Эффективное использование политики

Политика может работать как полицейская дубинка, но она более эффективна, когда используется в качестве средства обучения. Имейте в виду, что большинство сотрудников работают, в первую очередь, в интересах организации и стараются выполнять свои обязанности по возможности лучше.

Новые системы и проекты

При запуске новых систем и проектов должны соблюдаться имеющиеся политики безопасности и процедуры разработки. Это позволяет отделу безопасности быть участником разработки проекта и на ранней стадии процесса определить требования безопасности.

Если новая система не сможет отвечать требованиям безопасности, то у компании будет время, чтобы понять суть представляемой опасности и обеспечить другой механизм защиты.

Имеющиеся системы и проекты

По мере утверждения новых политик каждая система должна проверяться на соответствие утверждаемым политикам. Отдел безопасности совместно с системными администраторами и подразделением, использующим систему, должен внести в системы соответствующие коррективы. Иногда эти коррективы требуют перепрограммирования каких-либо модулей, которое не может быть выполнено мгновенно. Отдел безопасности в этом случае должен осознать, что функционирование организации может быть прервано на некоторое время, и совместно с администраторами и другими подразделениями приложить все усилия для обеспечения скорейшего внесения изменений в рамках бюджета и структурных ограничений системы.

Аудит

Во многих организациях имеются внутренние отделы аудита, которые периодически осуществляют аудит систем на соответствие политике. Отдел безопасности должен ознакомить сотрудников этого отдела с новыми политиками и поработать некоторое время вместе, чтобы аудиторы вникли в суть политики, прежде чем будут проверять системы на соответствие.

Обмен информацией должен быть двусторонним. Отдел безопасности должен объяснить аудиторам, как была разработана политика и что ожидается от политики с точки зрения безопасности. Аудиторы должны объяснить специалистам по безопасности, каким образом будет проводиться аудит и на поиск чего он будет нацелен. Необходимо разработать соглашение о том, какие типы систем являются адекватными для различных разделов политики.

Проверка политики

Даже качественно разработанная политика не вечна. Каждая политика должна регулярно проверяться на соответствие требованиям организации. В большинстве случаев достаточно проводить такую проверку раз в год. Некоторые процедуры, например процесс обработки инцидентов или план восстановления после сбоев, требуют более частых проверок.

В процессе проверки необходимо связаться со всеми руководителями и подразделениями, которые не участвовали в разработке политики. Попросите каждого сотрудника прокомментировать имеющуюся политику. Возможно, имеет смысл устроить общее собрание, если имеются какие-либо важные комментарии (например, комментарии сотрудников из отдела безопасности). Внесите корректировки в политику, получите подтверждение и возобновите процесс обучения.

Разработка политики использования интернета

Этот проект продемонстрирует, как разработать политику, а также какие вопросы могут возникнуть при использовании этой политики.

Шаг за шагом

  • 1. Если вы работаете в группе, разделите группу на пары. Каждая пара будет разрабатывать свою собственную политику и представлять собой отдельную группу.
  • 2. Разработайте схему политики. Не забудьте включить раздел для входящих и исходящих соединений.
  • 3. Определите приемлемые типы входящих соединений.
  • 4. Определите приемлемые типы исходящих соединений. Если вам кажется, что все указано правильно, перейдите к определению типов сайтов, которые могу посещать сотрудники.
  • 5. Представьте политику другим членам группы. Некоторые из них должны выступать в роли сотрудников организации, а другие - в роли менеджеров.
  • 6. Как вариант, различные пары могут работать над разными политиками организации.

Выводы

Разработка политики, как правило, осуществляется очень просто. Тем не менее, сотрудники и руководители встают перед выбором тех или иных подходов при разработке политики. Рядовым сотрудникам не нравится все, что может сказаться на их рабочей нагрузке или секретности их действий. Руководителям же не нравятся политики, предоставляющие слишком много свободы.

Контрольные вопросы

  • 1. Назовите три раздела, которые должны присутствовать в каждой политике или процедуре.
  • 2. Что определяет политика безопасности?
  • 3. Должна ли политика безопасности определять конкретные требования реализации для каждого типа систем внутри самой политики?
  • 4. Почему в политику безопасности включают отказы от защиты?
  • 5. Что должна определять политика использования компьютеров?
  • 6. Рекомендуется ли разрешать неограниченное использование компьютеров?
  • 7. Для каких лиц должны указываться требования, содержащиеся в процедурах управления пользователями?
  • 8. Когда сотрудник переходит с одной должности на другую внутри организации, кто должен нести ответственность за уведомление системных администраторов о необходимости изменения профиля доступа данного сотрудника?
  • 9. Какова цель процедуры системного администрирования?
  • 10. Почему необходимо соблюдать внимательность при определении целей IRP?
  • 11. Назовите пять подразделений, сотрудники которых всегда должны входить в группу обработки инцидентов.
  • 12. Назовите четыре ключевых раздела методологии разработки.
  • 13. Назовите три типа событий, которые должны быть указаны в DRP.
  • 14. Какие действия должен выполнять отдел безопасности в процессе создания политики?
  • 15. Почему отдел безопасности должен работать совместно с отделом аудита?
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >