Директор по информационной безопасности: функции, обязанности, навыки

Фото © Shutterstock

Статьи по теме

• Концепция российского менеджмента «я — начальник, ты — дурак» больше не работает 327
• Личное дело сотрудника: формирование, ведение, хранение 10574
• 4 примера нематериальной мотивации менеджеров по продажам с долгосрочным действием 6383
• Как критиковать сотрудников, а в ответ слышать «спасибо» 1482
• Договор найма работника: заключение, изменение, расторжение 97

Сегодня директор по информационной безопасности — незаменимый работник на крупном предприятии. Его основная задача — организация и контроль над всем комплексом мероприятий, цель которых - предотвратить утечку конфиденциальных данных, шпионаж и информационные атаки. Благополучие компании во многом зависит от того, насколько правильно подобран человек на пост директора по информационной безопасности.

Кто такой директор по информационной безопасности

Директор по информационной безопасности должен всеми возможными способами обеспечить сохранность основных активов компании. К ним относятся деньги, базы данных клиентов, результаты интеллектуального труда и элементы бренда. Директор должен контролировать от начала до конца как разработку, так и реализацию наилучшей стратегии защиты корпоративных материалов.

Какие функции выполняет директор по информационной безопасности

Стратегическая. Создание наиболее подходящей стратегии обеспечения сохранности данных для конкретного бизнеса, внедрение новейших технологий для гарантирования более эффективного предотвращения рисков.

Консультирование. Сотрудничество с другими отделами, координация и консультирование относительно действий, связанных с потенциально опасными ситуациями при реализации различных проектов.

Защищающая. Планирование и выполнение мероприятий по защите активов с помощью анализа существующих угроз и модернизации имеющейся программы обеспечения охраны.

Техническая. Изучение новых технологий в области защиты информации и внедрение их на предприятии.

Как правило, ответственный специалист сосредоточен на охранной и технической функции, в то время как стратегическая и консультирование отходят на второй план. Между тем, руководители хотят, чтобы директор по информационной безопасности не концентрировался исключительно на технических вопросах и уделял достаточно времени генеральной политике своего направления.

• Как создать службу безопасности, которая защитит ваше предприятие

Директор по информационной безопасности и его обязанности

1. Управление деятельностью системы, гарантирующей ИБ.
2. Осуществлять контроль за установкой и функционированием техники, обеспечивающей сохранность данных.
3. Следить за правильным оформлением технической документации.
4. Консультировать и осуществлять обучение коллег в сфере ИБ.
5. Проводить мероприятия по правовой и организационной защите бизнеса.
6. Контролировать соблюдение мер по обеспечению безопасности охраняемых объектов.
7. Подбирать соответствующие ситуации средства защиты и режимы охраны.
8. Проводить проверку и оценку уровня лояльности работников предприятия.
9. Следить за безопасностью перевозки каких-либо материальных ценностей.
10. Осуществлять надзор за соблюдением контрольно-пропускного режима.
11. Анализировать уровень информационных рисков.
12. Обеспечивать регулярный мониторинг систем ИБ.
13. Разрабатывать и вводить в практику новые способы и стратегии обеспечения сохранности данных.
14. Содействовать работе правоохранительных органов в случае совершения преступлений на охраняемых объектах.
15. Организовывать мероприятия по повышению грамотности сотрудников в вопросах безопасности.
16. Планировать режим работы предприятия с целью минимизировать риски получения охраняемых сведений преступным путём.
17. Предотвращать риски неправомерного доступа к данным, являющимся секретными.
18. Оценивать обоснованность привлечения к защите фирмы служб безопасности или охранных предприятий.
19. Проводить служебные расследования в случае, если произошло разглашение секретных данных, утрата документов или ценностей фирмы.
20. Фиксировать факты нарушения требований режима безопасности со стороны работников и посетителей.
21. Принимать участие в составлении положений и регламентов, закрепляющих требования к различным аспектам деятельности предприятия в отношении ИБ (инструкции для сотрудников, правила осуществления видов работ и тд.).
22. Вносить предложения по корректировке существующих или внедрению новых мероприятий различного плана, призванных поддерживать высокий уровень информационной защиты.
23. Организовывать учёт случаев нарушений режима.

