Використовувати отримані результати для координування майбутніх зусиль і підвищення відповідальності керівництва

Безперервне навчання користувачів та інших працівників на прикладі ризиків та відповідних політик. Служба безпеки повинна забезпечити стратегію постійного навчання працівників, які так або інакше впливають на ІБ. Група адміністрування повинна зосередити зусилля на загальному розумінні ризиків, пов'язаних з інформацією, яка обробляється в підрозділах, а також політиках і методах (засобах) контролю, спрямованих на зменшення цих ризиків.

Забезпечити необхідний фаховий рівень. Компетентність користувачів є обов'язковою умовою для успішного забезпечення ІБ, а також дозволяє гарантувати, що засоби контролю працюють належним чином. Користувачі не можуть виконувати політику, яку вони не знають або не розуміють. Не знаючи про ризики, пов'язані з інформаційними ресурсами, вони не можуть усвідомити необхідність виконання політики, розробленої з метою зменшення ризиків.

Встановити взаємозв'язок політик і ризиків. Всебічний набір адекватних політик, доступних і зрозумілих користувачам, є одним з перших кроків у встановленні програми забезпечення ІБ. Варто наголосити на важливості безперервного супроводу політик для своєчасного реагування на виявлення ризиків та можливі розбіжності.

Впровадити необхідні політики і відповідні засоби контролю. Політики в області ІБ є підставою прийняття певних процедур і вибору засобів контролю. Політика безпеки – первинний механізм, за допомогою якого керівництво підприємств доводить свою думку і вимоги до працівників. Для ІБ, як і для інших областей внутрішнього контролю, вимоги політик безпосередньо залежать від результатів оцінювання рівня ризику.

Підвищувати професіоналізм і технічні знання працівників. Працівники підрозділів підприємств повинні брати участь у різних аспектах програми ІБ та володіти відповідними навичками та знаннями. Необхідний фаховий рівень працівників може бути досягнутий за допомогою тренінгів, проводити які можуть як фахівці підрозділу безпеки, так і зовнішні консультанти.

Обґрунтувати і виділити бюджет і персонал. Бюджет дозволить планувати і встановлювати цілі програми ІБ. Як мінімум, бюджет включає заробітну платню працівників і витрати на навчання. Штатна чисельність групи адміністрування може змінюватись у залежності як від поставлених цілей, так і від проектів, які знаходяться на розгляді. До роботи в групі можуть залучатися як технічні фахівці, так і працівники підрозділу безпеки.

Рис. 8.2. Методи реалізування основних принципів

Крім того, група адміністрування повинна централізовано керувати поставленими завданнями, бо в іншому випадку ці завдання можуть дублюватися різними структурами.

Надати групі адміністрування простий і незалежний доступ до вищого керівництва підприємств. Відзначимо необхідність обговорення проблем ІБ фахівцями групи адміністрування з керівництвом підприємств. Такий діалог дозволить діяти ефективно і уникнути розбіжностей. В іншому випадку можливі конфліктні ситуації з керівниками підрозділів та розробниками систем, охочими якнайшвидшого впровадження нових програмних продуктів, і, тому, заперечуватимуть застосуванню засобів контролю, які можуть перешкоджати ефективності та ″комфортності″ роботи з програмним забезпеченням. Таким чином, можливість обговорення проблем ІБ на вищому рівні зможе гарантувати повне розуміння ризиків та їх допустимість до прийняття остаточних рішень.

Встановити відмінності між політиками і керівними принципами. Загальний підхід до створення політик ІБ повинен передбачати:

· короткі (лаконічні) політики високого рівня;

· більш детальну інформацію, подану в практичних настановах.

Політики передбачають основні і обов'язкові вимоги, прийняті вищим керівництвом, у той час як практичне керівництво не є обов'язковими для всіх підрозділів. Такий підхід дозволяє вищому керівництву акцентувати увагу на найбільш важливих елементах ІБ, а також надати можливість маневрування, зробити політики легкими для розуміння працівниками.

