4. Оцінка ефективності роботи служби захисту інформації

Один із способів оцінки результативності служби базується на технології керування ризиками, яка буде розглянута далі. Інший спосіб, який можна застосувати і не тільки для служби інформаційної безпеки, а і для любої іншої ІТ-служби, запропоновано General Services Administration”s (GSA) Office of Govermentwide Policy (США) (Бюро урядової політики по управлінню загальними службами) в книзі “ Вісім кроків до ефективного розвитку та використанню засобів вимірювання продуктивності в інформаційних технологіях».

Тим, хто здійснює контроль роботи служби інформаційної безпеки належить в першу чергу обзнайомитись із організаційною структурою установи та місцем, яке в ній посідає служба ІБ. Надалі слід посилатися на досвід перевірки роботи двох установ та підрозділів або на логічне мислення.

Якщо при проведенні перевірки виникають питання щодо доцільності організації роботи саме тим способом, який склався, необхідно отримати пояснення, на основі чого було прийняте рішення саме таке. Цілком можливо, що це обумовлено специфікою роботи установи.

Окреслимо коло питань, які необхідно визначити при формуванні служби:

• В рамках якої структури функціонує служба інформаційної безпеки;

• Кому підпорядкована служба і яким чином відбувається прийняття рішень;

• Як співвідносяться служба інформаційної безпеки та підрозділ інформаційних технологій;

• До яких інформаційних систем має доступ служба безпеки і з якими правами, як ці права співвідносяться з правами адміністратора системи;

• Які правила інформаційної безпеки для різних категорій користувачів;

• Чи приймає участь служба безпеки в розробці проектів по нових інформаційних системах.

Контрольні запитання

1. Місце служби захисту інформації в штатній структурі підприємства.

2. Які питання передують створенню служби захисту інформації?

3. Які основні завдання персоналу служби захисту інформації?

4. Як питання інформаційної безпеки пов’язані з персоналом?

5. Підпорядкованість керівництва служби захисту інформації.

6. За якими принципами відбувається узгодження рішень у сфері інформаційної безпеки?

7. В чому полягає розподіл функцій між службою захисту інформації та ІТ-підрозділом?

8. Що міститься у звітах адміністратора безпеки?

9. У чому полягає зміст технології керування ризиками?