Разработка систем безопасности

         

Роль отдела информационной безопасности

Отдел информационной безопасности отвечает за внедрение и сопровождение всего спектра документов, составляющих правила информационной безопасности организации. стандартов, инструкций и руководств. Этот отдел проводит обучение персонала основам безопасности и контролирует, чтобы каждый сотрудник знал свою роль в проведении политики безопасности. Короче говоря, отдел информационной безопасности обеспечивает механизмы, поддерживающие программу безопасности, намеченную политикой.

Этот отдел должен поддерживать баланс между образованием и административным принуждением. Установить такой баланс довольно сложно. В правилах безопасности для этого отдела должны быть четко определены все обязанности. Отдел должен рассматриваться как партнер в бизнесе, поскольку если он будет заниматься исключительно применением административных мер, то он будет попросту внушать страх. Страх может вызвать негативную реакцию, что будет препятствовать внедрению правил информационной безопасности.



Глава 12 "Согласование и внедрение", как видно из названия, посвящена согласованию и административным мерам как неотъемлемым компонентам обучения основам информационной безопасности. Те, кто до начала разработки правил безопасности хочет иметь больше информации о роли обучения, могут заглянуть вперед и прочитать эту главу.

Инструктаж по вопросам безопасности
Невозможно переоценить важность инструктажа и образования вообще для проведения в жизнь политики безопасности. После разъяснения предписаний политики и инструктажа всех, кого она затрагивает, касательно их роли в ее проведении, служащие будут воспринимать политику безопасности как неотъемлемую часть своей работы. Но добиться этого нелегко. Одна из проблем состоит в том, что уже более десяти лет ведущие компании-производители при выпуске своей продукции демонстрируют свою полную незаинтересованность в вопросах безопасности. В результате выпускается продукция, которая не соответствует полностью стандартам безопасности, а ее применение не позволяет эффективно реализовывать программу информационной безопасности. Эта дихотомия может сбить с толку.
Техническое обучение в области безопасности строится на развитых общественных связях. Организация могла бы нанять в отдел безопасности технически подготовленного специалиста по связям с общественностью. Это лицо занималось бы организацией переподготовки, развитием отношений отдела с пользователями и действовало бы в качестве посредника между пользователями и отделом. Используя опыт такого специаписта по связям с общественностью, можно поднять уровень пользователей в вопросах защиты информации на соответствующий требованиям отдела уровень.

Привлечение консультантов по защите информации

Привлечение внешних ресурсов стало основой деятельности компьютерной индустрии с тех пор, как компании стали предлагать компьютерную обработку информации на мощных компьютерах в режиме разделения времени. Современные внешние ресурсы могут обеспечить компании обработку любого рода информации, включая и обеспечение защиты информации.

Ниже представлены серьезные аргументы в пользу привлечения консультантов или независимых компаний, специализирующихся на защите информации. При определении целей политики безопасности в отношении внешнего окружения необходимо рассмотреть несколько вопросов.

  • Работа с собственным отделом информационной, безопасности. Даже в том случае, когда защита информации проводится независимыми организациями или для этой работы примечены консультанты со стороны, настоятельно рекомендуется, чтобы в организации существовал хотя бы небольшой собственный отдел безопасности, пусть его штат состоит хотя бы из одного специалиста по информационной безопасности. Информационная безопасность требует доверительных взаимоотношений между пользователями и теми, кто проводит в жизнь политику безопасности. Для некоторых довольно трудно преодолеть психологический барьер и доверить это дело сторонним специалистам.
  • Разработать четкие инструкции. В любом договоре со сторонними организациями или с подрядчиками необходимо четко оговорить функциональные обязанности и ответственность этих аутсайдеров. Но бывает, что высшие интересы организации не позволяют предоставлять свободный доступ аутсайдерам к информационным активам организации. Поэтому, в каждый договор со сторонними организациями, обеспечивающими защиту информации, должны быть внесены рабочие предписания (SOW —statement of work), являющиеся четкими инструкциями для работы. SOW не должны быть документами, определяющими политику безопасности, но их инструкции должны быть утверждены руководством.
  • Определение обязанностей. Другой аспект SOW заключается в определении ответственности сторонних специалистов или подрядчиков за работу, связанную с информационной безопасностью организации. В правилах безопасности необходимо определить ответственность каждого, кто связан с информационной безопасностью организации.

Содержание раздела