Выясняем сферы ответственности
Очень значимый случай произошел в Альфа-банке (http://www.securitylab.ru/news/365337.php), он показывает что бывает, когда скрининг персонала (проверка службой безопасности и/или психологическое тестирование HR-ом) осуществляется только при приеме на работу и не учитывает случаи смены должности или департамента внутри Банка. Этот случай также показывает как в этом Банке реализован контроль – на уровне повседневных действий ИТ-персонала (и выявляется соответствующей группой их контролирующей), или по факту фиксации убытка (группой борьбы с банковским мошенничеством, финансового контроля, СВК или рисками). Не факт, что в последнем случае вам удастся что-либо расследовать, если не определены необходимые события для журналирования, срок их хранения и меры защиты (в том числе от ИТ-администраторов этих систем) – не надейтесь что ИТ вам в этом поможет по собственной инициативе.
Одной из первых задач до основных действий по внедрению СМИБ должно стать написание документа "Распределение обязанностей и полномочий по информационной безопасности Банка", в котором в частности определяется роль ИТ (группа поддержки пользователей, администраторы СЗИ, администраторы приложений, системные администраторы), HR, службы безопасности, юридической службы и пр. Делается это так - пишется драфт, потом он обсуждается и разъясняется в рабочей группе СМИБ, потом каждый пишет свои замечания, потом они дополнительно обсуждаются и утверждаются. Имеет смысл задуматься - обновлять Положения об отделах/департаментах, ДИ и Положения о Комитетах до или после этой работы. С одной стороны наличие уже утвержденных полномочий даст возможность продавливать свою позицию, с другой - все равно что-то потребуется изменить. Положения о Комитетах, о которых я упомянул, касаются в первую очередь комитетов по рискам, по непрерывности бизнеса (если есть, иногда заменяют словом ЧС), по ИТ - на базе какого именно комитета вы будете создавать комитет СМИБ не важно, он может быть отдельным (обычно этому противятся - "и так много комитетов") или прописан в деятельность существующего комитета. В любом случае, в этом комитете необходимо возложить персональную ответственность за СМИБ на значимое в иеарархии Банка лицо (желательно, как часто упоминают в документах 13335 - на вице-президента и/или советника Председателя Правления по безопасности).
При написании Положения учитывайте, что часть лиц должна иметь постоянный характер участия, другая - приглашаемый. В частности, необходимо продумать степень участия финансового директора/гл.бухгалтера или их представителя. Роль последних очень ясно прописана в документе ITIL "финансовый менеджмент", только разумеется в контексте информационной безопасности.
