Искусство обмана



              

Этапы разработки программы безопасности - часть 2


Кроме того, автор политики обязан хорошо ориентироваться в технологиях, способных помочь в реализации мер по обеспечению безопасности. Например, многие операционные системы имеют встроенные механизмы контроля длины и стойкости пользовательских паролей. А в некоторых компаниях загрузка программ из интернета запрещена локальными или глобальными настройками межсетевых экранов. Там где это возможно и рентабельно, не отказывайтесь от технологий, способных исключить человеческий фактор.

Сотрудников необходимо заранее предупредить о последствиях несоблюдения правил политики безопасности. Соответствующие санкции должны разрабатываться вместе с политикой и, в последствии, доводиться до сведения внутри компании. Естественно, что в противовес этим санкциям должна существовать и система поощрений как для сотрудников, демонстрирующих последовательность в вопросах безопасности, так и для тех, кто вовремя обнаружил или предупредил инцидент. И если руководство собирается поощрять тех, кто обнаружит брешь в обороне, то будет не лишним сообщить об этом. Например, в специальной статье по корпоративному списку рассылки.

Одна из целей программы повышения компетентности в вопросах безопасности заключается в том, что персонал организации должен четко понимать взаимосвязь между политикой и последствиями в несоблюдении правил этой политики. Человек в принципе таков, что склонен игнорировать или обходить емкие и недостаточно четко обзначенные правила. Здесь задача руководства – сделать все возможное для того, чтобы служащие оценили значимость политики и имели мотивацию к соблюдению правил, т.е. не воспринимали политику в качестве досадной помехи.

Важно еще раз подчеркнуть следующее: политика информационной безопасности – это не тот документ, который может быть написан раз и навсегда. Правила и процедуры корректируются вслед за изменениями в деловой активности компании. Кроме того, на рынке постоянно появляются новые технологии защиты, а хакеры находят все новые уязвимости. Корпоративная политика должна соответствовать тенденциям развития информационных технологий, и поэтому должна обновляться.Здесь лучше всего воспользоваться intranet-сайтом или любым другим доступным сетевым ресурсом, на котором будут размещены последние версии правил безопасности.

И, наконец, чтобы оценить компетентность сотрудников и выявить факты несоблюдения политики, можно и нужно проводить периодические проверки на уязвимость (vulnerability tests) и испытания на проникновение (penetration tests). Причем, прежде чем организовать тест «на прочность», проинформируйте персонал о том, что подобные проверки в принципе возможны и будут время от времени происходить.




Содержание  Назад  Вперед