"И помни, что придёт пора, - и шею брей для топора…"
В.Ходасевич
"Один мальчик все время твердил, что
подразделение ИБ самый ценный актив компании. Когда случился кризис его
сократили в первую очередь..."
Е.Родыгин
Читаем: “Одним
из основных условий удовлетворения текущих и перспективных потребностей
организации банковской системы (БС) Российской Федерации (РФ) в обеспечении
информационной безопасности (ИБ) является наличие достаточных для этого
ресурсов и их эффективное использование”.
На счет
достаточности позаботится ваше руководство, а вот на счет эффективности ...
надо подумать ...
Читаем: ... “Рекомендации
к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми
ресурсами установлены в разделе 8 настоящего документа”.
и далее
... Среди основных задач и функций службы ИБ рекомендуется
рассматривать реализацию деятельности ... по следующим направлениям:
-
направление "методология";
-
направление "реализация и
сопровождение";
-
направление "контроль";
-
направление "криптографическая
защита".
Чтобы в
кризис не вылететь с работы ИБ-безопаснику требуется соотнести себя с одним или
несколькими направлениями. Надо наращивать свои компетенции по каждому из
направлений и стать незаменимым хотя бы в одном.
Разберём составляющие каждого из
направлений.
Направление
"методология"
-разработка
и согласование нормативной, регламентной документации компании в области информационной
безопасности;
-контроль
за соблюдением соответствующих законодательных и нормативных требований;
-разработка
политик, положений, рекомендаций, ориентированных как на сотрудников, так и на
высшее руководство компании.
Что делать?
-переложи
угрозы бизнесу на язык политик, регламентов, правил, порядков …;
-следи за
изменениями законодательства РФ, отраслевых и международных стандартов в
области информационной безопасности. Вовремя вноси изменения в нормативные
документы компании;
-обнови свое резюме.
Направление "реализация и
сопровождение"
-установка и развертывание СЗИ,
их эксплуатация;
-выявление
и устранение уязвимостей и своевременное обновление программного обеспечения;
-управление
доступом (включая вопросы идентификации, распределения ролей, разграничения
полномочий и доступа);
-антивирусная
защита (включая защиту серверов, рабочих станций, интернет-шлюза);
-защита
корпоративной электронной почты;
-управление
инцидентами. Реагирование на инциденты безопасности. Анализ инцидентов.
Что делать?
-недостаток
технических средств защиты информации компенсируй избыточностью
организационных. Банальное архивирование спасает от большинства возможных
проблем;
-будь на страже денежных потоков
и критически важной информации (интернет-банк, платежные системы и т.д.);
-участвуй как можно в большем
количестве проектов своей компании;
-веди историю переписки по
инцидентам – целее будешь;
-обнови свое резюме.
Направление "контроль"
-управление
рисками. Анализ рисков;
-мониторинг
событий информационной безопасности, выявление нарушителей;
-оценка,
проверка и соответствие требованиям (compliance).
Что делать?
-ищи
бреши в информационной защите компании;
-изучай законодательство
РФ, отраслевые и международные стандарты в области информационной безопасности;
-участвуй
в организации и проведении аудитов состояния уровня ИБ компании;
-уделяй
внимание описанию своих действий. Веди ежемесячную отчётность;
-обнови свое резюме.
Направление
"криптографическая защита"
-управление
и контроль функционирования технических средств защиты информации и систем
криптографической защиты информации, управление ключами;
-сегментирование
сети и защита каналов связи (включая шифрование каналов связи, VPN, SSL и
проч.);
-шифрование
передаваемой и хранимой информации (на носителях, устройствах, в базах данных,
в электронных сообщениях).
Что делать?
-ищи работы с повышенной
ответственностью;
-соблюдай регламенты;
-учи мат.часть;
-обнови свое резюме.
Что делать (итожим)?
-определяй
нужды компании в том или ином направлении;
-развивай
деятельность своей компании в выбранном направлении;
-создавай
себе определенный уровень доверия в компании, принимая взвешенные,
документально закрепленные решения. Доверие к тебе людей, определяющих бизнес
компании, важнее, чем доверие IT-шников.
-учитывай
планы развития компании. Средства защиты не должны ограничивать развитие.
-узнавай,
как начальник определяет успех твоей работы;
-занимайся
повышением осведомленности других. Люди - главный актив. Они
могут принести ИБ как максимальную пользу, так и максимальный вред…
К
сожалению, безопасность не бывает без принуждения… Поэтому каким бы ты не был
добрым, честным, порядочным и красивым, у тебя всегда будут недоброжелатели в
компании.
И в
заключение: информационная безопасность компании – недостижимая мечта, но
ощущение безопасности – полностью в твоих руках. Делай свою работу так хорошо,
как ты можешь, и от тебя никто не будет требовать подвигов на работе. Кстати,
ты обновил свое резюме?
Комментариев нет:
Отправить комментарий