Luxe-empire.ru

Красота и Здоровье
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Администратор по обеспечению безопасности информации

Администратор по обеспечению безопасности информации

Должностные обязанности. Устанавливает разграничение полномочий пользователей и порядок доступа к информационным ресурсам, порядок использования основных и вспомогательных технических средств и систем. Проводит контроль выполнения работниками организации работ согласно перечню мероприятий по обеспечению безопасности информации, ведет учет нештатных ситуаций; информирует руководство и уполномоченных работников службы безопасности об инцидентах и попытках несанкционированного доступа к информации, элементам автоматизированных систем управления по результатам функционирования и контроля систем технической защиты информации. Осуществляет администрирование сервисами и механизмами безопасности автоматизированных систем управления, комплексами и средствами технической защиты информации и контроля; прекращает работы при несоблюдении установленной технологии обработки информации и невыполнении требований информационной безопасности; готовит предложения по совершенствованию технологических мер защиты информации. Контролирует работы по установке, модернизации и профилактике аппаратных и программных средств; созданию, учету, хранению и использованию резервных и архивных копий массивов данных и электронных документов. Принимает участие в работах по внесению изменений в программно-аппаратную конфигурацию автоматизированных систем управления и контролирует ее соответствие требованиям обеспечения безопасности информации. Ведет учет носителей информации, осуществляет их хранение, прием, выдачу ответственным исполнителям, контролирует правильность их использования.

Должен знать: законы и иные нормативные правовые акты Российской Федерации, регулирующие отношения, связанные с защитой государственной тайны и иной информации ограниченного доступа; нормативные и методические документы по вопросам, связанным с обеспечением технической защиты информации; объекты информатизации, подлежащие защите; специализацию и направления деятельности организации и ее подразделений, применяемые информационные технологии и системы, структуру управления, связи, автоматизации; средства технической разведки и методы оценки их возможностей, угрозы безопасности информации и классификацию (категории) нарушений; оснащенность объектов информатизации основными и вспомогательными техническими средствами и системами, комплексами и средствами технической защиты информации, сервисами и механизмами безопасности автоматизированных систем управления; подсистемы разграничения доступа, подсистемы обнаружения атак, подсистемы защиты от преднамеренного воздействия, контроля целостности информации, перспективы их развития и модернизации; методы оценки результатов состояния систем безопасности, выявления каналов утечки информации, контроля процесса резервирования и дублирования критичных вычислительных и информационных ресурсов; порядок работы с техническими, программными, программно-аппаратными средствами защиты информации и контроля, сервисами и механизмами безопасности автоматизированных систем управления и аудита их состояния; основы трудового законодательства; правила по охране труда и пожарной безопасности.

Требования к квалификации. Высшее профессиональное образование по специальности «Информационная безопасность» и стаж работы в должности специалиста по защите информации не менее 3 лет.

Комментарии к должности

Приведенные выше квалификационные характеристики должности «Администратор по обеспечению безопасности информации» предназначены для решения вопросов, связанных с регулированием трудовых отношений и обеспечением эффективной системы управления персоналом в различных организациях. На основе этих характеристик разрабатывается должностная инструкция администратора по обеспечению безопасности информации, содержащая права и ответственность работника, а также конкретный перечень его должностных обязанностей с учетом особенностей организации и управления деятельностью предприятия (учреждения).

При составлении должностных инструкций руководителей и специалистов необходимо учесть общие положения к данному выпуску справочника и введение с общими положениями к первому выпуску справочника должностей.

Обращаем ваше внимание на то, что одинаковые и схожие наименования должностей могут встречаться в разных выпусках ЕКС. Найти схожие названия можно через справочник должностей (по алфавиту).

Организация службы защиты информации

MVP, KL CT, MCP, CompTIA Security+

Сегодня сложно найти человека, который ни разу не слышал о происшествиях в области информационной безопасности. Все чаще и чаще мы слышим о различных угрозах в этой области. Практически не проходит и дня, чтобы не прочесть о новых атаках со стороны злоумышленников (нередко успешных, впрочем, никто не знает, сколько подобных атак по разным причинам проходит необнаруженными), вирусных эпидемиях, атаках со стороны обиженных сотрудников. Вы удивлены? А зря! Именно атаки со стороны обиженных сотрудников становятся наибольшей угрозой вашей безопасности.

