По оценкам экспертов, в настоящее время корпоративные заказчики используют в среднем более десятка различных систем безопасности. В результате защита информации превратилась в самостоятельную область деятельности, требующую разработки специфичных прикладных методик организации и управления.
В учебном курсе Александра Анисимова приводится детальный обзор различных способов управления в сфере информационной безопасности на различных уровнях.
Опубликованные в книге лекции были положены в основу учебного курса «Организационное обеспечение информационной безопасности». Его цель — дать представление о всем комплексе задач организации и управления в сфере ИБ и заложить основы для профессионального развития специалистов по защите информации и менеджеров различного уровня, заинтересованных в обеспечении защиты информационных ресурсов. При создании учебного пособия использовались современные стандарты и методические разработки различных компаний, некоммерческих организаций и государственных структур. Кроме того, Александр Анисимов, преподаватель Уральского государственного технического университета и специалист по разработке и внедрению информационных систем, обобщил имеющиеся публикации о текущем состоянии дел в сфере информационной безопасности.
Он отмечает, что большинство ситуаций, требующих обеспечения защищенности информационных ресурсов, являются уникальными, нуждаются
в отдельном анализе и принятии индивидуальных решений, для чего необходимы значительные управленческие усилия. Любую разработку требуется адаптировать к конкретной корпоративной среде, а при ее внедрении учитывать специфику деятельности компании. Вместе с тем управление ИБ и ее организационное обеспечение становятся неотъ-емлемой частью общей системы менеджмента.
Книга «Менеджмент в сфере информационной безопасности» состоит из 14 глав-лекций. В первой перечисляются цели и задачи, предпосылки и направления организационной и управленческой работы в сфере ИБ, а также рассматриваются основные роли и методы, используемые на разных уровнях этой деятельности. Здесь же объясняется, что такое информационная безопасность, риски и угрозы для информационных ресурсов. Вторая лекция раскрывает цели, принципы и особенности деятельности независимых международных организаций, специализирующихся в области ИБ, а также учреждений широкого профиля (IEEE, ACM, ITU), оказывающих фундаментальное влияние на состояние и развитие инфраструктуры сетей передачи данных и глобальных механизмов защиты информации. В третьей лекции перечисляются альянсы крупных технологических компаний и структуры, занимающиеся исследовательской и информационной работой в рамках сообщества специалистов по информационной безопасности (CERT/CC, X-Force, SCA, ISA, IBIA), описываются принципы их устройства, задачи и направления деятельности.
Следующая лекция посвящена анализу роли крупных поставщиков информационных систем, оказывающих серьезное влияние на развитие ИТ (Microsoft, Cisco). В ней раскрывается специфика работы, направленной на обеспечение безопасного функционирования информационных систем и совершенствование предлагаемых заказчикам продуктов и услуг. В пятой лекции рассматриваются вопросы управления информационной безопасностью на государственном уровне. В ней представлены общие принципы и российская практика, тогда как в следующей — общая политика США в данной области.
Далее автор возвращается на уровень предприятий — перечисляет основные направления их управленческой и организационной работы и раскрывает общую структуру политики ИБ как основного организующего документа в этой области. Тему продолжает восьмая лекция, где представлено основное содержание разделов политики безопасности по отдельным направлениям защиты информации. В девятой главе описывается деятельность департамента ИБ, его внутренняя структура, основные задачи и аспекты работы с персоналом предприятия, а в десятой рассказывается о реагировании на инциденты. Лекция 11 посвящена важной теме аудита ИБ на предприятии, при этом дается объяснение целей аудитов, их классификация, описываются предполагаемые результаты, поэтапно рассматривается процесс аудита.
Лекция 12 знакомит читателей с программными средствами, с помощью которых осуществляется управление информационной безопасностью на предприятии. В ней приводятся основные типы программных продуктов для решения данных задач и описываются их функциональные возможности. Темы двух последних лекций — предоставление услуг в сфере информационной безопасности и экономика ИБ. Автор рассуждает о предпосылках развития рынка услуг ИБ (включая услуги аутсорсинга), особенностях некоторых видов услуг, страховании рисков, а в завершение рассматривает задачи и методы экономического анализа с целью определения целесообразности реализации мероприятия по обеспечению информационной безопасности в определенных условиях.
Книга ориентирована прежде всего на тех, кто еще только изучает сложную тему информационной безопасности, однако представленный материал будет полезен и специалистам по ИБ, и руководителям компаний.
Книгу (Александр Анисимов, «Менеджмент в сфере информационной безопасности», — Изд-во «Интернет-университет информационных технологий — ИНТУИТ.ру», «БИНОМ. Лаборатория знаний», 2010 г. — 176 стр.) можно приобрести в магазинах. Ориентировочная цена — 180 руб.