Контакты
Подписка 2024

Способы организации подразделений

Лев Палей, 21.05.19

 

 

Lev Paley_280Довольно редко говорят о способах организации подразделений, обеспечивающих защиту информации. Среди наиболее часто встречающихся примеров можно указать: делегирование полномочий по эксплуатации в другое подразделение и выпестовывание контрольных функций, направленных на обеспечение соответствия (аудит, compliance). При этом размер организации задает еще несколько параметров: иерархичность (учитывает принятый стиль управления), способ взаимодействия (рекомендации, стандартизация, прямое воздействие), зависящий от формы управляемых компанией объектов (филиалы, ДЗО и пр.) и собственно количество защищаемых объектов и пользователей. Все эти параметры напрямую влияют на количество ресурсов (бюджет/количество работников), которыми управляет руководитель службы ИБ. А чтобы он не просто руками водил (или разводил), каждым таким руководителем применяются инструменты управления проектами и командой. А так как в этой области есть большое количество стандартов, грех не обратиться к ним.

К примеру, обсуждаемая с подачи многих интеграторов (или, как сейчас модно говорить, сервис-провайдеров) тема аутсорсинга услуг в области обеспечения ИБ давно признана понятной и эффективной в ИТ-среде. Есть формулы, подходы, позволяющие рассчитать предполагаемую выгоду и прогнозируемый эффект. При этом в ITIL есть область, касающаяся управления поставщиками, которая в проекции на наши реалии и законодательные ограничения трансформируется в управление сервис-контрактами.

Интересна форма управления ИБ, предполагающая сочетание нескольких сервис-провайдеров для полноценного делегирования основных функций обеспечения ИБ. В зависимости от принятой формы по-разному выглядят механизмы управления.

  1. Руководитель службы, обеспечивающей все этапы, – классический управленец, нацеленный на многие аспекты обеспечения ИБ. Основной инструмент – знания и классические методы управления.
  2. Руководитель подразделения с контрольными функциями, в основном обеспечивает контроль и соответствие, делегируя остальные функции. Инструментарий базируется на контролях, описанных в документах, принятой методологии проверки таких контролей.
  3. Менеджер сервис-контрактов, опирается на SLA, прописанный в договорах. Самый приземленный и приближенный к проектной деятельности управленец, ориентируется на качество выполнения заданных договором обязательств.
Темы:Колонка экспертаСО ЕЭСЛев ПалейУправление

Еще темы...