Факторы, определяющие эффективность политики безопасности
Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.
Нарушения политики безопасности являются неизбежными
В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.
Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.
Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.
Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться
Даже если вам удалось разработать и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение ИБ – непрерывный процесс. Технологии стремительно изменяются, существующие системы устаревают, а многие процедуры со временем теряют эффективность. Политики безопасности должны непрерывно совершенствоваться для того, чтобы оставаться эффективными.
Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться [6].
2.2. Оценка риска
Перед принятием любых решений относительно стратегии информационной безопасности организации (как на длительный, так и на короткий период времени) мы должны оценить степени уникальных рисков.
Пока организация имеет информацию, представляющую ценность для вас и ваших конкурентов (а может, и просто «случайных» хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика это механизм контроля за существующими рисками и должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области вашей системы и должна использоваться для определения дальнейших целей и средств.
Оценка риска представляет собой комбинацию величин, зависящих от количества информационных ресурсов, имеющих определенную ценность для организации, и уязвимостей, пригодных для использования для получения доступа к этим ресурсам. Собственно, величина уникального риска для конкретной информации – отношение ценности этой информации к количеству способов, которыми данная информация может быть уязвима в структуре вашей корпоративной сети. Очевидно, что чем больше оказывается полученная величина, тем большие средства стоит направить вашей организации на «затыкание» этой дыры.
Конечно, это слишком упрощено и утрированно. Так, при разработке политики неизбежно возникнут вопросы, что некоторые ресурсы, пусть и имеющие для вас ценность, должны быть свободно доступны в Интернете, либо доступ к ним должны иметь и ваши коммерческие партнеры. Но, в целом, хоть и с некоторой условностью, применяется именно описанный подход. Политика, которая учитывает слишком много факторов, многие из которых абсолютно неактуальны, ничем не лучше политики, которая ошибочно не учитывает какого-то важного условия. Разработка политики безопасности является совместным делом руководства компании, которое должно точно определить ценность каждого информационного ресурса и выделяемые на безопасность средств, так и системных администраторов, которые должны правильно оценить существующую уязвимость выбранной информации.