Разработка плана по улучшению информационной защиты

Разработка плана по улучшению информационной защиты 
Содержание:

Разработка основы
Принцип: Оценка риска и определение потребностей
Принцип: Введение централизованного управления
Принцип: Соответствующая политика и средства управления
Принцип: Обучение персонала
Принцип: Наблюдение и оценка политики и эффективности управления

Предприятие может сделать несколько шагов для построения более защищенных сетей и информационных систем. Важно начинать с прочной основы, которую поймут и поддержат топ-менеджеры, IT-специалисты и прочие сотрудники предприятия. Возможно, эти шаги потребуют введения должности старшего менеджера по обеспечению безопасности (chief security officer — CSO) или старшего менеджера по обеспечению конфиденциальности (chief privacy officer — CPO). Затем, выбирать технологии надо постоянно и целенаправленно, чтобы всегда быть уверенными в их безопасности. Рекомендуется проводить проверки уязвимости. Наконец, вы можете сотрудничать с другими предприятиями, помогая друг другу предотвращать и пресекать компьютерные преступления. Независимая исследовательская компания, Computer Economics рекомендует несколько мер в разработке плана по улучшению защищенности сети.

Разработка основы

 
Управление рисками представляет собой процесс оценки риска, принятия мер по снижению риска до допустимого уровня, определение такого уровня риска. Менеджеры анализируют опасность с точки зрения многих аспектов своей деятельности, рассматривают альтернативы и осуществляют планы по максимизации отдачи от своих вложений. Управление рисками применительно к информационным системам позволяет менеджерам и их предприятиям получить глубокие знания об их собственных системах.

Всесторонний анализ рисков может стать также и руководящим принципом для выполнения задач, направленных на достижение целей защиты сети предприятия. Рекомендуется учитывать альтернативы при выборе товаров и услуг. В зависимости от самого предприятия, может оказаться более экономичным и удобным пользоваться предоставляемыми сервисами управления защитой, но может быть жизненно необходимо какие-то аспекты планирования и управления выполнять самостоятельно. При работе со IT-функциями или приложениями приложениями, важно иметь соответствующие навыки. Это может вызвать необходимость приобретения услуг управляемой защиты, которые призваны обеспечить все необходимые требования в области безопасности.

В течение многих лет, Главное контрольное управление США (General Accounting Office — GAO) находило уязвимые места в информационных системах правительственных агентств. Многие из них не имели программ по обеспечению информационной безопасности для своих систем и для мониторинга их эффективности. Чтобы в более полном объеме изучить успешно работающие программы по обеспечению безопасности, в GAO рассматривались способы управления восьми неправительственных агентств. Основное внимание обращалось на существующие в этих агентствах структуры управления, а не на конкретные средства. Изучаемые неправительственные агентства управляют теми же рисками, что и агентства правительственные. И правительственные и неправительственные агентства имеют целью защитить конфиденциальность, целостность и доступность информации.

Защищенные информационные системы должны предоставлять высококачественные услуги пользователям, не допускать мошенничеств и раскрытия важной информации, обеспечивать эффективность деловых операций и соответствовать законам и постановлениям. Все наблюдаемые агентства переориентировали свои программы по защите сетей и сделали их заметной составной частью своего бизнеса.

GAO выделяет пять принципов управления рисками, которые были приняты на вооружение изучаемыми агентствами:

  1. Оценка риска и определение потребностей

  2. Введение централизованного управления

  3. Введения соответствующих политик и необходимых средств контроля

  4. Популяризация

  5. Политики мониторинга, оценки и контроль эффективности

GAO отметило, что успешно работающие агентства применяют эти принципы последовательно и это позволяет им свести опасность до минимума. Успех программ, обеспечивающих безопасность, зависит от признания и понимания топ-менеджерами того факта, что их информационные системы подвержены рискам и что это негативно влияет на бизнес. После оценки риска своей работы эти агентства создали политики и выбрали средства контроля. Они подчеркнули увеличивающийся интерес пользоваталей к политике и средствам управления.

Агентства отследили эффективность политики и средств контроля и использовали полученные результаты для того, чтобы принять решение о необходимости изменений политик и средств контроля. Эту деятельность координировали центральные бюро обеспечения безопасности.

Все изучаемые агентства отметили, что рассмотрение рисков и связанные с этим затраты были основной целью их программ защиты.

Итогом работы стала не защита сама по себе, а набор политик и средств управления, которые разрабатывались для поддержки бизнеса. GAO обнаружило общие методы, связанные с каждым принципом управления рисками, а также то, что эти способы являются общими для всех изучаемых агентств. Ниже приводятся принципы управления рисками и методы, связанные с каждым из них.

