На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 4 июль-август 2006 г.
Тема номера:
КОРПОРАТИВНЫЕ ПРОГРАММЫ ОБУЧЕНИЯ ВОПРОСАМ БЕЗОПАСНОСТИ


ТРЕБУЕТСЯ CISO

С. А. Петренко, д. т. н., А. В. Родионов


Предыдущая статьяСледующая статья

Должность директора службы информационной безопасности (Chief Information Security Officer, CISO) в российских компаниях появилась сравнительно недавно. Сейчас на этой позиции работает более 300 специалистов, однако требования, служебные обязанности и заработная плата этих людей различны. Давайте попробуем разобраться, какие задачи стоят перед CISO и какие знания им необходимы в повседневной работе для успешной карьеры.

Обязанности CISO

Каким квалификационным требованиям должен отвечать директор службы ИБ компании – CISO? Его основная задача – планирование и управление информационной безопасностью (ИБ) компании. Это предполагает, что данный сотрудник должен быть способен правильно идентифицировать остаточные информационные риски и управлять ими в соответствии с целями и задачами бизнеса компании, ее уровнем зрелости и развития. Свою специфику в эту задачу вносит сфера деятельности компании, ее размер и стоимость информационных активов.

К основным функциональным обязанностям CISO относятся:

  • разработка Стратегии информационной безопасности компании в соответствии с требованиями новой законодательной базы (законодательного Акта США SOX, Стандарта по внутреннему аудиту открытых компаний COSO, Европейского стандарта по аудиту ИТ CobiT, международных стандартов по управлению ИТ-услугами ISO 20000, международного стандарта по планированию и управлению ИБ ISO 27001, Федерального закона «О техническом регулировании», Федерального закона «О коммерческой тайне» и пр.);
  • подготовка проектов по сертификации компании и организации ее системы ИБ на соответствие требованиям SOX, ISO 27001, ISO 20000 и пр. и руководство ими;
  • планирование бюджетов, выделяемых на ИБ Компании и управление ими;
  • постановка задач по разработке политик, стандартов, технических регламентов, руководств и должностных инструкций, адекватных развитию деятельности компании, и контроль их исполнения;
  • выработка принципов классификации информационных активов компании по степени конфиденциальности и оценки их защищенности;
  • определение ролей сотрудников компании в плане доступа к конфиденциальным активам компании;
  • оценка и управление остаточными информационными рисками;
  • обучение сотрудников компании по вопросам обеспечения ИБ, проведение инструктажей и контроль их знаний и практических навыков выполнения политики безопасности;
  • консультирование менеджеров компании по вопросам управления информационными рисками;
  • согласование частной политики и отдельных регламентов безопасности среди подразделений компании;
  • участие в рабочих группах или экспертных советах для оценки рисков исполнения и развития бизнеса;
  • контроль работы служб качества, комитета внутренних аудиторов и подразделений служб автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;
  • совместная работа со службами экономической и физической безопасности в части, касающейся названных служб, например, противодействия недружественному поглощению или обеспечения конфиденциальности научно-исследовательской работы (НИОКР) или обеспечения контрольно-пропускного режима;
  • сотрудничество со службой персонала компании для проверки личных данных сотрудников при найме на работу;
  • в случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство действиями по их устранению;
  • информационное обеспечение руководства компании регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности компании, выдержками о результатах проверки выполнения политики безопасности;
  • обеспечение менеджеров компании информационной поддержкой по вопросам информационной безопасности, в частности об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и т. д.

Какие знания востребованы CISO?

Если для технических специалистов в области защиты информации учебных программ и курсов хватает, то для сферы управления информационной безопасности их не так уж и много. На отечественном рынке заметно выделяются только четыре западных программы для CISO и одна отечественная: программа тестов CISSP, программа MIS Training Institute, Lead Auditor BS ISO/IEC 27001:2005, программа SANS GIAC и программа CSO компании «АйТи».

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100