Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Вопрос эксперту
|
|
Вопрос. Старший руководящий сотрудник попросил обосновать бюджет безопасности. Каким образом это лучше сделать?
Ответ. Бюджет безопасности должен быть связан с уменьшением уровня опасности, представляемой для информации организации. Иными словами, бюджет должен четко соответствовать потенциальным результатам оценки рисков. Выделите следующие моменты.
· Во-первых, покажите, что существует опасность, которую необходимо взять под контроль или снизить. Это подтвердит актуальность и необходимость проекта.
· Во-вторых, оценка риска должна включать в себя определение потенциального ущерба, наносимого организации в случае успешного проведения атаки. Здесь речь идет о том, во сколько организации обойдется устранение последствий инцидента.
Независимо от размеров организации, должностное лицо исполнительного уровня должно нести эту ответственность. В некоторых компаниях главный специалист по финансам предоставляет соответствующие отчеты безопасности. В других компаниях эти обязанности выполняют главный специалист по безопасности информации или главный специалист по технологии.
Независимо от того, какое должностное лицо предоставляет отчеты, этот сотрудник должен понимать, что безопасность - очень важная часть его работы. Сотрудник исполнительного уровня должен иметь право на определение политики организации и проверять все политики, связанные с безопасностью организации. Этот сотрудник также должен иметь право на принуждение к использованию политики системных администраторов и сотрудников, задействованных в обеспечении физической безопасности организации.
Не предполагается, что рассматриваемый сотрудник будет выполнять ежедневные операции по администрированию и обеспечению безопасности. Эти функции могут и должны быть поручены сотрудникам отдела безопасности.
Главный специалист по безопасности организации должен разработать систему измерения, фиксирующую степень достижения целей по обеспечению безопасности. Среди измеряемых параметров могут быть число уязвимостей в системах, степень выполнения проекта безопасности или реализации соответствия рекомендациям. Измеренные параметры должны регулярно сообщаться старшему руководящему составу (как правило, ежемесячно). Данные отчеты также должны представляться совету директоров компании. Так как безопасность стала важной частью процесса управления рисками в организациях, необходимо обеспечить широкую огласку и понимание данного вопроса всеми сотрудниками компании.
|
|