Какой директор по информационной безопасности нужен вам

Наблюдается такая тенденция, как разграничение двух должностей: директор по информационным технологиям/автоматизации и руководитель по ИБ. К этому подталкивает тот факт, что подчас интересы этих двух специалистов расходятся.

Первый должен обеспечить работоспособность и быстродействие корпоративной информационной системы, а второй - заботиться о её устойчивости в долгосрочной перспективе и максимальной защищённости. Естественно, что стремление увеличить скорость передачи данных внутри компании противоречит желанию максимально обезопасить сведения от несанкционированного доступа, которое связано с введением различных ограничений. В связи с этим многие фирмы приходят к выводу, что директор по информационной безопасности и руководитель по автоматизации должны действовать независимо друг от друга и подчиняться первому лицу компании. Таким образом, появляется возможность выработать наиболее оптимальную стратегию работы с информацией на предприятии.

Слияние подразделений

В то же время некоторые фирмы предпочитают стратегию слияния двух отделов — информационной и физической безопасности. Основанием служит ряд функций, которые они выполняют совместно: обеспечение сохранности планов развития предприятия, регулирование доступа к важным сведениям и т. д.

В частности, возможен вариант, когда на первый план в вопросе управления рисками выходит должность CPO (Chief Privacy Officer), в русской практике именуемая «заместитель директора по безопасности». При такой схеме ответственный за ИБ оказывается в подчинении не у первого лица, а у СРО.

• 5 ошибок при работе с персональными данными, за которые грозят жесткие штрафы

Какое образование должен иметь директор по информационной безопасности

Желательно, чтобы этот работник имел профильное высшее образование, то есть учился по специальности «информационная безопасность». Однако ответ на этот вопрос не является совершенно однозначным для компаний. Ещё в 2009 году были изданы приказы Министерства образования и науки Российской Федерации, содержащие федеральные государственные стандарты высшего профессионального образования (ФГОС ВПО) по направлению подготовки 090900 «информационная безопасность» с присвоением квалификации (степени) бакалавра и магистра. Предполагается, что закончив такой факультет, человек будет обладать всеми необходимыми навыками и умениями для работы в отделе ИБ. Программа обучения включает ряд общекультурных и важных профессиональных компетенций, изучение которых создаёт основу становления специалиста.

Однако эти стандарты не способны устранить все проблемы, касающиеся подготовки таких работников, как директор по информационной безопасности. Во многом причиной дефицита грамотных кадров является неправильный подход к обучению в сфере ИБ как таковому. Для появления в этой области заметных улучшений необходимо, чтобы в профессиональном сообществе сформировалась точная трактовка существующих правовых и нормативных документов.

Сейчас высшие учебные заведения во многом отстают от быстро развивающегося спроса на знания, которых ждут от выпускников современные работодатели. ВУЗы не могут оперативно корректировать свои образовательные программы и подстраиваться под сложившуюся ситуацию. Необходимо также продуманно подбирать преподавателей, способных обеспечить востребованную на сегодняшний день подготовку по специальности. Не менее важно и своевременное обновление учебных программ, грамотное планирование занятий и контроль за усвоением информации. Иными словами, существующие образовательные стандарты нуждаются в серьёзном совершенствовании, чтобы соответствовать реалиям жизни.

Работодатели также должны помнить, что «защита информации» и «информационная безопасность» — разные специальности, каждая из которых имеет свою специфику. И желательно, чтобы ответственный за это направление специалист обладал соответствующим уровнем подготовки.

На данный момент ситуация такова, что даже сотрудники с высшим образованием нуждаются в дополнительном обучении, что становится одной из важных статей расходов компаний.

Какое место занимает директор по информационной безопасности в структуре организации

В будущем станут особенно цениться специалисты по ИБ, которые в рамках своего основного вида деятельности разбираются в технических и управленческих аспектах работы предприятия.

Об этом говорят выводы многих аналитиков в данной сфере. Характерно, что половина организаций определяет ответственность за ИБ на уровне совета директоров. Кроме того, для постановки соответствующих ситуации целей в области ИБ необходимо сотрудничество с топ-менеджментом. Чтобы безопасность поддерживалась на должной высоте, руководство обеспечивает её достойным уровнем инвестирования и ресурсов.

