Обязанности руководства
Обязанность руководства заключается не только в материально-технической и организационной поддержке. Недостаточно одного благословения программы информационной безопасности: руководство должно признать программу частью производственного процесса. Признание руководством программы информационной безопасности частью производственного процесса показывает, что отношение руководства к ней точно такое же, как и к другим задачам, стоящим перед организацией.
Обычно, когда такое говорят представителям руководства, их это шокирует и приводит в ужас. Прежде всего, они не обучались технологии или основам информационной безопасности. Им объясняют, что они и не должны понимать, как это работает, но им необходимо быть уверенными, что их бизнес надежно защищен, а решения безопасности не мешают бизнес-процессу. Руководство намечает определенные цели для организации, а большинство профессионалов в сфере безопасности и информационных систем не желают понимать или вникать в эти нюансы. Это не нападки на руководство или на технический персонал, но годы разногласий и непонимания настроили две эти группы враждебно по отношению друг к другу.
Обе группы должны понимать, что безопасность не является чем-то таким, что может быть сложено в красивую папку и поставлено на полку. Она является целью, за осуществление которой должны бороться обе эти стороны. Это становится ясно после анализа степени риска, стоимости и требований гарантии защищенности доступа к информации. Руководящий состав должен нести ответственность за проведение анализа и возложение обязанностей на технический персонал, отвечающий за внедрение правил информационной безопасности.