Искусство обмана



              

Этапы разработки программы безопасности


Разработка доступной и понятной программы информационной безопасности обычно начинается с оценки рисков. Для этого необходимо определить:

·

какие информационные активы должны быть защищены?

·         каким специфическим угрозам подвержены эти активы?

·         какой урон будет нанесен предприятию, если эти потенциальные угрозы осуществляться?

Первостепенная цель этапа оценки рисков заключается в расстановке приоритетов. Какие активы нужно защищать прежде всего, и, исходя из оценки значимости этих активов, будут ли меры безопасности рентабельными? Проще говоря, надо ответить на вопрос: «Что защитить в первую очередь и сколько это будет стоить?»

Без сомнения, руководство обязано полностью поддерживать идею создания политики и непосредственно участвовать в программе безопасности. Как и в любой другой корпоративной программе, для того, чтобы дело увенчалось успехом, менеджеры должны не просто способствовать мероприятию, но и подавать пример своим подчиненным. Служащие должны удостовериться, что начальство со всей ответственностью подходит к вопросу информационной безопасности; они должны понять, что безопасность жизненно необходима для развития компании и что их работа напрямую зависит от успеха нового мероприятия.

Разработчик, описывающий политику безопасности, в свою очередь, обязан понимать, что документ не должен содержать компьютерного жаргона. Текст политики должен быть понятен любому сотруднику (даже тому, кто не имеет специальных знаний). Не менее важно, чтобы документ четко объяснял, почему нужно соблюдать то или иное правило. Иначе сотрудники могут воспринять внедряемые правила лишь как формальность, на которую они зря тратят свое время. Будет лучше, если автор или редактор политики разделит ее на две составляющие: документ, состоящий из набора правил и документ, описывающий процедуры, с помощью которых реализуются эти правила. Дело в том, что сами правила политики меняются намного реже, чем процедуры, которые не должны отставать от прогресса информационных технологий и должны время от времени корректироваться.




Содержание  Назад  Вперед