Забезпечити супровід політик безпеки групою адміністрування.Служба безпеки повинна бути відповідальною за розроблення політик ІБ підрозділів підприємств у взаємодії з керівниками підрозділів, внутрішніми аудиторами та юристами. Крім того, група адміністрування повинна забезпечити необхідні тлумачення. Це допоможе владнати і запобігти непорозумінням, а також прийняти необхідні заходи, не передбачені політиками (керівними принципами).

Політики варто зробити доступними, щоб користувачі, за необхідності, могли отримати доступ до їх актуальних версій. Користувачі повинні розписуватися в тому, що вони ознайомлені з ПІБ до надання їм доступу до інформаційних ресурсів. Якщо користувач буде залучений у інцидент безпеки, ця угода послужить свідченням того, що працівник був поінформований як про ПІБ, так і про можливі санкції, у разі її порушення.

Використовувати дружній підхід. Служба безпеки повинна використовувати різноманітні методи навчання і заохочення (стимулювання) щоб зробити політику ІБ доступною і навчити користувачів. Варто уникати зустрічей, що проводяться раз на рік з усіма представниками підрозділів, а навпаки – навчання краще проводити в невеликих групах працівників.

Контролювати й оцінювати ефективність політик і механізмів контролю. Як і довільний вид діяльності, ІБ підлягає контролю і періодичному переоцінюванню, щоб гарантувати адекватність (відповідність) ПІБ і засобів (методів) контролю поставленим завданням.

Контролювати чинники, які впливають на ризики і вказують на ефективність інформаційної безпеки. Контроль повинен бути зосереджений, насамперед, на наявності засобів і методів контролю та їх використання, спрямованого на зменшення ризиків і оцінюванні ефективності програми і політик ІБ, що поліпшують розуміння користувачів і скорочують кількість інцидентів. Такі перевірки передбачають тестування засобів (методів) контролю, оцінювання їх відповідності політикам ІБ, аналіз інцидентів безпеки, а також інші індикатори ефективності програми ІБ. Ефективність роботи служби безпеки та групи адміністрування може бути оцінена, ґрунтуючись, наприклад, на наступних показниках (але, не обмежуючись ними):

· кількість проведених тренінгів та зустрічей;

· кількість виконаних оцінювань ризику (ризиків);

· кількість сертифікованих фахівців;

· відсутність інцидентів, які ускладнюють роботу користувачів;

· зниження кількості нових проектів, впроваджених з затримкою через проблеми у забезпеченні ІБ;

· повну відповідність або погоджені та зареєстровані відхилення від мінімальних вимог ІБ;

· зниження кількості інцидентів, які допускають НСД, втрату або спотворення інформації.

Контроль, безумовно, дозволяє привести стан захищеності ІС у відповідність до прийнятих політик ІБ, однак повні вигоди від контролю не будуть досягнуті, якщо отримані результати не використовуються для поліпшення програми забезпечення ІБ. Аналіз результатів контролю надає фахівцям в області ІБ і керівникам підрозділів засоби:

· переоцінювання раніше ідентифікованих ризиків;

· визначення нових проблемних ділянок;

· переоцінювання достатності та доречності існуючих засобів і методів контролю (управління) та дій щодо забезпечення ІБ;

· визначення потреб у нових засобах і механізмах контролю;

· переадресування контрольних зусиль (контролюючих дій).

Крім того, результати можуть використовуватися для оцінювання діяльності керівників підрозділів, відповідальних за розуміння і зменшення ризиків.

Відслідковувати нові методи та засоби контролю. Важливо гарантувати, що фахівці в сфері ІБ не "відстають" від розроблювальних методів та інструментів (додатків) і мають у своєму розпорядженні найновішу інформацію про уразливість ІС та ПЗ, вище керівництво гарантує, що має у своєму розпорядженні для цього необхідні матеріальні ресурси.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Встановити централізоване адміністрування. Служба безпеки виступає, перш за все, в ролі радника або консультанта керівника підприємства, і не може нав'язувати методи (засоби) ІБ.	\|	ЛЕКЦІЯ 8. СПІЛЬНІ ПІДПРИЄМСТВА

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.004 сек.