8. Рекомендации к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми ресурсами
8. Рекомендации к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми ресурсами
8.1. Определение потребности службы ИБ организации БС РФ в кадровых ресурсах заключается в установлении необходимого и достаточного количества, а также требуемой компетенции работников службы ИБ, выполняемой на основе:
- анализа задач и функций, возложенных на службу ИБ организации БС РФ;
- уровня автоматизации процессов СОИБ и централизации управления средствами автоматизации;
- прогноза возможного расширения состава задач и функций службы ИБ в соответствии с планами совершенствования процессов СОИБ вследствие развития бизнес-процессов организации БС РФ, совершенствования процессов информатизации организации БС РФ, развития филиальной сети организации БС РФ.
8.2. При планировании (совершенствовании) процессов СОИБ следует обеспечить выделение ресурсов ИБ для эффективной реализации требований законодательства РФ, нормативных актов Банка России, требований к обеспечению ИБ, установленных организацией БС РФ.
8.3. Организации БС РФ рекомендуется обеспечить службу ИБ кадровыми ресурсами, необходимыми и достаточными для реализации целевого уровня полноты и качества выполнения процессов СМИБ для каждого управляемого процесса СОИБ.
8.4. Среди основных задач и функций службы ИБ рекомендуется рассматривать реализацию деятельности в рамках процессов СМИБ организации БС РФ, группируя выполняемые задачи и функции по следующим направлениям:
- направление "методология";
- направление "реализация и сопровождение";
- направление "контроль";
- направление "криптографическая защита".
Организации БС РФ рекомендуется обеспечить выделение отдельных кадровых ресурсов для каждого из указанных направлений.
8.5. Организации БС РФ рекомендуется установить состав задач и функций службы ИБ для каждого уровня полноты и качества выполнения процесса СМИБ, оценив при этом трудозатраты на их выполнение.
Рекомендуется разделение задач и функций, выполняемых в рамках процессов СМИБ на функции, связанные с установлением общих подходов (способов) выполнения процессов СМИБ, непосредственного выполнения процессов СМИБ, анализа и контроля выполнения процессов СМИБ.
8.6. Задачи и функции, связанные с установлением общих подходов (способов) выполнения и анализа выполнения процессов СМИБ, рекомендуется возлагать на работников службы ИБ, задействованных по направлению "методология".
8.7. Задачи и функции, связанные с контролем выполнения процессов СМИБ, рекомендуется возлагать на работников службы ИБ, задействованных по направлению "контроль", или работников иных подразделений организации БС РФ, выполняющих функции по направлению внутреннего контроля.
8.8. Задачи и функции, связанные с непосредственным выполнением процессов СМИБ, рекомендуется разделять в соответствии со следующими общими правилами:
8.8.1. На работников службы ИБ, задействованных по направлению "методология", рекомендуется возлагать непосредственное выполнение следующих процессов СМИБ:
- определение/коррекция области действия процесса СОИБ;
- планирование реализации процесса СОИБ;
- разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ;
- анализ реализации и выполнения процесса СОИБ;
- инициирование и подготовка программ по обучению и повышению осведомленности в области выполнения процесса СОИБ;
- инициирование своевременного совершенствования процесса СОИБ.
8.8.2. На работников службы ИБ, задействованных по направлению "реализация и сопровождение", рекомендуется возлагать непосредственное выполнение следующих процессов СМИБ:
- сопровождение выполнения планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС;
- сопровождение реализации автоматизации выполнения процесса СОИБ;
- сопровождение реализации программ по обучению и повышению осведомленности в области выполнения процесса СОИБ.
8.8.3. На работников службы ИБ, задействованных по направлению "контроль", рекомендуется возлагать непосредственное выполнение следующих процессов СМИБ:
- реализация контроля области действия процесса СОИБ;
- реализация контроля выполнения процесса СОИБ;
- включение процесса СОИБ в область самооценки ИБ и аудита ИБ.
8.9. Потребность в кадровых ресурсах по направлению "криптографическая защита" определяется в соответствии с требованиями законодательства РФ, а также в соответствии с эксплуатационной документацией на используемые средства криптографической защиты информации.
8.10. Организациям БС РФ рекомендуется определить минимальную необходимую и достаточную численность работников службы ИБ исходя из следующих рекомендуемых показателей:
- трудозатраты на выполнение задачи и функций обеспечения ИБ;
- количество реализуемых процессов СОИБ;
- масштаб выполнения управляемого процессов СОИБ, в том числе:
- количество подразделений (филиалов, отделений) организации БС РФ;
- количество АБС;
- количество работников организации БС РФ;
- территориальное расположение подразделений организации БС РФ.
Численность работников службы ИБ рекомендуется определять для каждого филиала организации БС РФ.
8.11. Работники службы ИБ должны обладать компетенцией, необходимой для выполнения их функциональных обязанностей. Определение компетенции сводится к установлению требований в отношении знаний, практических навыков и опыта работы в соответствующей области работников службы ИБ.
К основным требованиям, определяющим необходимую компетенцию работников службы ИБ, следует среди прочего относить:
- наличие высшего профессионального образования в области ИБ и (или) информационных технологий;
- опыт работы в области ИБ не менее определенного периода, например не менее трех лет;
- регулярное прохождение дополнительного (специализированного) обучения (повышения квалификации) в области ИБ;
- знание требований законодательства РФ, в том числе нормативных актов Банка России, необходимых для надлежащего выполнения функций, возложенных на работников службы ИБ;
- знание внутренних нормативно-методических и организационно-распорядительных документов организации БС РФ в области ИБ;
- осведомленность по вопросам, касающимся средств, систем и технологий обеспечения ИБ, а также способов и практик их применения.