Треугольная диаграмма управления проектомВсе эти навыки полезны для организации, однако мелкие компании могут не иметь возможности привлечь сотрудников, обладающих всеми этими навыками. В данном случае наиболее рациональным выходом из положения является привлечение администратора безопасности или разработчика политик в качестве сотрудника, а для выполнения других функций следует воспользоваться услугами сторонних организаций.Существуют люди, у которых есть практически все перечисленные навыки. Эти специалисты, как правило, обладают большим опытом и, следовательно, требуют очень высокой зарплаты. Если в рассматриваемой организации бюджет ограничен, и зарплата соответствующего уровня не может быть обеспечена, не стоит надеяться на то, что удастся привлечь такого специалиста. Вместо этого следует заняться поиском лиц, у которых есть общее представление обо всех перечисленных моментах и конкретные навыки, которые необходимы в наибольшей степени.БюджетРазмер бюджета безопасности организации зависит от области действия и временных рамок проекта безопасности, а не от размеров организации. Организации с мощными программами безопасности могут иметь меньший бюджет, чем мелкие организации, которые только начинают создавать свою программу безопасности.Распределение средств играет важную роль в вопросах, связанных с бюджетом безопасности. Бюджет безопасности должен быть разделен между капитальными затратами, текущими операциями и обучением персонала. Во многих организациях допускается ошибка, заключающаяся в том, что компаниями приобретаются дорогие средства безопасности без резервирования достаточного количества средств на обучение персонала работе с этими средствами. В других случаях организации приобретают эти средства, предполагая, что число сотрудников может быть сокращено, или руководство сотрудниками может осуществляться на разных уровнях. В большинстве случаев новые средства безопасности не позволяют сократить штат сотрудников. Несомненно, данному вопросу следует уделить дополнительное внимание.Во многих организациях сотрудники и руководящий состав полагают, что повышенный уровень автоматизации средств безопасности позволит сократить число сотрудников, задействованных в обеспечении безопасности. К сожалению, это предположение оправдывается очень редко. Причина в том, что новые средства безопасности не автоматизируют процесс, выполняемый вручную. В большинстве случаев получается так, что процесс в данный момент времени не выполняется вовсе. Следовательно, новое средство безопасности "предоставляет новую возможность", а не повышает эффективность системы безопасности. Таким образом, покупка нового средства, как правило, увеличивает нагрузку на сотрудников и требует привлечения дополнительного персонала.Распределение бюджета, согласно рекомендациям, должно основываться на планах проекта безопасности (которые, в свою очередь, базируются на риске, существующем для организации). Для успешного выполнения планов проекта безопасности должны быть выделены все необходимые средства.ОтветственностьНекоторое должностное лицо в организации должно нести ответственность за управление рисками, связанными с безопасностью информации. С недавнего времени эти обязанности в крупных компаниях принято возлагать на специального сотрудника исполнительного уровня - главного специалиста по безопасности информации (Chief Information Security Officer, CISO).Вопрос экспертуВопрос. Старший руководящий сотрудник попросил обосновать бюджет безопасности. Каким образом это лучше сделать?Ответ. Бюджет безопасности должен быть связан с уменьшением уровня опасности, представляемой для информации организации. Иными словами, бюджет должен четко соответствовать потенциальным результатам оценки рисков. Выделите следующие моменты.Во-первых, покажите, что существует опасность, которую необходимо взять под контроль или снизить. Это подтвердит актуальность и необходимость проекта.Во-вторых, оценка риска должна включать в себя определение потенциального ущерба, наносимого организации в случае успешного проведения атаки. Здесь речь идет о том, во сколько организации обойдется устранение последствий инцидента.Независимо от размеров организации, должностное лицо исполнительного уровня должно нести эту ответственность. В некоторых компаниях главный специалист по финансам предоставляет соответствующие отчеты безопасности. В других компаниях эти обязанности выполняют главный специалист по безопасности информации или главный специалист по технологии.Независимо от того, какое должностное лицо предоставляет отчеты, этот сотрудник должен понимать, что безопасность - очень важная часть его работы. Сотрудник исполнительного уровня должен иметь право на определение политики организации и проверять все политики, связанные с безопасностью организации. Этот сотрудник также должен иметь право на принуждение к использованию политики системных администраторов и сотрудников, задействованных в обеспечении физической безопасности организации.