Что же нужно для того, чтобы навести порядок с информационной безопасностью в вашей организации и обезопасить её от возможных утечек конфиденциальных данных? Пошаговый алгоритм выглядит следующим образом:
- Определите риски, с которыми сталкивается ваша компания
- Разработайте политики информационной безопасности
- Организуйте отдел информационной безопасности
- Обеспечьте этот отдел качественными средствами
Как видите, шаги кажутся достаточно простыми и тривиальными, но на деле это не всегда так, поэтому мы поговорим немного подробнее о каждом из них.
Определение рисков для компании, в которой никто никогда всерьез не занимался вопросами обеспечения информационной безопасности, возможность в одном варианте, а именно – с привлечением сторонней компании (чаще всего, консалтинговой), которая занимается этими вопросами профессионально. Можно, конечно, пойти другим путем, и начать с организации отдела информационной безопасности, в руководители которого найти опытного и адекватного человека. Но такие, увы и ах, на дороге не валяются, поэтому необходимо тщательно обдумать, где такого человека можно взять.
Под политиками безопасности понимается набор документов, который говорит о том, как именно компания планирует бороться со встречающимися на её пути проблемами в сферах информационной безопасности. Разработкой политик безопасности также лучше поручить заниматься компании, имеющей в этом опыт, особенно если вы хотите, чтобы ваша компания затем прошла сертификацию на соответствие международным стандартам обеспечения информационной безопасности. Впрочем, в том, чтобы над политиками безопасности работали те, кто будет трудиться и над их реализацией, есть свои плюсы – будет меньше проблем, когда дело дойдет до практики.
Теперь стоит сказать пару слов о самом отделе ИБ. Во многих компаниях принято считать, что роль службы информационной безопасности должен играть ИТ-отдел. Это худшее в данном жанре, что вообще можно придумать, поскольку ИТ-отдел чаще всего и является источником проблем в сфере ИБ. Поэтому информационной безопасностью должен заниматься только отдельный профильный отдел, причем ни в коем случае не подчиненный ИТ-отделу – в противном случае работа отдела будет парализована, а сам он быстро будет ликвидирован в силу своей бесполезности и несостоятельности.