Политика

Отказ от защиты

Несмотря на всевозможные усилия сотрудников отдела безопасности, менеджеров и системных администраторов, обязательно возникнут ситуации, когда будут запущены системы, не отвечающие требованиям политики безопасности. В этих системах, скорее всего, будут выполняться задачи, связанные с бизнес-процессами организации, причем эти задачи будут ставиться выше политик безопасности. На этот случай в политике безопасности предусматривается механизм, оценивающий степень риска, которому подвергается организация; кроме того, данная политика должна обеспечивать разработку плана действий, предпринимаемых при возникновении непредвиденных обстоятельств.

Процесс отказа от защиты предназначен для использования именно в этой ситуации. В каждом конкретном случае конструктор системы или менеджер проекта должен заполнять форму отказа следующей информацией.

• Система с отказом от защиты.
• Раздел политики безопасности, соответствие которому будет нарушено.
• Ответвления организации (обуславливают повышенную степень риска).
• Шаги, предпринимаемые для снижения или контроля степени опасности.
• План восстановления соответствия системы требованиям политики безопасности.

Отдел информационной безопасности должен просмотреть запрос об отказе от защиты и предоставить свою оценку риска, рекомендации по его снижению и управлению потенциально опасными ситуациями. На практике должна осуществляться совместная работа менеджера проекта и специалистов по безопасности для обработки всех возможных ситуаций, чтобы по завершении заполнения отказа от защиты обе стороны достигли договоренности по всем пунктам.

Наконец, отказ от защиты подписывается должностным лицом организации, ответственным за проект. Он таким образом заверяет свое понимание потенциальной опасности, связанной с отказом от защиты, и соглашается с необходимостью отказа организации от соответствия требованиям защиты. Кроме этого, подпись должностного лица означает согласие с тем, что шаги по контролю над степенью риска соответствуют требованиям и будут выполняться (при необходимости).

Приложения

В приложениях или в отдельных описаниях процедур должны размещаться подробные сведения о конфигурации для различных операционных систем, сетевых устройств и другого телекоммуникационного оборудования. Это позволяет модифицировать документы по мере необходимости без изменения политики безопасности организации.

Политика использования компьютеров

Политика использования компьютеров в случае судебного разбирательства определяет, кто может использовать компьютерные системы, и каким образом они могут использоваться. На первый взгляд, значительная часть информации в этой политике имеет лишь общий смысл, но если организация не определит явным образом политику принадлежности и использования компьютера, то будет велика вероятность судебных исков от ее сотрудников.

Принадлежность компьютеров

Политика должна четко определять, что все компьютеры принадлежат организации, и что они предоставляются сотрудникам для работы в соответствии с их должностными обязанностями. Политика также может запрещать использование компьютеров, не принадлежащих организации, для выполнения работы, связанной с деловой деятельностью этой организации. Например, если сотрудник предполагает выполнять работу дома, организация предоставит ему компьютер. Также в политике может указываться, что только компьютеры, принадлежащие организации, могут использоваться для подключения к внутренним системам компании через систему удаленного доступа.

Принадлежность информации

Политика должна определять, что вся информация, хранимая или используемая на компьютерах организации, принадлежит организации. Некоторые сотрудники могут использовать компьютеры организации для хранения личных данных. Если в политике не оговорить данный вопрос в отдельном порядке (или если сотрудники просто не поймут это), то личные данные, при условии хранения в частных папках, действительно могут считаться личными данными. Это обстоятельство может привести к судебным искам в случае разглашения данной информации.

Приемлемое использование компьютеров

Обычно предполагается, что сотрудники используют для выполнения работы только те компьютеры, которые предоставляются организацией. Это предположение не всегда верно. Следовательно, оно должно быть оговорено в политике. Достаточно просто указать, что "компьютеры организации предназначены только для выполнения сотрудниками их должностных обязанностей". В других организациях могут детально определяться обязанности сотрудников.

Иногда сотрудникам разрешается использовать компьютеры фирмы для других целей, например, запускать вечером сетевые игры. Если это не запрещено, то данное обстоятельство должно быть четко оговорено в политике.

При использовании компьютеров, предоставляемых организацией, возникает вопрос о программном обеспечении, загружаемом в эти системы. Иногда требуется установить правило, согласно которому на компьютерных системах запрещена загрузка неавторизованного программного обеспечения. В этом случае политика должна определять, кто может загружать авторизованные программы, и каким образом программы становятся авторизованными.

Приватность отсутствует

Возможно, самой важной частью политики использования компьютеров является заключение о том, что сотрудник не должен подразумевать частный статус любой информации, хранимой, отправляемой или получаемой на любых компьютерах организации. Очень важно, чтобы сотрудник понимал, что любая информация, включая электронную почту, может просматриваться администраторами. Кроме того, сотрудник должен знать, что администраторы или сотрудники отдела безопасности могут отслеживать все действия, связанные с компьютерами, включая посещение веб-сайтов.