ИТ-архитектура от А до Я: Комплексное решение. Первое издание - стр. 6
ИТ департамент в своей деятельности взаимодействует с:
•Административным Департаментом – по вопросам планирования, внедрения и эксплуатации инженерных систем.
•Департаментом Безопасности – по вопросам планирования, внедрения и эксплуатации систем безопасности. Кроме этого координирует свою деятельность с департаментом Безопасности по вопросам Информационной Безопасности.
•Кадровым Департаментом – координация деятельности сотрудников
•Департаментом Внутреннего Аудита – по вопросам координации проведения ИТ аудита.
Представители ИТ департамента входят в состав следующих комитетов:
•ИТ комитет;
•Комитет по Управлению Изменениями (CAB);
•Комитет по Управлению Экстренными Изменениями (ECAB);
•Комитет по Управлению Рисками;
•Проектные и экспертные группы;
СТРАТЕГИЯ Информационной Безопасности
За информационную безопасность в организации отвечает департамент Безопасности. Организация взаимодействия ИТ и Безопасности строится по следующему принципу:
•Департамент Безопасности – является «владельцем» ИБ. Обеспечивает физическую безопасность ИТ активов, определяет требования к системам безопасности в целом и информационной безопасности, политики ИБ и т п. Выполняет контрольные функции в отношении надлежащего и своевременного исполнения ИТ департаментом требований ИБ. Непосредственно управляет такими системами безопасности, как система контроля доступа (физическая), система видеонаблюдения, системы оповещения о пожаре и проникновении. По отношению к ИТ департаменту в вопросах безопасности является «головой».
•ИТ департамент – в рамках информационной безопасности, является «управляющим» информационных систем, комплекса информационной безопасности. Сотрудники ИТ департамента выполняют непосредственное конфигурирование, внедрение и сопровождение компонентов инфраструктуры информационной безопасности. Предоставляют доступ «только для чтения» для сотрудников подразделения ИБ и передачу логов активности компонентов ИТ инфраструктуры. Оказывают техническое содействие департаменту безопасности по внедрению и сопровождению систем безопасности. В зависимости от количества и сложности решений, в составе ИТ департамента может существовать подразделение ИТ Безопасности, отвечающее за сервисы обеспечивающие информационную безопасность. По отношению к департаменту Безопасности является «руками».
•Департамент Внутреннего Аудита – в составе комитета, формирует требования по организации взаимодействия департаментов, проводит контроль соответствия деятельности департаментов безопасности и ИТ требованиям руководящих документов. По отношению к департаментам Безопасности и ИТ по вопросам информационной безопасности является «глазами».
Преимущества данного подхода:
•Нет необходимости держать значительный штат в департаменте Безопасности, который по сути дублирует действия ИТ. При внедрении и сопровождении любого ИТ сервиса или информационной системы, вопрос по обеспечению информационной безопасности – обязательный.
•Простота разграничения прав и ответственности. «Безопасность» говорит, «ИТ» выполняет, «Безопасность» контролирует исполнение. Особенности большинства Информационных систем – ролевой доступ и наличие «Административного» доступа с максимальными привилегиями. Наличие двух администраторов в одной системе может приводить к конфликтам интересов, разбирательствам таким как кто-то что-то изменил, в логах не отражается и т п.