Искусство обмана

Этапы разработки программы безопасности


Разработка доступной и понятной программы информационной безопасности обычно начинается с оценки рисков. Для этого необходимо определить:

·

какие информационные активы должны быть защищены?

·         каким специфическим угрозам подвержены эти активы?

·         какой урон будет нанесен предприятию, если эти потенциальные угрозы осуществляться?

Первостепенная цель этапа оценки рисков заключается в расстановке приоритетов. Какие активы нужно защищать прежде всего, и, исходя из оценки значимости этих активов, будут ли меры безопасности рентабельными? Проще говоря, надо ответить на вопрос: «Что защитить в первую очередь и сколько это будет стоить?»

Без сомнения, руководство обязано полностью поддерживать идею создания политики и непосредственно участвовать в программе безопасности. Как и в любой другой корпоративной программе, для того, чтобы дело увенчалось успехом, менеджеры должны не просто способствовать мероприятию, но и подавать пример своим подчиненным. Служащие должны удостовериться, что начальство со всей ответственностью подходит к вопросу информационной безопасности; они должны понять, что безопасность жизненно необходима для развития компании и что их работа напрямую зависит от успеха нового мероприятия.

Разработчик, описывающий политику безопасности, в свою очередь, обязан понимать, что документ не должен содержать компьютерного жаргона. Текст политики должен быть понятен любому сотруднику (даже тому, кто не имеет специальных знаний). Не менее важно, чтобы документ четко объяснял, почему нужно соблюдать то или иное правило. Иначе сотрудники могут воспринять внедряемые правила лишь как формальность, на которую они зря тратят свое время. Будет лучше, если автор или редактор политики разделит ее на две составляющие: документ, состоящий из набора правил и документ, описывающий процедуры, с помощью которых реализуются эти правила. Дело в том, что сами правила политики меняются намного реже, чем процедуры, которые не должны отставать от прогресса информационных технологий и должны время от времени корректироваться.


Кроме того, автор политики обязан хорошо ориентироваться в технологиях, способных помочь в реализации мер по обеспечению безопасности. Например, многие операционные системы имеют встроенные механизмы контроля длины и стойкости пользовательских паролей. А в некоторых компаниях загрузка программ из интернета запрещена локальными или глобальными настройками межсетевых экранов. Там где это возможно и рентабельно, не отказывайтесь от технологий, способных исключить человеческий фактор.

Сотрудников необходимо заранее предупредить о последствиях несоблюдения правил политики безопасности. Соответствующие санкции должны разрабатываться вместе с политикой и, в последствии, доводиться до сведения внутри компании. Естественно, что в противовес этим санкциям должна существовать и система поощрений как для сотрудников, демонстрирующих последовательность в вопросах безопасности, так и для тех, кто вовремя обнаружил или предупредил инцидент. И если руководство собирается поощрять тех, кто обнаружит брешь в обороне, то будет не лишним сообщить об этом. Например, в специальной статье по корпоративному списку рассылки.

Одна из целей программы повышения компетентности в вопросах безопасности заключается в том, что персонал организации должен четко понимать взаимосвязь между политикой и последствиями в несоблюдении правил этой политики. Человек в принципе таков, что склонен игнорировать или обходить емкие и недостаточно четко обзначенные правила. Здесь задача руководства – сделать все возможное для того, чтобы служащие оценили значимость политики и имели мотивацию к соблюдению правил, т.е. не воспринимали политику в качестве досадной помехи.

Важно еще раз подчеркнуть следующее: политика информационной безопасности – это не тот документ, который может быть написан раз и навсегда. Правила и процедуры корректируются вслед за изменениями в деловой активности компании. Кроме того, на рынке постоянно появляются новые технологии защиты, а хакеры находят все новые уязвимости. Корпоративная политика должна соответствовать тенденциям развития информационных технологий, и поэтому должна обновляться.Здесь лучше всего воспользоваться intranet-сайтом или любым другим доступным сетевым ресурсом, на котором будут размещены последние версии правил безопасности.

И, наконец, чтобы оценить компетентность сотрудников и выявить факты несоблюдения политики, можно и нужно проводить периодические проверки на уязвимость (vulnerability tests) и испытания на проникновение (penetration tests). Причем, прежде чем организовать тест «на прочность», проинформируйте персонал о том, что подобные проверки в принципе возможны и будут время от времени происходить.


Содержание раздела