Картина безрадостная. Но что же все-таки делать? Где искать выход? А выход состоит в создании выделенного высокопрофессионального подразделения – службы защиты информации или как иногда ее еще называют, службы компьютерной безопасности. Наверняка возникнет вопрос о том, зачем создавать еще одну службу. Ведь эти обязанности можно возложить на системного администратора или, в конце концов, создать отдельную единицу – администратора информационной безопасности. И подчинить его руководству подразделения ИТ.

Допустим, вы решили остановиться на одном из этих вариантов. Давайте посмотрим, к чему это приведет.

Создание подразделения

Итак, вы решили поручить системному администратору отвечать за информационную безопасность. Как правило, администратор решит, что он и так за нее отвечает, и уйдет, думая про себя, что руководство ничего в этом вопросе не понимает. Однако проблема состоит в том, что ваш администратор и так завален работой, а следовательно, на новые задачи у него нет ни сил, ни времени. Следовательно, либо задачи информационной безопасности будут отложены «на потом», либо он будет вынужден заниматься этими задачами в ущерб остальной работе. Выбирайте сами. Но вместе с тем, системный администратор, в силу своеобразного подхода к решению подобных задач будет решать их исключительно программно-техническими методами. К чему это приведет, догадаться несложно. Задача попросту решена не будет, ибо обеспечение информационной безопасности – это комплекс организационных и программно-технических мер и решить ее исключительно техническими методами невозможно.

Вариант два. Вы все же решили создать штатную должность администратора информационной безопасности в составе службы ИТ.

Да, этот вариант лучше первого. Однако и здесь есть неприятности. Ведь в таком случае деньги на защиту информации будут выделяться по остаточному принципу. Да и как вы думаете, будет руководство фирмы прислушиваться к мнению администратора безопасности? А если это мнение будет противоречить мнению руководства ИТ? Ведь очень часто предложения администратора ИБ будут «портить жизнь» службе ИТ. Как вы думаете, принципиальный и грамотный администратор ИБ надолго удержится в такой организации?

Как же быть? На самом деле, служба защиты информации в идеале должна напрямую подчиняться первому лицу в организации.

«Люди, ведающие воротами, оружием и охраной, зачастую действуют автономно от сотрудников, занимающихся ИТ, — комментирует ситуацию Крис Кристиансен, аналитик IDC. — Необходимо, однако, иметь информацию о том, кто был в здании, куда пошел, к каким информационным системам мог получить доступ. Две службы, отвечающие за безопасность, должны работать скоординировано, и тогда каждая из них станет сильнее». Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако это эволюционный процесс, и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.

Сегодня, увы, специалист в области информационной безопасности ничего не понимает в физической и наоборот. Поэтому насильственное слияние данных служб даст отнюдь не выигрыш в их работе. Если подчинить службу ИБ традиционной безопасности, то на службе ИБ будут просто экономить деньги. Зачем оплачивать непонятно что, если руководитель подразделения все равно ничего в этом не понимает?

Вместе с тем нужно заметить, что в случае подчинения службы физической безопасности службе ИБ мы получим картинку с точностью до наоборот.

Так что пока службы должны работать совместно, но не подчиняться друг другу.

При этом нельзя бездумно выдавать права службе информационной безопасности, потому что в таком случае она станет бесконтрольной. На предприятии должна быть создана устойчивая «треугольная» структура – «аудит — служба защиты информации — служба ИТ». В этом случае необходимо четко определить границы ответственности, чтобы служба безопасности (в данном случае информационной) не превратилась в никому не подвластного, все контролирующего монстра.

Читать еще:  Администратор какие предметы сдавать после 9

Как только мы говорим о средствах обеспечения информационной безопасности, все начинают вспоминать о межсетевых экранах и антивирусном ПО. Все верно, однако нельзя забывать, что всем этим управляет человек. Какое бы универсальное ПО вы ни купили, все равно нужен кто-то, кто сумеет это все настроить. Нет ничего хуже, чем антивирусное ПО с не обновляемыми базами. Каждое ПО нуждается в поддержке и настройке. Несложно посчитать, что содержание отдела ИБ из трех человек обойдется компании дешевле возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, ведь его назначение – уменьшить вероятные убытки.

«Аналитический центр InfoWatch проводил аналогичные исследования в России. Результаты оказались схожи с американскими. Мероприятия, которые предлагают ИТ-работники, не принимаются топ-менеджментом из-за кажущейся дороговизны. Решения о внедрении комплексных мер иногда блокируются на высшем уровне. Но в конечном итоге ущерб от утечек оказывается в разы больше, чем стоимость надежной системы от утечек. Те меры, которые в ИТ-подразделениях предпринимаются самостоятельно, недостаточно эффективны и не позволяют исключить внутренние инциденты», — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.

