Об управлении информационной безопасностью
«Работы по технической и криптографической защите информации у собственника (владельца) информационной системы могут выполняться: подразделением защиты информации или иным подразделением (должностным лицом), ответственным за обеспечение защиты информации» указано в ПОЛОЖЕНИИ о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденном Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 в редакции Приказа № 195 от 12.11.2021.
При исполнении этого требования руководители предприятий (организаций) часто делают одну из двух ошибок: либо подчиняют подразделение защиты информации тому же руководителю, которому подчиняется ИТ-подразделение, либо назначают из состава ИТ-подразделения должностное лицо, ответственное за обеспечение защиты информации.
В первом случае куратор ИБ- и ИТ-подразделения при конфликте интересов будет вынужден делать выбор между доступностью ИТ-сервисов (зона ответственности ИТ-подразделения) и безопасностью.
Во втором случае ответственный за ИБ является подчиненным начальника ИТ-подразделения.
Поскольку ИБ- и ИТ-подразделение решают разные задачи, то в обоих случаях будет страдать информационная безопасность предприятия (организации).
Именно поэтому в ходе аудитов ИБ и проектирования систем защиты информации мы рекомендуем руководителям предприятий (организаций) не подчинять ИБ- и ИТ-подразделение одному куратору.
В тех случаях, когда ответственность за обеспечение ИБ возлагается на должностное лицо, то это лицо не должно быть работником ИТ-подразделения.
Как правило, при разработке Политики информационной безопасности мы предлагаем предприятию (организации) трехуровневую структуру управления информационной безопасностью: высшее руководство (ставит задачи по обеспечению ИБ) -> ответственный за ИБ (осуществляет мониторинг состояния ИБ и информирование высшего руководства) -> функциональное руководство (выполняет задачи по обеспечению ИБ).