Не предполагается, что рассматриваемый сотрудник будет выполнять ежедневные операции по администрированию и обеспечению безопасности. Эти функции могут и должны быть поручены сотрудникам отдела безопасности.Главный специалист по безопасности организации должен разработать систему измерения, фиксирующую степень достижения целей по обеспечению безопасности. Среди измеряемых параметров могут быть число уязвимостей в системах, степень выполнения проекта безопасности или реализации соответствия рекомендациям. Измеренные параметры должны регулярно сообщаться старшему руководящему составу (как правило, ежемесячно). Данные отчеты также должны представляться совету директоров компании. Так как безопасность стала важной частью процесса управления рисками в организациях, необходимо обеспечить широкую огласку и понимание данного вопроса всеми сотрудниками компании.Примечание Инструкции по выполнению финансовых операций и страхованию должны требовать предоставление совету директоров регулярных отчетов о состоянии безопасности организации.ОбучениеОбучение сотрудников является одной из наиболее важных составляющих процесса управления угрозами, представляемыми для безопасности информации. Если сотрудники не будут обладать достаточным уровнем знаний и не будут работать сообща, любые попытки управления рисками безуспешны. Рекомендуется осуществлять три формы обучения.Превентивные меры.Принудительные меры.Поощрительные меры.Превентивные мерыОбучение превентивным мерам обеспечивает сотрудников детальными знаниями о защите информационных ресурсов организации. Сотрудникам следует рассказать, почему требуется защищать информационные ресурсы организации; понимание причин применения превентивных мер сделает их более совместимыми с политиками и процедурами. Если сотрудники не будут знать, каковы цели обеспечения безопасности, то попытаются нарушить установленные политики и процедуры.Кроме информирования сотрудников о важнос
Рекомендации по административной безопасности - это те решения, которые соответствуют политикам и процедурам, ресурсам, степени ответственности, потребностям в обучении персонала и планам по выходу из критических ситуаций. Эти меры призваны определить важность информации и информационных систем для компании и объяснить персоналу, в чем именно заключается эта важность. Рекомендации по обеспечению административной безопасности определяют ресурсы, необходимые для осуществления должного управления рисками и определения лиц, несущих ответственность за управление безопасностью организации.Политики и процедурыПолитики безопасности определяют метод, согласно которому обеспечивается безопасность внутри организации. После определения политики предполагается, что большинство сотрудников компании будут ее соблюдать. Следует понимать, что полного и безоговорочного выполнения политики не будет. В некоторых случаях политика будет нарушаться из-за требований, связанных с деловой деятельностью организации. В других случаях игнорирование политики обусловлено сложностью ее выполнения.Даже принимая во внимание тот факт, что политика будет выполняться не постоянно, она формирует ключевой компонент программы по обеспечению безопасности и должна быть включена в перечень рекомендаций по защите. При отсутствии политики сотрудники не будут знать, что делать для защиты информации и компьютерных систем.В качестве рекомендаций по безопасности необходимо рассматривать следующие политики.Информационная политика. Определяет степень секретности информации внутри организации и необходимые требования к хранению, передаче, пометке и управлению этой информацией.Политика безопасности. Определяет технические средства управления и настройки безопасности, применяемые пользователями и администраторами на всех компьютерных системах.Политика использования. Определяет допустимый уровень использования компьютерных систем организации и штрафные санкции, предусмотренные за их нецелевое использование. Данная политика также определяет принятый в организации метод установки программного обеспечения и известна как политика приемлемого использования.Политика резервного копирования. Определяет периодичность резервного копирования данных и требования к перемещению резервных данных в отдельное хранилище. Кроме того, политики резервного копирования определяют время, в течение которого данные должны быть зарезервированы перед повторным использованием.Политики сами по себе не формируют исчерпывающих инструкций по выполнению программы безопасности организации. Следует определить процедуры, согласно которым сотрудники будут выполнять определенные задачи, и которые будут определять дальнейшие шаги по обработке различных ситуаций с точки зрения безопасности. Внутри организации должны быть определены следующие процедуры.