Сложность понимания проблем информационной безопасности кроется в самой природе компьютерной безопасности, ведь она ориентирована на виртуальный мир, состоящий из нулей и единиц. Это, увы, приводит к непониманию со стороны руководства компании и требует обоснования выделяемых денег на простые и понятные цели.

Но, предположим, вы сумели создать подразделение. Следующим вопросом будет – а где же найти персонал для этого подразделения. Ведь «кадры решают все».

Подбор персонала для обеспечения безопасности

Существует два возможных пути для поиска профессионалов. Первый – создание отдела ИБ за счет переподготовки и реорганизации службы ИТ. Для отражения вирусной атаки можно привлечь собственных программистов, однако их работа в этом случае останется невыполненной. И неизвестно, что обойдется дешевле — взять новый отдел или дергать своих сотрудников. «Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак». (Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America).

Многие, и автор этой статьи в их числе, считают, что нельзя отвлекать ИТ-персонал на решение задач безопасности, потому что тогда безопасность будет обеспечиваться по остаточному принципу. Ведь основное в компании – получать прибыль, а не безопасность ради безопасности.

Поиск талантливых профессионалов в области безопасности может быть весьма трудным делом, а переподготовка имеющихся кадров в области информационных технологий, новичков в области безопасности, оказывается весьма долгой и дорогостоящей. Возможен еще один вариант – привлечение внешних компаний для решения проблем безопасности. Но в этом случае вам придется доверить этой компании все свои секреты.

Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением очень велик.

Какие же можно дать рекомендации?

  1. Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
  2. Будьте готовы, что квалифицированная помощь стоит дорого.
  3. Индустрия безопасности – очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
  4. Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.

Если вы решили обучать своих ИТ-специалистов, то перед вами встают следующие вопросы:

  1. Как отбирать специалистов для работы в службе информационной безопасности?
  2. Чему учить этих специалистов?

В том случае, если вы никак не можете найти специалистов на стороне, обратите внимание на свой персонал. Наиболее подходящие кандидатуры для переучивания – это системные администраторы. Ведь они обладают гораздо большими техническими знаниями и некоторыми знаниями в области безопасности. Подумайте об их возможной переподготовке. Но учтите, что нельзя заставить человека заниматься безопасностью из-под палки. Все кандидаты должны быть добровольцами. При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности – умение общаться с людьми. Ведь эта работа связана не только и не столько с техникой и технологиями, сколько с умением заниматься организационными вопросами, составлять и даже быть немного психологом.

Разумеется, чтобы ИТ-инженеры стали специалистами по информационной безопасности, должны измениться акценты их сознания. По сути, им следует привить другие ценности: не развлекаться с ИТ-игрушками, а защищать предприятие. Вероятно, это самое сложное – научить людей мышлению охранников, защитников рубежей своего предприятия или организации.

Итак, вы получили специалистов. Что делать дальше?

А дальше их нужно учить. Причем учить несвойственным им ранее обязанностям и предметам.

В числе таких предметов должны быть:

  1. Теоретические и методологические основы защиты информации.
  2. Правовые основы защиты информации.
  3. Основы криптографии.
  4. Основы сетевой информационной безопасности.
  5. Аудит информационной безопасности.
  6. Создание организационных документов в области защиты информации (политика безопасности, правила при работе в Интернет, правила работы с электронной почтой, политика аутентификации и пр.).

Не рассчитывайте обойтись антивирусными программами, файерволами, системами обнаружения вторжений и т.д. Потому что наибольшее количество успешных атак на любую организацию – это атаки изнутри, от своих же сотрудников.

Факторы успеха

Но, предположим, вы создали подразделение, нашли хороших работников, теперь вы должны их удержать. Инструменты, признание и высокий уровень оплаты – вот основные факторы успеха.

Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование передовых инструментов, самых новых технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных «игрушек» для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).

Покажите им их значимость. Для привлечения кандидатов в качестве дополнительных стимулов предложите оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности «расцветают» от признания заслуг. Профессионалы в области безопасности могут потерять интерес к работе, если они не чувствуют поддержку руководства. Это, конечно, справедливо для любой категории сотрудников, но специалисты в области информационной безопасности имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности). Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тысяч долларов, то неразумно покупать систему безопасности за 100 тысяч.

Основной инструмент признания – высокая оплата труда. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.

Предложите сертификационные курсы. Несмотря на то, что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима как навыки и опыт, наличие сертификата по окончании курсов поднимает престиж курсов в глазах обучаемых и заставляет их относиться серьезнее к процессу обучения.