Принцип: Оценка риска и определение потребностей

Способ 1. Определите информационные ресурсы как важные активы предприятия, которые надо защитить обязательно. В исследовании GAO усилия топ-менеджеров, направленные на понимание рисков и управление ими помогли сделать так, что защита сети стала серьезно восприниматься на более низких уровнях предприятия, а на программы по обеспечению безопасности выделялись необходимые ресурсы. Специалисты по защите своевременно информировали менеджеров всех уровней о возникающих проблемах с защитой. Для некоторых предприятий высокий интерес к данной проблеме был обусловлен инцидентами, которые выявляли уязвимость системы. Некоторые предприятия изучали новые пути улучшения эффективности работы и предоставляемых потребителям услуг с помощью информационных технологий и были заинтересованы в защищенности этих новых систем.

Способ 2. Разработайте практические способы оценки риска, которые связывают защиту сети с потребностями бизнеса. Пока предприятия изучали различные методики управления рисками, они в общем удовлетворялись относительно простыми способами оценки риска, которые можно было использовать в различных подразделениях предприятия, и к работе с которыми привлекались технические специалисты и специалисты по бизнес операциям. На одном из предприятий использовались простые автоматизированные проверочные списки. На другом предприятии практиковались стандартные процедуры запроса и выделения новых сетевых подключений, с предоставлением документального обоснования коммерческой необходимости и рисков связанных с этим. Ни на одном из предприятий не пытались количественно оценить риски из-за связанных с этим трудностей.

Компания Computer Economics утверждает, что всего за несколько лет с момента выработки этих принципов, обстоятельства несомненно изменились.

На руководителей технических служб оказывается большее давление с тем, чтобы они определили коэффициент окупаемости финансовых вложений при различных расходах. Другие документы этой серии подсказывают топ-менеджерам как высчитать этот коэффициент окупаемости инвестиций.

Способ 3. Менеджеры программ и бизнес-менеджеры должны быть подотчетны. В изучаемых агентствах понимали, что бизнес-менеджеры должны быть подотчетны для управления рисками защиты выполняемых ими операций аналогично тому, как учитываются их прочие деловые риски. Специалисты по защите в этих агентствах выполняли роль советников, в том числе информируя менеджеров о возможных рисках. предполагалось так же, что в правительственных агентствах менеджеры этой программы имели все возможности выделить среди своих информационных ресурсов наиболее важные и оценить влияние проблем защиты.

Способ 4. Рисками управляйте постоянно. Изучаемые агентства поняли, что защита сети является постоянным процессом, и уделяли ей постоянное внимание. Такое внимание помогло убедиться в том, что используются соответствующие и эффективные средства, и что персонал, работающий с информационными системами и обслуживающий их, действует в соответствии с организационной политикой.

Принцип: Введение централизованного управления

Способ 5. Назначьте основную группу для выполнения ключевых работ. Наличие основной группы по защите сети служит стимулом к тому, чтобы риски информационной защиты предусматривались в планах и в ежедневной работе. Эти группы консультируют и поддерживают сотрудников всех уровней организации и своевременно информируют менеджеров о проблемах защиты. Группы вырабатывают политику организации и руководства, инструктируют пользователей по вопросам рисков информационной защиты, исследуют потенциальные угрозы защите, уязвимые места и средства управления, средства проверки; в их обязанности также входит оценка рисков и выработка необходимой политики.

Способ 6. Обеспечьте основной группе свободный и своевременный доступ к топ-менеджерам. Для изучаемых агентств характерно то, что в вопросах защиты мнения бизнес-менеджеров и разработчиков систем расходились в части срочности разработки новых приложений и запрещения работы с теми средствами, которые препятствовали эффективности работы и ее удобству. Доведение вопросов защиты до топ-менеджеров позволяло гарантировать, что риск понят и будет учтен при принятии решения.

Способ 7. Выделите финансирование и персонал. В отличие от многих правительственных агентств, изучаемые агентства выделяли определенный бюджет, который позволял им планировать и ставить набор целей по программам информационной защиты. В бюджет включалась оплата труда основного персонала, обучение, программное обеспечение и аппаратные средства, необходимые для организации защиты. В этих агентствах была ясно разграничена ответственность групп, занимающихся вопросами защиты, и для этих целей был выделен необходимый персонал.

Способ 8. Повышайте профессионализм и технический опыт персонала. Изучаемые агентства предприняли шаги для обучения персонала, участвующего в программах информационной защиты, необходимым навыкам и умениям. Мастерство персонала регулярно повышалось, навыки и умения постоянно поддерживались на должном уровне. Сотрудники посещали специализированные курсы и технические конференции, общались с другими профессионалами этой отрасли, изучали техническую литературу и периодику. Специальные курсы предлагались системным администраторам, которые являлись «первым рубежом защиты» и по роду своей работы чаще других сталкивались с необычной активностью в сети. Из-за высокого спроса на специалистов по защите, эти агентства предпринимали усилия чтобы заинтересовать и привлечь в свою команду опытных специалистов.

