Обеспечение информационной безопасности

Осведомленность

Политики и процедуры работают замечательно и позволяют значительно улучшить безопасность организации, если им следуют работники вашей организации. Проводя оценку, оставьте время для беседы с постоянными сотрудниками (не имеющими обязанностей управляющих или администраторов) для определения их уровня осведомленности по вопросам политик и процедур компании, а также практических положений должной безопасности. Обойдите офисные помещения для поиска признаков несоблюдения политик. Обратите внимание на наличие бумажных листков с написанными паролями и на системы, оставленные в активированном состоянии после регистрации пользователей.

Осведомленность администратора также важна. Очевидно, что они обязаны знать политику компании по вопросам конфигурирования систем. Администраторы должны быть осведомлены об угрозах и уязвимостях, о признаках вторжений в системы. Главное, они должны знать, какие действия необходимо предпринять при обнаружении атаки.

Вопрос к эксперту

Вопрос. Имеет ли значение осведомленность сотрудников?

Ответ. Да, она имеет большое значение. Сотрудники имеют доступ и нужные сведения, следовательно, являются возможными источниками угроз. Именно поэтому злоумышленники проявляют к ним повышенный интерес. Есть много методов социального инжиниринга, позволяющих нарушителю достигнуть своей цели, когда все предыдущие попытки натолкнулись на надежную систему безопасности.

Человеческий фактор

Служащие являются одним из самых важных факторов, влияющих на общую безопасность. Отсутствие навыков или, наоборот, их избыток может стать причиной выхода из строя хорошо продуманных программ безопасности. Проверьте уровень навыков персонала, отвечающего за вопросы безопасности, и администраторов, чтобы определить, способны ли они выполнять программу обеспечения безопасности. Персонал, отвечающий за вопросы безопасности, должен понимать свою работу в плане общей политики так же хорошо, как разбираться в последних разработках в своей области. Администраторы должны иметь соответствующие навыки, чтобы на высоком уровне осуществлять управление системами и сетевым окружением внутри организации.

Все пользователи должны иметь базовые навыки в области компьютерных технологий. Тем не менее, при наличии более глубоких знаний (например, у разработчиков программного обеспечения) возможно возникновение дополнительных проблем в сфере безопасности. Если пользователи достаточно хорошо владеют компьютерными технологиями, то им не составит труда установить на свои рабочие станции дополнительное программное обеспечение, которое может повлиять на общую безопасность организации. Эти люди с большей вероятностью обладают навыками и знаниями, необходимыми для использования уязвимостей внутренних систем.

От аудиторов организации потребуется обследование систем и сетей как часть их рабочего задания. В этом случае аудиторы, разбирающиеся в существующих технологиях и системах, используемых внутри организации, быстрее смогут отыскать проблемы.

Загруженность персонала

Даже очень квалифицированные и сообразительные работники не смогут поддерживать систему безопасности, если они перегружены работой. При возрастании объема работ первым делом будут забыты именно вопросы безопасности. Администраторы не проверяют записи журналов, пользовательские пароли на совместно используемые ресурсы, а менеджеры забывают о том, что говорилось на тренинге по защите систем. Тут даже самая серьезная организация с тщательно разработанными политиками и процедурами столкнется с уязвимостями.

Однако проблема может быть вовсе не такой страшной, как кажется. В процессе оценки необходимо определить, является ли большой объем работы временным явлением либо это постоянная практика, действующая в организации.

Отношение

Отношение управленческого персонала к вопросам безопасности - еще один ключевой аспект в общей среде безопасности. Это отношение определяется при назначении ответственных за безопасность внутри организации. Другая сторона этого отношения проявляется в том, как управляющее звено передает свои взгляды сотрудникам.

Передача взглядов на безопасность имеет две стороны: отношение управляющего звена и механизм передачи. Руководство может вполне осознавать важность процессов безопасности, но если они не доносят это до своих сотрудников, то последние не будут этого понимать.

Поэтому не забудьте исследовать состояние данного вопроса в организации, опросив руководящий состав и сотрудников.

Следование правилам

При составлении плана безопасной информационной среды необходимо определить фактическую среду безопасности. Планируемая среда устанавливается политикой, положениями и существующими механизмами. Фактическая среда определяется реальным согласием на участие в процессе обеспечения безопасности руководителей и сотрудников. Например, если политика безопасности требует еженедельного просмотра журналов аудита, а руководители не делают этого, то, значит, в организации не соблюдаются требования этой политики.

Политика использования восьмизначных паролей одинаково важна для всех сотрудников. Если руководство организации приказывает системным администраторам настроить конфигурацию их компьютеров на использование паролей с меньшим количеством знаков, это указывает на недостаточное следование правилам со стороны руководства.

Совет

Недостаточное следование правилам со стороны руководства однозначно приведет к рассогласованности действий администраторов и других сотрудников.

Специфика деятельности

В заключение исследуйте специфику деятельности организации. Опросите сотрудников и выясните издержки организации в случае нарушения конфиденциальности, целостности, доступности или идентифицируемости информации. Попробуйте выразить величину этих потерь в денежном выражении, времени простоя, утраченной репутации или в расторгнутых сделках.

При исследовании специфики деятельности определите движение информации внутри организации, между отделами и рабочими местами, внутри отделов и в другие организации. Выясните, как звенья этой цепи угрожают информации, как взаимосвязаны между собой отдельные части организации.

Частью процесса оценки является выявление систем и сетей, критичных для выполнения основной функции организации. Если организация связана с электронной коммерцией, выясните, какие системы используются для совершения сделок? Очевидно, необходим веб-сервер, но что насчет других серверных систем? Определение серверных систем позволит выявить прочие риски для организации.

Результаты оценки

После сбора всей информации группа оценки должна ее проанализировать. При оценке безопасности организации нельзя рассматривать отдельные блоки информации. Группа должна исследовать все уязвимости безопасности в контексте организации. Не все уязвимости превратятся в риски. Некоторые уязвимые места будут защищены каким-либо способом, который предотвратит их использование.

После завершения анализа группа оценки обязана представить полный набор рисков и рекомендаций для организации. Риски представляются по порядку - от наибольшего к наименьшему. Для каждого риска группа показывает возможные издержки в каком-либо выражении (денежном, временном, ресурсном, потере репутации и расторгнутых сделках). Каждый риск должен сопровождаться рекомендацией по управлению риском.

Последний шаг оценки - это разработка плана действий по безопасности. Организация должна определить, являются ли результаты оценки реальным отображением состояния безопасности, и учесть их при распределении ресурсов и составлении планов.

Примечание

Вполне вероятно, что в плане самый серьезный риск будет поставлен не на первое место. Этому могут помешать проблемы, связанные с бюджетом и ресурсами.