Постарайтесь, чтобы поставщики проводили обучение. Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого.

Читать еще:  Администратор пк это

Будьте в курсе событий. Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов как www.security-lab.ru , www.bugtraq.ru и многих-многих других.

Безусловно, ни одна из указанных мер не поможет, если ваши специалисты в области информационных технологий не понимают необходимости введения мер безопасности. Помните, что реально информационной безопасностью на фирме занимаются все! А служба ИБ – только контролирует, обучает и управляет усилиями пользователей.

Инструкция администратора по информационной безопасности

Инструкция администратора безопасности ИСПДн определяет должностные обязанности администратора безопасности ИСПДн.

Инструкция администратора безопасности ИСПДн разрабатывается на основании действующих нормативных документов по защите персональных данных.

  • быть утверждена руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником;
  • содержать данные о лице, которому непосредственно подчиняется администратор безопасности ИСПДн.
  • в случае уточнения обязанностей администратора безопасности ИСПДн, вследствие специфических особенностей учреждения, в инструкцию должны быть внесены соответствующие изменения.

Администратор безопасности информации назначается из числа сотрудников оператора и обеспечивает правильное использование и функционирование установленных средств защиты информации от несанкционированного доступа.

Инструкция администратора безопасности ИСПДн обычно состоит из 3 разделов: основные функции, права и обязанности администратора безопасности информационной системы персональных данных.

К должностным обязанностям администратора безопасности ИСПДн относят:

Обеспечивать правильное функционирование и поддерживать работоспособность средств и средств защиты информации от несанкционированного доступа;

В случае отказа средств защиты информации от несанкционированного доступа принимать меры по их восстановлению;

Проводить инструктаж пользователей по правилам работы на ПЭВМ, с установленными средствами защиты информации от несанкционированного доступа;

Немедленно докладывать (по подчиненности) ответственному за эксплуатацию ИСПДн, руководителю оператора или лицу, исполняющему его обязанности, о фактах и попытках несанкционированного доступа к персональным данным, о неправомерных действиях пользователей или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности ИСПДн.

Вносить изменения в документацию ИСПДн в соответствии с требованиями нормативных документов в части, касающейся средств защиты информации от несанкционированного доступа;

Проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учёт и принимать меры к их устранению;

Осуществлять не реже одного раза в неделю обновление антивирусных баз на ПЭВМ в ИСПДн;

Контролировать целостность (неизменность, сохранность) программного обеспечения, разрешительной системы доступа, а при обнаружении фактов изменения проверяемых параметров немедленно докладывать по подчинённости;

Вводить полномочия работников в разрешительную систему доступа, обеспечивать их своевременную корректировку;

Регистрировать факты выдачи внешних носителей в журнале учета выдачи внешних носителей.

Требовать от пользователей прекращения обработки информации ИСПДн при появлении информации о возможном проведении технической разведки в отношении ИСПДн.

Контролировать действия пользователей по правильности затирания информации на внешних накопителях информации т.д.

Организация службы защиты информации

MVP, KL CT, MCP, CompTIA Security+

Сегодня сложно найти человека, который ни разу не слышал о происшествиях в области информационной безопасности. Все чаще и чаще мы слышим о различных угрозах в этой области. Практически не проходит и дня, чтобы не прочесть о новых атаках со стороны злоумышленников (нередко успешных, впрочем, никто не знает, сколько подобных атак по разным причинам проходит необнаруженными), вирусных эпидемиях, атаках со стороны обиженных сотрудников. Вы удивлены? А зря! Именно атаки со стороны обиженных сотрудников становятся наибольшей угрозой вашей безопасности.

Картина безрадостная. Но что же все-таки делать? Где искать выход? А выход состоит в создании выделенного высокопрофессионального подразделения – службы защиты информации или как иногда ее еще называют, службы компьютерной безопасности. Наверняка возникнет вопрос о том, зачем создавать еще одну службу. Ведь эти обязанности можно возложить на системного администратора или, в конце концов, создать отдельную единицу – администратора информационной безопасности. И подчинить его руководству подразделения ИТ.

Допустим, вы решили остановиться на одном из этих вариантов. Давайте посмотрим, к чему это приведет.