Считается, что найти компетентного специалиста в области ИБ — задача пусть и не простая, но выполнимая. В Москве и Санкт-Петербурге есть профессионалы, обладающие необходимыми навыками. Однако директор по информационной безопасности — ключевая фигура в компании, и подобрать человека на эту должность очень сложно. Причиной этому служит, главным образом, несформированность компетенций и дефицит подготовленных кадров.

Вообще, директор по ИБ обязан с точки зрения своего профиля оценивать и контролировать все технологические и производственные риски на предприятии. В зависимости от сферы деятельности компании, её уровня прибыли, стадии развития, размера, текущей ситуации на рынке и ряда других факторов он должен определить потенциальные опасности и создать наиболее оптимальную стратегию по их нивелированию. Иными словами, работа такого директора неразрывно связана со спецификой компании и требует большого профессионализма.

Сфера деятельности и степень важности задач предполагает, что директор по информационной безопасности является частью верхнего уровня управленческой структуры компании. Он должен иметь реальные возможности для нахождения баланса между потребностями бизнеса и условиями сохранности сведений. Здесь стоит также отметить, что число информационных преступлений против компаний растёт, а технологии защиты от них и законодательные нормы усложняются с каждым годом. Соответственно, директор по ИБ должен уметь объяснить руководителям механизм функционирования охранной системы, в том числе её технические аспекты. В соответствии с этим к специалисту предъявляются серьёзные требования как в плане уровня образования, так и в отношении опыта работы. Среди других необходимых качеств называют базовые знания в сфере управления предприятием и умение мыслить стратегически. Очевидно, что ни техническая подготовка, ни обучение по специальности не даёт гарантии, что человек справится со своими обязанностями.

• Ответственность директора за использование персональных данных работников без их согласия

4 варианта включения должности «директор по информационной безопасности» в организационную структуру

Вариант 1. Включение отдела в состав ИТ-департамента

Традиционно отдел информационной безопасности является частью департамента информационных технологий. Эта схема считается классической. Данный подход характерен для большинства фирм в случае, когда система обеспечения ИБ находится на стадии становления. Такое положение объясняется тем, что одной из основных задач отдела является использование средств защиты, к которым относятся, например, межсетевые экраны или антивирусные системы.

Вариант 2. Управление непосредственно финансовым директором

Возможен вариант, когда отдел ИБ находится в подчинении у финансового директора компании. В этом случае необходимо обратить внимание на аудит информационной безопасности и координацию действий с подразделением внутреннего ИТ-контроля. Важным вопросом здесь является прохождение проверок на соответствие всем требованиям и нормативам в данной сфере. Также на базе службы ИБ может быть создана структура, выполняющая задачи ИТ-аудита, если в компании ещё нет такого отдела. В этом случае важно обеспечить непрерывность работы бизнеса.

Вариант 3. Включение отдела в состав департамента экономической безопасности

Большие предприятия также используют такую схему, при которой отдел информационной безопасности является частью департамента экономической безопасности. Здесь имеет место такое разделение функций: введением, использованием и обслуживанием различных технических средств занимается департамент информационных технологий, а вот мониторингом, аудитом и управлением доступом — отдел ИБ.

Вместе с этим к базовым задачам подразделения ИБ добавляются несколько дополнительных. Они связаны с охранной деятельностью против преступников внутри компании (инсайдеров). В этом случае для защиты применяются цензурные службы, мониторинг работы сотрудников и т. д. В период кризиса эти задачи становятся особенно актуальными. При необходимости специалисты из отдела ИБ могут принимать участие в организации систем закупок и противодействия коррупции.

Вариант 4. Подчинение непосредственно Генеральному Директору

Такой вариант возможен во многом потому, что именно генеральный директор имеет необходимые полномочия по влиянию на систему контроля и предотвращения рисков. В связи с этим некоторые фирмы предпочитают прямое подчинение структуры ИБ именно главе предприятия. При таком раскладе отдел информационной безопасности будет располагать бюджетом, обеспечение защиты данных в организации станет постоянным и т. д. Другим положительным моментом является то, что генеральный директор сможет напрямую получать необходимые отчёты о мероприятиях, проводимых в сфере охраны сведений. Вообще, преимущество этой схемы заключается в том, что она даёт возможность специалистам отдела ИБ вместе с топ-менеджментом разрабатывать стратегию по урегулированию кризисных и внештатных ситуаций, осуществлять информационную поддержку различных решений управления в области внедрения новых технологий, так или иначе касающихся сферы ИБ.