Иллюстрированный самоучитель по Development of safety

Роль отдела информационной безопасности


Отдел информационной безопасности отвечает за внедрение и сопровождение всего спектра документов, составляющих правила информационной безопасности организации. стандартов, инструкций и руководств. Этот отдел проводит обучение персонала основам безопасности и контролирует, чтобы каждый сотрудник знал свою роль в проведении политики безопасности. Короче говоря, отдел информационной безопасности обеспечивает механизмы, поддерживающие программу безопасности, намеченную политикой.

Этот отдел должен поддерживать баланс между образованием и административным принуждением. Установить такой баланс довольно сложно. В правилах безопасности для этого отдела должны быть четко определены все обязанности. Отдел должен рассматриваться как партнер в бизнесе, поскольку если он будет заниматься исключительно применением административных мер, то он будет попросту внушать страх. Страх может вызвать негативную реакцию, что будет препятствовать внедрению правил информационной безопасности.

Глава 12 "Согласование и внедрение", как видно из названия, посвящена согласованию и административным мерам как неотъемлемым компонентам обучения основам информационной безопасности. Те, кто до начала разработки правил безопасности хочет иметь больше информации о роли обучения, могут заглянуть вперед и прочитать эту главу.

Инструктаж по вопросам безопасности

Невозможно переоценить важность инструктажа и образования вообще для проведения в жизнь политики безопасности. После разъяснения предписаний политики и инструктажа всех, кого она затрагивает, касательно их роли в ее проведении, служащие будут воспринимать политику безопасности как неотъемлемую часть своей работы. Но добиться этого нелегко. Одна из проблем состоит в том, что уже более десяти лет ведущие компании-производители при выпуске своей продукции демонстрируют свою полную незаинтересованность в вопросах безопасности. В результате выпускается продукция, которая не соответствует полностью стандартам безопасности, а ее применение не позволяет эффективно реализовывать программу информационной безопасности. Эта дихотомия может сбить с толку.

Техническое обучение в области безопасности строится на развитых общественных связях. Организация могла бы нанять в отдел безопасности технически подготовленного специалиста по связям с общественностью. Это лицо занималось бы организацией переподготовки, развитием отношений отдела с пользователями и действовало бы в качестве посредника между пользователями и отделом. Используя опыт такого специаписта по связям с общественностью, можно поднять уровень пользователей в вопросах защиты информации на соответствующий требованиям отдела уровень.



Содержание раздела