Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Успешность реализации политики безопасности




Хорошо известно, что безопасность настолько сильна, насколько защищено ее самое слабое звено. Практика защиты информации показывет, что сотрудников отечественных компаний часто оказывается легче обмануть или ввести в заблуждение, чем системы или технологии безопасности. Поэтому правильно организованное обучение и учет человеческого фактора является необходимой составляющей процесса разработки политики безопасности. Давайте на примере компании Cisco Systems рассмотрим следующие семь пунктов успешной программы реализации политики безопасности, которые объединяют большинство возможных подходов по информированию, вовлечению и задействованию сотрудников компании к решению данной проблемы.

Понимание необходимости защиты информации

Сотрудники, партнеры и клиенты, обладающие правами доступа к информационным активам и сервисам компании, должны быть надлежащим образом проинформированы о необходимости обеспечения информационной безопасности. При этом каждый сотрудник компании должен знать, что он должен делать для создания и поддержания требуемого режима информационной безопасности.

Обучение и информирование сотрудников компании

Новые сотрудники компании должны быть проинформированы о правилах политики безопасности и должны понимать ту важную роль, которую они играют в поддержании режима информационной безопасности. Каждый сотрудник должен быть ознакомлен с тем, что он должен и может делать для усиления и эффективности режима информационной безопасности. В связи с тем, что правила политики безопасности время от времени изменяются сотрудники должны быть своевременно проинформированы о всех текущих изменениях. Также, хорошей идеей является выпуск периодических напоминаний о правилах безопасности для поддержания осведомленности сотрудников компании на должном уровне.

Персональная ответственность каждого сотрудника

Рекомендуется разделить правила политики безопасности на небольшие документы, каждый из которых должен содержать не больше одной страницы. Таким образом элементы политики безопасности будут затрагивать сотрудников индивидуально, т.е. сотрудники компании будут изучать только те правила политики безопасности, которые применимы к ним. Например, это могут быть правила создания и использования паролей, токенов, других средств систем контроля доступа, правила использования электронной почты и т.д.

Юридическая ответственность сотрудников компании

После публикации новой или изменения существующей политики безопасности компании, все сотрудники компании должны подписаться под следующим предложением: "Ознакомлен и обязуюсь выполнять требования этого документа". Эти соглашения позволят сотрудникам компании стать ответственными за выполнение требуемого режима информационной безопасности. При приеме на работу новые сотрудники компании также должны подписывать соглашения об обязательности выполнении требований политики безопасности. При изменении служебных обязанностей сотрудников документы должны быть перессмотрены и подписаны заново. Здесь основная идея заключается в том, чтобы сделать сотрудников компании юридически ответственными за надлежащее выполнение режима информационной безопасности.

Закрепление ответственности сотрудников компании

В политиках безопасности компании должны быть четко прописано, что произойдет, если сотрудник намеренно или непреднамеренно нарушит требования политики безопасности. Последствия должны быть четко оговоренны и должны доводить до сознания сотрудника, что они серьезны и "настоящие".

Согласованность во взглядах

Иногда строгие правила политики безопасности и ограничивающие средства защиты хуже, чем слабые политики и слабо ограничивающие средства защиты, потому, что они, скорее всего, будут игнорироваться сотрудниками компании. При формулировании политики безопасности компании важно уметь слышать мнение сотрудников и руководства для поиска надлежащего баланса между производительностью, доступностью, удобством работы и безопасностью. Открытость к диалогу, желание найти баланс - ключевые факторы успеха в создании и внедрении реально выполняемой политики безопасности компании.

Создание корпоративной культуры безопасности

Рядовые сотрудники компании часто являются первыми, кто замечает странные или экстраординарные события и начальные признаки атак в корпоративной информационной системе. Если удается вовремя донести до сознания сотрудников мысль о том, что обеспечение безопасности информационных активов компании является необходимой составляющей повседневной деятельности, то сотрудники будут сами информировать службу безопасности о потенциальных угрозах и нарушениях политики безопасности до того, как атаки достигнут своей цели. Активно привлекая сотрудников компании в процесс обеспечения безопасности можно заметно улучшить общее состояние защищенности информационных активов компании и повысить культуру безопасности в компании.

Примеры политик безопасности

Прежде, чем мы начнем рассматривать примеры политик безопасности компании поговорим немного о проблеме доверия.

Кому и что доверять

От правильного выбора уровня доверия к сотрудникам компании зависит успех или неудача реализации политики безопасности компании. При этом слишком большой уровень доверия может привести к возникновению проблем в области безопасности, а слишком малое доверие может заметно затруднить работу сотрудника компании, вызвать у него недоверие, и даже увольнение. Насколько можно доверять сотрудникам компании? Обычно используют следующие модели доверия.

  • Доверять всем и всегда - самая простая модель доверия, но к сожалению не практичная.
  • Не доверять никому и никогда - самая ограниченная модель доверия и также не практичная.
  • Доверять избранным на время - модель доверия подразумевает определение разного уровня доверия на определенное время. При этом доступ к информационным ресурсам компании предоставляется по необходимости для выполнения служебных обязанностей, а средства контроля доступа используются для проверки уровня доверия к сотрудникам компании.

Вряд ли существует компания, в которой следуют модели доверия "доверять всем и всегда". В сегодняшнем мире это маловозможно. То же самое относится и ко второй модели доверия"не доверять никому и никогда" (этой модели доверия часто стараются следовать в правительственных и военных организациях). Поэтому самая реалистичная модель доверия должна доверять некоторым из сотрудников компании на некоторое время.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...