Состав ИТ департамента
Исходя из задач и функций ИТ департамента состав департамента может различаться. Как основной принцип формирования отдела принимаем наличие двух специалистов на отдел экспертный и начальный уровни. В начале формирования ИТ департамента отделы могут отсутствовать и деление происходить
по направлениям деятельности. Второй элемент опредиляющий количество сотрудников ИТ количество сервисов и необходимое время на их сопровождение.
Взаимодействие ИТ департамента
ИТ департамент в своей деятельности взаимодействует с:
Административным Департаментом по вопросам планирования, внедрения и эксплуатации инженерных систем.
Департаментом Безопасности по вопросам планирования, внедрения и эксплуатации систем безопасности. Кроме этого координирует свою деятельность с департаментом Безопасности по вопросам Информационной Безопасности.
Кадровым Департаментом координация деятельности сотрудников
Департаментом Внутреннего Аудита по вопросам координации проведения ИТ аудита.
Представители ИТ департамента входят в состав следующих комитетов:
ИТ комитет;
Комитет по Управлению Изменениями (CAB);
Комитет по Управлению Экстренными Изменениями (ECAB);
Комитет по Управлению Рисками;
Проектные и экспертные группы;
СТРАТЕГИЯ Информационной Безопасности
Департамент Безопасности является «владельцем» ИБ. Обеспечивает физическую безопасность ИТ активов, определяет требования к системам безопасности в целом и информационной безопасности, политики ИБ и т п. Выполняет контрольные функции в отношении надлежащего и своевременного исполнения ИТ департаментом требований ИБ. Непосредственно управляет такими системами безопасности, как система контроля доступа (физическая), система видеонаблюдения, системы оповещения о пожаре и проникновении. По отношению к ИТ департаменту в вопросах безопасности является «головой».
ИТ департамент в рамках информационной безопасности, является «управляющим» информационных систем, комплекса информационной безопасности. Сотрудники ИТ департамента выполняют непосредственное конфигурирование, внедрение и сопровождение компонентов инфраструктуры информационной безопасности. Предоставляют доступ «только для чтения» для сотрудников подразделения ИБ и передачу логов активности компонентов ИТ инфраструктуры. Оказывают техническое содействие департаменту безопасности по внедрению и сопровождению систем безопасности. В зависимости от количества и сложности решений, в составе ИТ департамента может существовать подразделение ИТ Безопасности, отвечающее за сервисы обеспечивающие информационную безопасность. По отношению к департаменту Безопасности является «руками».
Департамент Внутреннего Аудита в составе комитета, формирует требования по организации взаимодействия департаментов, проводит контроль соответствия деятельности департаментов безопасности и ИТ требованиям руководящих документов. По отношению к департаментам Безопасности и ИТ по вопросам информационной безопасности является «глазами».
Преимущества данного подхода:
Нет необходимости держать значительный штат в департаменте Безопасности, который по сути дублирует действия ИТ. При внедрении и сопровождении любого ИТ сервиса или информационной системы, вопрос по обеспечению информационной безопасности обязательный.
Простота разграничения прав и ответственности. «Безопасность» говорит, «ИТ» выполняет, «Безопасность» контролирует исполнение. Особенности большинства Информационных систем ролевой доступ и наличие «Административного» доступа с максимальными привилегиями. Наличие двух администраторов в одной системе может приводить к конфликтам интересов, разбирательствам таким как кто-то что-то изменил, в логах не отражается и т п.
Наличие цепочки контролей и взаимный мониторинг. ИТ имеет максимальные возможности к информационным системам. За обладателями таких возможностей необходим надлежащий контроль. Фактически эта роль возлагается на департамент Безопасности, по принципу «Вы следите за всеми мы следим за вами». Все действия ИТ отслеживаются и передаются за пределы ИТ департамента. В тоже время, ИТ отслеживает действия департамента Безопасности в рамках «обычных пользователей» систем.
Департамент Безопасности отвечает за информационную
безопасность организации в целом. Непосредственно отвечает за физическую безопасность, системы контроля доступа, видеонаблюдения, оповещения и пожаротушения.
Документирование деятельности ИТ
Устав ИТ департамента;
План стратегического развития или ИТ стратегия;
Высокоуровневая ИТ Архитектура предприятия;
Стратегия Информационной Безопасности;
Различные Планы и сценарии Непрерывности Бизнеса;
Оперативный план ИТ;
Бюджет ИТ (стратегический и оперативный);
Перечень предоставляемых ИТ сервисов;
Классификация ИТ сервисов и активов и матрица доступов;
Должностные инструкции сотрудников;
План непрерывности бизнеса;
Планы резервного копирования и востановления;
Политики и процедуры управления ИТ сервисами (ITSM);
Детальная архитектура и руководство по каждому ИТ сервису;
Формы и акты по оказанию ИТ сервисов и учету ИТ активов;