Информационная безопасность SCTY

Определение и эксплуатация системы контроля безопасности и стратегий управления безопасностью.

Уровни ответственности за этот навык

Методические рекомендации:

Целью контроля безопасности и стратегий управления является:

поддерживать безопасность, конфиденциальность, целостность, доступность, подотчетность информационных систем
обеспечить соответствие информационных систем законодательству, нормативным актам и соответствующим стандартам.

Деятельность может включать, но не ограничиваться:

выбор, принятие и адаптация систем контроля безопасности
разработка, обоснование и реализация стратегий управления безопасностью
выявление рисков в архитектурах технических решений
обеспечение применения принципов безопасности при проектировании и разработке для снижения риска.

Примеры типов средств контроля безопасности включают, но не ограничиваются ими:

физический контроль
процедурный или административный контроль
технический или логический контроль
правовой и нормативный контроль или контроль за соблюдением требований.

Эта деятельность обычно осуществляется в сотрудничестве со специалистами в других областях, включая - но не ограничиваясь - юридическую, техническую инфраструктуру, аудит, архитектуру, разработку программного обеспечения.

Понимание уровней ответственности этого навыка

Там, где нижние уровни не определены...

Конкретные задачи и обязанности не определены, потому что навык требует более высокого уровня автономии, влияния и сложности в принятии решений, чем обычно ожидается на этих уровнях. Операторы сущности можно использовать для понимания общих обязанностей, связанных с этими уровнями.

Там, где не определены более высокие уровни...

Обязанности и подотчетность не определены, потому что эти более высокие уровни предполагают стратегическое лидерство и более широкое организационное влияние, выходящее за рамки этого конкретного навыка. Смотрите основные утверждения.

Развитие навыков и демонстрация обязанностей, связанных с этим навыком

Определенные уровни показывают постепенное развитие навыков и ответственности.

Там, где нижние уровни не определены...

Вы можете развивать свои знания и поддерживать других людей, которые несут ответственность в этой области, следующим образом:

Изучение ключевых концепций и принципов, связанных с этим навыком и его влиянием на вашу роль
Выполнение соответствующих навыков (см. соответствующие навыки SFIA)
Поддержка других лиц, выполняющих задачи и мероприятия более высокого уровня

Там, где не определены более высокие уровни...

Вы можете прогрессировать, развивая соответствующие навыки, которые лучше подходят для более высоких уровней организационного лидерства.

Нажмите, чтобы узнать, почему навыки SFIA не определены на всех 7 уровнях.

Показать/скрыть дополнительные описания и уровни.

Уровень 1

Уровень 1 - Следовать: Суть уровня: Выполняет рутинные задания под пристальным наблюдением, следует инструкциям и нуждается в руководстве для завершения своей работы. Изучает и применяет базовые навыки и знания.

Уровень 2

Уровень 2 - Помогать: Суть уровня: Оказывает помощь другим, работает под рутинным руководством и использует свое усмотрение для решения рутинных проблем. Активно учится в процессе обучения и на рабочем месте.

Информационная безопасность: Уровень 3

Уровень 3 - Применять: Суть уровня: Выполняет разнообразные задачи, иногда сложные и нестандартные, используя стандартные методы и процедуры. Работает под общим руководством, проявляет осмотрительность и управляет собственной работой в установленные сроки. Инициативно повышает квалификацию и усиливает свое влияние на рабочем месте.

Применяет и поддерживает конкретные средства контроля безопасности в соответствии с требованиями организационной политики и местными оценками рисков. Сообщает о рисках и проблемах безопасности руководителям предприятий и другим лицам. Выполняет базовые оценки рисков для небольших информационных систем. Вносит вклад в определение рисков, возникающих в связи с потенциальными архитектурами технических решений. Предлагает альтернативные решения или контрмеры для снижения рисков. Определяет конфигурации безопасных систем в соответствии с намеченными архитектурами. Поддерживает расследование предполагаемых атак и нарушений безопасности.

Информационная безопасность: Уровень 4

Уровень 4 - Выполнять: Суть уровня: Выполняет разнообразную сложную деятельность, поддерживает и направляет других, делегирует задачи, когда это необходимо, работает автономно под общим руководством и вносит экспертный вклад в достижение целей команды.

Предоставляет рекомендации по применению и эксплуатации элементарных физических, процедурных и технических средств контроля безопасности. Объясняет назначение средств контроля безопасности и выполняет анализ рисков безопасности и влияния на бизнес для информационных систем средней сложности. Определяет риски, возникающие в связи с потенциальными архитектурами технических решений. Разрабатывает альтернативные решения или контрмеры и обеспечивает смягчение выявленных рисков. Расследует предполагаемые атаки и поддерживает управление инцидентами безопасности.

Информационная безопасность: Уровень 5

Уровень 5 - Обеспечивать, советовать: Суть уровня: Обеспечивает авторитетное руководство в своей области и работает под широким руководством. Отвечает за достижение значительных результатов работы, начиная с анализа, выполнения и заканчивая оценкой.

Предоставляет консультации и рекомендации по стратегиям безопасности для управления выявленными рисками и обеспечения принятия и соблюдения стандартов. Вносит вклад в разработку политики, стандартов и руководств по информационной безопасности. Получает информацию об уязвимостях и принимает соответствующие меры, проводит оценку рисков безопасности, анализ влияния на бизнес и аккредитацию сложных информационных систем. Расследует крупные нарушения безопасности и рекомендует соответствующие усовершенствования контроля. Разрабатывает новые архитектуры, которые снижают риски, связанные с новыми технологиями и деловой практикой.

Информационная безопасность: Уровень 6

Уровень 6 - Инициировать, влиять: Суть уровня: Обладает значительным организационным влиянием, принимает решения на высоком уровне, формирует политику, демонстрирует лидерство, способствует организационному сотрудничеству и принимает на себя ответственность в ключевых областях.

Разрабатывает и распространяет корпоративную политику информационной безопасности, стандарты и руководства. Обеспечивает применение архитектурных принципов при проектировании для снижения риска. Обеспечивает принятие и соблюдение политики, стандартов и руководящих принципов. Вносит вклад в разработку организационных стратегий, направленных на выполнение требований по контролю информации. Выявляет и отслеживает тенденции окружающей среды и рынка и проактивно оценивает их влияние на бизнес-стратегии, преимущества и риски. Руководит предоставлением авторитетных консультаций и рекомендаций по требованиям к средствам контроля безопасности в сотрудничестве с профильными экспертами.

Информационная безопасность: Уровень 7

Уровень 7 - Формировать стратегию, вдохновлять, мобилизовать: Суть уровня: Работает на самом высоком организационном уровне, определяет общее видение и стратегию организации и несет ответственность за общий успех.

Руководит разработкой, внедрением, реализацией и поддержкой стратегии информационной безопасности предприятия, согласованной с бизнес-стратегией. Обеспечивает соответствие между бизнес-стратегиями и информационной безопасностью. Руководит предоставлением экспертных знаний, рекомендаций и систем информационной безопасности, необходимых для выполнения стратегических и оперативных планов. Обеспечивает организационные ресурсы для реализации стратегии информационной безопасности.