Создание подразделения

Итак, вы решили поручить системному администратору отвечать за информационную безопасность. Как правило, администратор решит, что он и так за нее отвечает, и уйдет, думая про себя, что руководство ничего в этом вопросе не понимает. Однако проблема состоит в том, что ваш администратор и так завален работой, а следовательно, на новые задачи у него нет ни сил, ни времени. Следовательно, либо задачи информационной безопасности будут отложены «на потом», либо он будет вынужден заниматься этими задачами в ущерб остальной работе. Выбирайте сами. Но вместе с тем, системный администратор, в силу своеобразного подхода к решению подобных задач будет решать их исключительно программно-техническими методами. К чему это приведет, догадаться несложно. Задача попросту решена не будет, ибо обеспечение информационной безопасности – это комплекс организационных и программно-технических мер и решить ее исключительно техническими методами невозможно.

Вариант два. Вы все же решили создать штатную должность администратора информационной безопасности в составе службы ИТ.

Да, этот вариант лучше первого. Однако и здесь есть неприятности. Ведь в таком случае деньги на защиту информации будут выделяться по остаточному принципу. Да и как вы думаете, будет руководство фирмы прислушиваться к мнению администратора безопасности? А если это мнение будет противоречить мнению руководства ИТ? Ведь очень часто предложения администратора ИБ будут «портить жизнь» службе ИТ. Как вы думаете, принципиальный и грамотный администратор ИБ надолго удержится в такой организации?

Как же быть? На самом деле, служба защиты информации в идеале должна напрямую подчиняться первому лицу в организации.

«Люди, ведающие воротами, оружием и охраной, зачастую действуют автономно от сотрудников, занимающихся ИТ, — комментирует ситуацию Крис Кристиансен, аналитик IDC. — Необходимо, однако, иметь информацию о том, кто был в здании, куда пошел, к каким информационным системам мог получить доступ. Две службы, отвечающие за безопасность, должны работать скоординировано, и тогда каждая из них станет сильнее». Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако это эволюционный процесс, и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.

Сегодня, увы, специалист в области информационной безопасности ничего не понимает в физической и наоборот. Поэтому насильственное слияние данных служб даст отнюдь не выигрыш в их работе. Если подчинить службу ИБ традиционной безопасности, то на службе ИБ будут просто экономить деньги. Зачем оплачивать непонятно что, если руководитель подразделения все равно ничего в этом не понимает?

Вместе с тем нужно заметить, что в случае подчинения службы физической безопасности службе ИБ мы получим картинку с точностью до наоборот.

Так что пока службы должны работать совместно, но не подчиняться друг другу.

При этом нельзя бездумно выдавать права службе информационной безопасности, потому что в таком случае она станет бесконтрольной. На предприятии должна быть создана устойчивая «треугольная» структура – «аудит — служба защиты информации — служба ИТ». В этом случае необходимо четко определить границы ответственности, чтобы служба безопасности (в данном случае информационной) не превратилась в никому не подвластного, все контролирующего монстра.

Как только мы говорим о средствах обеспечения информационной безопасности, все начинают вспоминать о межсетевых экранах и антивирусном ПО. Все верно, однако нельзя забывать, что всем этим управляет человек. Какое бы универсальное ПО вы ни купили, все равно нужен кто-то, кто сумеет это все настроить. Нет ничего хуже, чем антивирусное ПО с не обновляемыми базами. Каждое ПО нуждается в поддержке и настройке. Несложно посчитать, что содержание отдела ИБ из трех человек обойдется компании дешевле возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, ведь его назначение – уменьшить вероятные убытки.

Читать еще:  Администратор ресторана обучение

«Аналитический центр InfoWatch проводил аналогичные исследования в России. Результаты оказались схожи с американскими. Мероприятия, которые предлагают ИТ-работники, не принимаются топ-менеджментом из-за кажущейся дороговизны. Решения о внедрении комплексных мер иногда блокируются на высшем уровне. Но в конечном итоге ущерб от утечек оказывается в разы больше, чем стоимость надежной системы от утечек. Те меры, которые в ИТ-подразделениях предпринимаются самостоятельно, недостаточно эффективны и не позволяют исключить внутренние инциденты», — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.

Сложность понимания проблем информационной безопасности кроется в самой природе компьютерной безопасности, ведь она ориентирована на виртуальный мир, состоящий из нулей и единиц. Это, увы, приводит к непониманию со стороны руководства компании и требует обоснования выделяемых денег на простые и понятные цели.

Но, предположим, вы сумели создать подразделение. Следующим вопросом будет – а где же найти персонал для этого подразделения. Ведь «кадры решают все».

