Разработка систем безопасности

loss of appetite pregnancy проститутки москвы


Прочие аспекты защиты информации

Для успеха любой программы защиты информации необходимо охватить ею всю деятельность организации. Программой защиты информации должны быть охвачены рабочие инструкции и должностные обязанности каждого, кто занят в данном бизнесе, описания рабочих процессов, а также методы аудита и сопровождения.

Интеграция информационной безопасности в бизнес-процесс организации

Основной целью распределения обязанностей по защите информации является интеграция информационной безопасности в среду бизнеса. В качестве одного из этапов этой интеграции необходимо определить должности, которые обеспечивают безопасность всей работы. Например, один из способов осуществления этого заключается в распределении обязанностей и контроля над активами организации путем координирования работы каждого, включая ответственных за информацию и материально ответственных сотрудников. При таком подходе, не возникнет двусмысленностей относительно того, кто, за что и когда отвечает.

Еще одним аспектом исследований является вопрос, каким образом организовано управление безопасностью в организации. Обычно в организации формируется главная группа управления информационной безопасностью. Главная группа отвечает за внедрение и контролирует исполнение правил безопасности и процедур. Будем рассматривать подход, принятый для неограниченных систем (см. главу 2 "Определение целей политики"), когда главная группа управления информационной безопасностью назначает администраторов безопасности для многопользовательских систем, в которых имеется большое число подразделений. Тогда в каждом подразделении будет свой собственный сотрудник безопасности или посредник, который будет помогать внедрению программы безопасности подразделения. Таким образом можно обеспечить более тесное сотрудничество тех, кто следит за безопасностью, с пользователями Это похоже на институт участковых милиционеров, принятый в милиции.

Тесное сотрудничество сотрудников службы безопасности с остальным персоналом будет полезным и при управлении связями в реальном времени со сторонними организациями. Но утроза безопасности исходит не только от собственных служащих, но и от клиентов, поставщиков, а также от каждого, кто, подключаясь к информационным активам организации, имеет возможность нарушить правила безопасности. Посредники должны отвечать за обучение перечисленных выше аутсайдеров, а также контролировать их деятельность и стимулировать ее. Так работают в небольших организациях. Во многих из них, особенно в сторонних организациях, немногочисленный персонал делят на "отделы", в которых один человек назначается посредником со службой безопасности.

Тем не менее, это не лучшее решение. Некоторые люди, работающие в организации достаточно большой период времени, могут найти способы разобраться в тонкостях работы системы и злоупотребить этим в каких-то своих целях. Единственный способ предотвратить это заключается в том, чтобы не допускать пребывание сотрудника продолжительное время в роли посредника по безопасности, например, не более одного-двух лет. По завершению этого срока они передают свою работу кому-нибудь другому. Другой способ заключается в том, чтобы установить порядок проверок и учета. Система снабжения организации является одним из управляемых процессов. Даже несмотря на то, что большая часть закупок проходит этап утверждения руководством, часто такое утверждение проходит формально, и оплата проходит без последующих уведомлений. Зато посредник безопасности в бухгалтерии будет следить за нарушениями в порядке закупок и отгрузки заказов.

Один ревизор поделился впечатлениями о своей работе, которую все считают очень сложной. Мало кто способен выполнять эту работу. Ревизор должен знать все тонкости бизнеса, особенности клиентов и поставщиков, знать старые и новые правила делопроизводства, а также - денежные потоки организации. Только зная все это, ревизор сможет разобраться в счет-фактурах и заявках на закупки и определить, нет ли в них каких-то нарушений.

И последним аспектом, который следует учесть в процессе реализации программы защиты информации, является цикл развития программного обеспечения. Независимо от того, разрабатывалось ли программное обеспечение собственными силами или организацией-подрядчиком, или же были закуплены коммерческие программные продукты (COTS - Commercial Off-The-Shelf), целью должно быть создание безопасных систем, в которых можно бы было легко локализовать ошибки или попытки вторжения. Внедрение стандартов кодирования и тестирования также будет содействовать обеспечению качественных производственных процессов. Более того, использование такой парадигмы как живучесть, также может стать основой для проектирования программного обеспечения, с которым не будет проблем при развертывании или в процессе эксплуатации.

Конкретные задачи информационной безопасности

Единственным способом, гарантирующим, что любой из работающих в настоящее время в организации или принимаемый на работу служащий, или пользователь будет знать, что обеспечение безопасности является частью его или ее работы, является включение соответствующих записей в должностные инструкции. Изложение функциональных обязанностей и требований безопасности в должностных инструкциях демонстрирует сотруднику важность информационной безопасности и заставляет осознать, что она является неотъемлемой частью его работы. После того, как эти обязанности и требования введены в должностные инструкции, к ним начинают относиться с пониманием того, что они влияют на оценку профессиональной пригодности работника.

Сторонние подрядчики, поставщики или другие лица, которые предоставляют услуги непосредственно в сети компании, должны включать подобные формулировки в свои рабочие предписания (SOW). Как и в случае с собственными служащими, такие записи документально подкрепляют обязательства компании, а также заставляет подрядчиков и поставщиков строго следовать правилам требований безопасности организации, так как по этим показателям будет оцениваться качество предоставляемых ими услуг.

Аудит и контроль

Аудит и контроль важны при внедрении и контроле за соблюдением требований безопасности. Однако если эта работа не будет составной частью бизнес-процесса, то есть вероятность того, что эти меры никогда не будут осуществлены. Необходимо осознать, что эта работа является контролем качества выполнения программы информационной безопасности. В результате работа по обеспечению внутреннего аудита средств управления информационной системы, будет выполняться постоянно, а не отдельными кавалерийскими наскоками.

Позже в этой книге мы поговорим о проведении независимой экспертизы. Однако в этой главе мы ограничились рассмотрением функций того, кто организовывает и следит за проведением такой экспертизы.

Назад Начало Вперед



Книжный магазин