Информационная безопасность
Сферы ответственности
Разработка и реализация политики безопасности происходит в несколько этапов. Сущность первого этапа заключается в определении сфер ответственности. Так, разработкой политики должно заниматься руководство организации, а непосредственное обеспечение информационной безопасности должны осуществлять конкретные лица. Это могут быть как сотрудники организации, так и сторонние консультанты профессионалы. В их функции может входить определение процедур контроля и поддержания безопасности, оценка эффективности внедренных средств безопасности, расследование инцидентов и др.
Интересно, что практика аутсорсинга процедур по обеспечению информационной безопасности предприятия не является чем-то из ряда вон выходящим. По данным обзора Information Security Breaches Survey 2004, к подобной практике прибегают свыше 40%британских организаций.
Не следует забывать, что в ряде случаев, например, при использовании услуг вэб-хостинга или коллокации, проблемы безопасности тесно связаны с деятельностью поставщиков подобных сервисов. Также благодаря аутсорсингу практически для любого предприятия становятся доступными услуги специалистов самой высокой квалификации, содержать которых в штате компании является экономически нецелесообразным или попросту невозможным.
Сторонние специалисты могут привлекаться и при составлении методологии и политики, нов этом случае существенно возрастают риски (что, впрочем, характерно для аутсорсинга в сфере безопасности). Ведь в данном случае и профессионализм разработчика политики безопасности, и его репутация должны быть неопровержимыми.
