Фундамент информационной безопасности

Чад Корошек

Вне всякого сомнения, обеспечить информационную безопасность на предприятии не так-то просто. Необходимо выработать твердую политику и неукоснительно следовать ей. Не существует универсального средства ИТ-защиты, позволяющего противостоять всем возможным угрозам. Поэтому, начиная разрабатывать политику безопасности “с нуля” или перерабатывая ее заново, прежде всего определите ее цель.

Сформируйте комитет по управлению разработкой политики безопасности. В его состав введите бизнес-менеджеров и технических специалистов. Пусть комитет возглавит человек, имеющий соответствующий опыт. Задача комитета — осуществлять контроль и координировать процессы выработки и пересмотра политики безопасности. В составе комитета также должен быть, как минимум, один топ-менеджер, компетентный в вопросах безопасности и их влиянии на работу бизнес-приложений и деятельность компании в целом.

Политика безопасности должна определять роль и ответственность каждого работника вашей организации. Во избежание недоразумений четко сформулируйте все ее положения. Если ваша политика безопасности требует, чтобы на корпоративных ПК выполнялись только разрешенные к применению в вашей организации приложения, убедитесь, что все понимают это положение однозначно.

Выработайте директивы для классификации конфиденциальной информации. Всеобъемлющая политика безопасности должна включать в себя безопасность не только корпоративных АИС, но и персональных данных, финансовых и прочих транзакций, а также физическую безопасность. Предприятия малого и среднего бизнеса могут ограничиться выработкой общей политики, крупным же организациям, помимо нее, придется выработать политику, стандарты и директивы безопасности для каждого подразделения.

На этапе проработки отдельных элементов политики безопасности полезно оценить эффективность предыдущей политики в отношении предотвращения вторжений и восстановления систем после атак. Детальные руководства и инструменталь-ные средства для выработки политики безопасности содержатся в Интернет-ресурсах Security Policy Project института SANS (www.sans.org/resources/policies) и ISO 17799 Security Standards (www.iso17799software.com) Международной организации по стандартизации.

Ниже приводятся краткие определения терминов, наиболее употребительных в сфере политики безопасности:

• Политика содержит правила и требования безопасности как для текущей деятельности вашей организации и ее подразделений, так и на перспективу. В политике необходимо описать последствия нарушений конфигурации систем защиты; эти описания должны быть универсальными, а не ограничиваться указаниями на применение лишь в отдельных серверных архитектурах.

• Стандарт составляет основу любой документации. В нем излагаются особенности отдельных методов, систем и технологий безопасности — например, таких, как инфраструктура открытых ключей. Стандарт содержит детальную информацию, и его следует регулярно пересматривать, чтобы гарантировать его актуальность.

• Директива — это практическая рекомендация, выработанная на основе передового опыта предприятия, касающаяся отдельных систем безопасности или их элементов.

• Процедура описывает то, как следует применять данную политику, стандарт или директиву безопасности. Она может содержать инструкции по инсталляции ПО, ведению документации и оповещению о попытках вторжения.

Организуйте обучение. Учебный процесс должен быть непрерывным и охватывать всех служащих вашей организации, начиная с момента их приема на работу. Программа обучения может включать в себя как ежегодные тренинги, так и короткие ежедневные брифинги и выездные семинары для персонала филиалов. Обучение даст вам в руки важнейший инструмент для усиления информационной безопасности и контроля над ней. Подготовив персонал, вы, например, сможете добиться того, чтобы конфиденциальные темы не обсуждались в нерабочее время. Сделайте так, чтобы корпоративная безопасность касалась всех. И наконец, наймите консультантов с целью регулярной оценки прочности вашей системы безопасности, чтобы своевременно устранять ее слабые места..