цКЮБМЮЪ ЯРПЮМХЖЮ яКСВЮИМЮЪ ЯРПЮМХЖЮ
йюрецнпхх:
юБРНЛНАХКХюЯРПНМНЛХЪаХНКНЦХЪцЕНЦПЮТХЪдНЛ Х ЯЮДдПСЦХЕ ЪГШЙХдПСЦНЕхМТНПЛЮРХЙЮхЯРНПХЪйСКЭРСПЮкХРЕПЮРСПЮкНЦХЙЮлЮРЕЛЮРХЙЮлЕДХЖХМЮлЕРЮККСПЦХЪлЕУЮМХЙЮнАПЮГНБЮМХЕнУПЮМЮ РПСДЮоЕДЮЦНЦХЙЮоНКХРХЙЮоПЮБНоЯХУНКНЦХЪпЕКХЦХЪпХРНПХЙЮяНЖХНКНЦХЪяОНПРяРПНХРЕКЭЯРБНрЕУМНКНЦХЪрСПХГЛтХГХЙЮтХКНЯНТХЪтХМЮМЯШуХЛХЪвЕПВЕМХЕщЙНКНЦХЪщЙНМНЛХЙЮщКЕЙРПНМХЙЮ
пРОГРАММА БЕЗОПАСНОСТИ — УПРАВЛЕНЧЕСКИЙ АСПЕКТ
|
|
После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реализации.
Проведение политики безопасности в жизнь требует использования трех видов регуляторов — управленческих, операционных и программно-технических. В данном разделе мы рассмотрим управленческий аспект программы безопасности.
Чтобы понять и реализовать любую программу, ее целесообразно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю организацию, и нижнего, или сервисного, который относится к отдельным сервисам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:
· Управление рисками (оценка рисков, выбор эффективных средств защиты, см. Разд. Управление рисками);
· Координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
· Стратегическое планирование;
· Контроль деятельности в области информационной безопасности.
Девиз второго пункта можно сформулировать как " эффективность и экономия". Управление должно быть организовано так, чтобы исключить дублирование в деятельности сотрудников организации, в максимальной степени использовать знания каждого из них. Например, если одно из подразделений специализируется на UNIX-системах, а в других подразделениях такие системы установлены в небольшом числе экземпляров, нет смысла всем становиться специалистами по UNIX-защите — лучше вменить в обязанность сотрудникам первого подразделения следить за всеми UNIX-системами. Правда, отсутствие дублирования, вообще говоря, противоречит надежности. Если в организации есть специалист, знания которого уникальны, его болезнь или увольнение могут стать тяжелой потерей. Вероятно, лучшее " лекарство от незаменимости" — документирование накопленных знаний и освоенных процедур.
В рамках программы верхнего уровня принимаются стратегические решения по безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
Контроль деятельности в области безопасности имеет двоякую направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Обязательны при этом контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений, дорабатывать защитные меры с учетом изменения обстановки.
Следует подчеркнуть, что программа верхнего уровня должна занимать четко определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, у нее должны быть определенные штаты и бюджет. Без подобной поддержки распоряжения " офицеров безопасности" останутся пустым звуком.
Цель программы нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администрирование, отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.
Необходимо, однако, сделать одну оговорку. Программа безопасности не должна превращаться в набор технических средств, встроенных в систему — иначе она потеряет независимость и, как следствие, авторитет, высшее руководство забудет про нее и перестанет выделять ресурсы. У защиты есть много управленческих и операционных аспектов, и об этом следует постоянно помнить.