Процедура управления пользователями. Определяет, кто может осуществлять авторизованный доступ к тем или иным компьютерам организации, и какую информацию администраторы должны предоставлять пользователям, запрашивающим поддержку. Процедуры управления пользователями также определяют, кто несет ответственность за информирование администраторов о том, что сотруднику больше не требуется учетная запись. Аннулирование учетных записей важно с той точки зрения, чтобы доступ к системам и сетям организации имели только лица с соответствующими деловыми потребностями.Процедуры системного администрирования. Описывают, каким образом в данный момент времени применяется политика безопасности на различных системах, имеющихся в организации. Эта процедура подробно определяет, каким образом должна осуществляться работа с обновлениями и их установка на системы.Процедуры управления конфигурацией. Определяют шаги по внесению изменений в функционирующие системы. Изменения могут включать в себя обновление программного и аппаратного обеспечения, подключение новых систем и удаление ненужных систем.Примечание Во многих организациях управление обновлениями представляет собой большую проблему. Отслеживание обновлений для снижения уровня уязвимости систем, а также тестирование этих обновлений перед установкой на функционирующие системы (чтобы не отключать работающие приложения) занимает очень много времени, но эти задачи очень важны для любой организации.Наряду с процедурами по управлению конфигурацией устанавливаются методологии разработки новых систем. Они очень важны для управления уязвимостями новых систем и для защиты функционирующих систем от несанкционированного изменения. Методология разработки определяет, как и когда должны разрабатываться и применяться меры защиты. Необходимо делать акцент на этих сведениях при проведении любых инструктажей разработчиков и менеджеров проектов.РесурсыДля применения корректных рекомендаций по безопасности необходимо осуществить присвоение ресурсов. К сожалению, не существует формулы, которую можно использовать для определения того, сколько ресурсов (денег или сотрудников) должно быть выделено в соответствии с программой безопасности, руководствуясь лишь размерами организации. В этом уравнении слишком много переменных. Необходимые ресурсы обуславливаются размером организации, деловыми процессами организации и опасностями, угрожающими ей.Количество ресурсов должно определяться на базе корректной и полной оценки рисков, в соответствии с алгоритмом обработки рисков. В этом случае используется управление проектом. На показано, каким образом относятся друг к другу ресурсы, время и область проекта. Если программа безопасности воспринимается как проект, то организация должна выделить достаточно ресурсов для уравновешивания треугольника либо расширить время или уменьшить область.ПерсоналНезависимо от того, насколько велика или мала организация, некоторым сотрудникам должно быть поручено выполнение задач, связанных с обработкой уязвимостей и обеспечением информационной безопасности. В небольших организациях это может быть возложено на сотрудника отдела информационных технологий. В более крупных организациях могут существовать целые отделы безопасности. В рекомендациях не предписывается какое-либо определенное число сотрудников, однако настоятельно рекомендуется, чтобы, по крайней мере, на одного сотрудника были возложены обязанности по обеспечению безопасности.Сотрудники отдела безопасности должны иметь следующие навыки.Администрирование безопасности. Понимание ежедневного процесса администрирования устройств обеспечения безопасности.Разработка политик. Опыт в разработке и поддержке политик безопасности, процедур и планов.Архитектура. Понимание сетевой и системной архитектур и применение новых систем.Исследование. Проверка новых технологий безопасности на предмет того, насколько они могут противостоять риску, представляемому для организации.Оценка. Наличие опыта сбора сведений о потенциальных рисках в организациях или подразделениях. Оценка может включать в себя навыки проникновения и тестирования безопасности.Аудит. Наличие опыта ведения аудита систем или процедур. Рис. 9.1.P
Административная безопасность
Концепция "авторитетных рекомендаций" представляет собой набор указаний, которые обеспечивают должный уровень безопасности. Авторитетные рекомендации (далее - рекомендации) - это комбинация указаний, эффективность которых доказана при применении в самых различных организациях. Не все указания пригодны для использования в конкретной организации. В некоторых компаниях необходимы дополнительные политики и процедуры, обучение персонала или контроль за технической безопасностью для достижения приемлемого уровня управления безопасностью.
Вводится понятие административной безопасности. Даются рекомендации по организации работы службы безопасности на предприятии. Анализируются средства технической безопасности. Рассматриваются плюсы и минусы использования стандарта ISO 17799.
Рекомендации по обеспечению сетевой безопасности: версия для печати и PDA
Интернет-Университет Информационных Технологий
INTUIT.ru::Интернет-Университет Информационных Технологий
Комментариев нет:
Отправить комментарий