Подбор персонала для обеспечения безопасности

Существует два возможных пути для поиска профессионалов. Первый – создание отдела ИБ за счет переподготовки и реорганизации службы ИТ. Для отражения вирусной атаки можно привлечь собственных программистов, однако их работа в этом случае останется невыполненной. И неизвестно, что обойдется дешевле — взять новый отдел или дергать своих сотрудников. «Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак». (Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America).

Многие, и автор этой статьи в их числе, считают, что нельзя отвлекать ИТ-персонал на решение задач безопасности, потому что тогда безопасность будет обеспечиваться по остаточному принципу. Ведь основное в компании – получать прибыль, а не безопасность ради безопасности.

Поиск талантливых профессионалов в области безопасности может быть весьма трудным делом, а переподготовка имеющихся кадров в области информационных технологий, новичков в области безопасности, оказывается весьма долгой и дорогостоящей. Возможен еще один вариант – привлечение внешних компаний для решения проблем безопасности. Но в этом случае вам придется доверить этой компании все свои секреты.

Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением очень велик.

Какие же можно дать рекомендации?

  1. Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
  2. Будьте готовы, что квалифицированная помощь стоит дорого.
  3. Индустрия безопасности – очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
  4. Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.

Если вы решили обучать своих ИТ-специалистов, то перед вами встают следующие вопросы:

  1. Как отбирать специалистов для работы в службе информационной безопасности?
  2. Чему учить этих специалистов?

В том случае, если вы никак не можете найти специалистов на стороне, обратите внимание на свой персонал. Наиболее подходящие кандидатуры для переучивания – это системные администраторы. Ведь они обладают гораздо большими техническими знаниями и некоторыми знаниями в области безопасности. Подумайте об их возможной переподготовке. Но учтите, что нельзя заставить человека заниматься безопасностью из-под палки. Все кандидаты должны быть добровольцами. При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности – умение общаться с людьми. Ведь эта работа связана не только и не столько с техникой и технологиями, сколько с умением заниматься организационными вопросами, составлять и даже быть немного психологом.

Разумеется, чтобы ИТ-инженеры стали специалистами по информационной безопасности, должны измениться акценты их сознания. По сути, им следует привить другие ценности: не развлекаться с ИТ-игрушками, а защищать предприятие. Вероятно, это самое сложное – научить людей мышлению охранников, защитников рубежей своего предприятия или организации.

Итак, вы получили специалистов. Что делать дальше?

А дальше их нужно учить. Причем учить несвойственным им ранее обязанностям и предметам.

В числе таких предметов должны быть:

  1. Теоретические и методологические основы защиты информации.
  2. Правовые основы защиты информации.
  3. Основы криптографии.
  4. Основы сетевой информационной безопасности.
  5. Аудит информационной безопасности.
  6. Создание организационных документов в области защиты информации (политика безопасности, правила при работе в Интернет, правила работы с электронной почтой, политика аутентификации и пр.).

Не рассчитывайте обойтись антивирусными программами, файерволами, системами обнаружения вторжений и т.д. Потому что наибольшее количество успешных атак на любую организацию – это атаки изнутри, от своих же сотрудников.

Факторы успеха

Но, предположим, вы создали подразделение, нашли хороших работников, теперь вы должны их удержать. Инструменты, признание и высокий уровень оплаты – вот основные факторы успеха.

Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование передовых инструментов, самых новых технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных «игрушек» для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).

Покажите им их значимость. Для привлечения кандидатов в качестве дополнительных стимулов предложите оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности «расцветают» от признания заслуг. Профессионалы в области безопасности могут потерять интерес к работе, если они не чувствуют поддержку руководства. Это, конечно, справедливо для любой категории сотрудников, но специалисты в области информационной безопасности имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности). Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тысяч долларов, то неразумно покупать систему безопасности за 100 тысяч.

Основной инструмент признания – высокая оплата труда. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.

Предложите сертификационные курсы. Несмотря на то, что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима как навыки и опыт, наличие сертификата по окончании курсов поднимает престиж курсов в глазах обучаемых и заставляет их относиться серьезнее к процессу обучения.

Постарайтесь, чтобы поставщики проводили обучение. Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого.

Будьте в курсе событий. Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов как www.security-lab.ru , www.bugtraq.ru и многих-многих других.

Безусловно, ни одна из указанных мер не поможет, если ваши специалисты в области информационных технологий не понимают необходимости введения мер безопасности. Помните, что реально информационной безопасностью на фирме занимаются все! А служба ИБ – только контролирует, обучает и управляет усилиями пользователей.

Ссылка на основную публикацию
Adblock
detector