомнить следующий момент, специалист по защите информации должен быть высококвалифицированным, в противном случае организация рискует очень многим: финансами, репутацией, и вообще, бизнесом. Именно от его работы зависит насколько качественно будут защищены информационные ресурсы организации: 1С, в которой бухгалтер готовит отчетность, кадровые системы, где кадровик обрабатывает и хранит персональные данные, различные биллинговые системы, сайты и интернет-магазины.

Стоимость такого обучения варьируется от 20 до 160 тысяч рублей, а это немаленькая сумма с учетом того, что повышать свою квалификацию специалист должен раз в три года, а с учетом изменений в нашем законодательстве и того чаще.

Для тех, кто еще думает какой способ ему выбрать, привожу таблицу плюсов и минус обоих способов:

Самостоятельная работа

Привлечение аутсорсера

+

-

+

-

Сотрудники

всегда «под рукой»

Затраты на обучение сотрудников, на оплату сверхнагрузки

Экономично

Необходимо заключить договор

Проведение работ своими силами

Необходимо отслеживать изменения в законодательстве

Большой штат высококвалифицированных специалистов

Необходимо назначить ответственное лицо от компании

Никто не узнает наши секреты

Сотрудники могут халатно отнестись к работе

Наличие необходимых лицензий и аккредитаций

Условная экономия

Низкая скорость работы, так как сотрудники занимаются вопросами защиты информации в последнюю очередь

Высокая скорость работы и реакции на заявки клиента и изменения законодательства

Сложно координировать и отслеживать выполнение поставленных задач

Легко координировать и строить работу

Никто ни за что

не отвечает

Определена ответственность согласно заключенному договору


В следующей статье мы будем рассматривать ответ на вопрос: как выбрать организацию-аутсорсера?

Автор: Эльмира Гатиятуллина,
Заместитель генерального директора
по информационной безопасности
 ГК "Такснет"

Другие статьи