Эффективное взаимодействие служб ИТ и СБ возможно только тогда, когда их работа друг с другом максимально формализована, и все возможные ситуации изложены в документах и инструкциях. Пусть «айтишники» и не любят инструкции, но зато СБ намного проще работать тогда, когда можно опереться в своих действиях на документы. При таком раскладе можно говорить о частичной подчиненности ИТ-отдела службе безопасности без какого-либо ущерба для выполнения им своих основных функций.
Основой всех инструкция для взаимодействия служб должна стать политика информационной безопасности организации. Это, между прочим, верно и в тех случаях, когда в организации есть специализированный отдел информационной безопасности. Каждое из подразделений, в соответствии с должностными инструкциями, должно выполнять свои функции, при этом делегируя другому подразделению только те задачи, которые находятся в его компетенции. В спорных вопросах руководители подразделений должны решать вопросы в рабочем порядке, либо же в крайних случаях прибегать к помощи более высокого руководства.
Основные задачи в сфере ИБ, решаемые каждым из отделов, должны при этом выглядеть следующим образом:
- Служба безопасности или отдел информационной безопасности:
- определение требований к защищаемым данным
- классификация в соответствии с классом защиты
- разработка методик и стратегий защиты
- осуществление контроля действий пользователей в корпоративной информационной сети и за её пределами
- реализация разработанных методик и стратегий защиты информации
- проведение аудита защищенности отдельных рабочих станций и всей организации
- разработка инструкций
- проведение инструктажа среди пользователей
- проведение зачетов по результатам инструктажа.
- ИТ-отдел:
- установка необходимых программных и аппаратных решений для обеспечения информационной безопасности
- осуществление резервного копирования данных на рабочих станциях и серверах
- восстановление данных из резервной копии
- управление паролями и их генерация
- осуществление текущего обслуживания и настройки программного и аппаратного обеспечения для обеспечения информационной безопасности.
Но даже в том случае, когда все необходимые инструкции разработаны достаточно подробно, возникает потребность в контроле взаимодействия служб СБ и ИТ со стороны высшего руководства организации. Особенно актуален этот вопрос на первых порах, когда инструкции только вступили в силу, и подразделения приспосабливаются к ним и друг к другу.
Контроль в данном случае необходим, как принято говорить в технике, неразрушающий, то есть, руководитель не должен вмешиваться в работу отделов без острой необходимости и стараться привить им привычку решать проблемы, возникающие в процессе взаимодействия друг с другом, максимально самостоятельно.
Целесообразно (по крайней мере, на первых порах) реализовать контроль в виде еженедельных отчетов руководителей соответствующих подразделений с оценкой работы друг друга. Можно предложить «айтишникам» и «безопасникам» высказывать пожелания по внесению корректировок в работу смежного отдела, с обязательной «модерацией» этих предложений руководителями соответствующих отделов.