Принцип: Соответствующая политика и средства управления

Способ 9. Связь политики с деловыми рисками. Изучаемые агентства особо выделяли важность проводимой политики, которая понимается пользователями и прочим персоналом, до которого было необходимо довести ее значимость. Ключевым элементом эффективной программы защиты является выполняемый и полный набор политик — ключевой элемент эффективной программы защиты. Политики должны постоянно корректироваться для того, чтобы соответствовать новым видам опасностей. При выполнении политики изучаемых агентств особое внимание обращалось на поведение пользователей. В условиях сети, объединяющей всех, пользователи по ошибке могут раскрыть конфиденциальную информацию многим людям с помощью электронной почты или же занести разрушительные вирусы, которые заразят остальные компьютеры в сети предприятия.

Способ 10. Различайте политику и руководящие принципы. Политика задает фундаментальные требования, которые обязательны для менеджеров, в то время как руководящие принципы содержат более детализированные правила для осуществления этой политики. Разделяя эти два понятия, изучаемые агентства выделили самые важные элементы информационной защиты, оставив при этом руководителям подразделений некоторую свободу в методах осуществления политик.

Способ 11. Поддерживайте проведение политики через основную группу защиты. В изучаемых агентствах основные группы защиты отвечали за разработку политики в сотрудничестве с другими ответственными лицами агентства. Основные группы давали разъяснения, руководили и поддерживали различные подразделения агентств. Эта практика вдохновила бизнес-менеджеров на поддержку разрабатываемой централизованно политики, которая отвечала бы нуждам агентства и была бы выполнима практически.

Принцип: Обучение персонала

Способ 12. Постоянно обучайте сотрудников и других пользователей политике рисков и связанным с нею другим политикам. Основные группы защиты работают над тем, чтобы все сотрудники хорошо понимали риски, связанные с информационными системами, а также понимали проводимую политику и средства ее реализации. Они поощряли у части пользователей понимание и соответствие политике в части рисков раскрытия чувствительной информации или паролей.

Способ 13. Используйте привлекающие внимание и дружественные пользователям методы. Это могут быть web-сайты во внутренней сети, где разъясняется политика, стандарты, процедуры, тревожные сигналы и специальные замечания; это обучающие видеофильмы с обращениями топ-менеджеров, посвященным программам защиты; это интерактивные презентации, представляемые персоналом, отвечающим за защиту, и адресованные различным группам пользователей; это специальные дни, посвященные изучению защите, и продукция с лозунгами, напоминающими о безопасности.

Принцип: Наблюдение и оценка политики и эффективности управления

Способ 14. Держите в поле внимания факторы, которые связаны с рисками и отображают эффективность защиты. Изучаемые агентства испытывали эффективность своих средств управления непосредственно. В большинстве агентств к выполнению этих задач привлекались аудиторы, а Компании, работающие в области защиты, выполняли роль советчиков. По результатам проверок основные группы управления защитой наблюдали прогресс и предпринимали корректирующие действия. В некоторых случаях основные группы проводили собственные тесты, а некоторые агентства приглашали определенных людей, предлагая им попытаться взломать систему. Проверка средств управления позволяла выявить неизвестные раньше уязвимые места и ликвидировать или уменьшить их. Все агентства отслеживали соответствие политикам, в основном с помощью неофициальной обратной связи системных администраторов с основной группой защиты. Во всех агентствах велись итоговые отчеты о произошедших инцидентах, что помогало фиксировать виды нарушений и оценивать наносимый ими ущерб. Эти отчеты стали ценным вкладом в оценку рисков и в формирование бюджета. Многие агентства проявили интерес к развитию методов измерения стоимости и выгод политики безопасности и средств управления.

Способ 15. Используйте полученные результаты для нацеливания усилий в нужном направлении и для поддержания отчетности менеджеров. Ответственные лица агентств сообщают, что мониторинг поощряет согласие с корпоративными политиками в области информационной безопасности, но наибольший эффект мониторинга достигается лишь после того как результаты используются для улучшения программ защиты. Плюс к этому результаты можно использовать и для того, чтобы поддерживать отчетность менеджеров по выполнению ими своих обязанностей в области защиты.

Способ 16. Всегда следите за новинками в области средств и методов мониторинга. Менеджеры агентств, отвечающие за безопасность, говорят, что постоянно ищут новые средства для того, чтобы проверить защищенность своих систем. Они читают специализированную литературу и сотрудничают с профессионалами, которые помогают им быть в курсе последних достижений в области разработки новейших средств мониторинга и исследований, проводимых в этой области.

Михаил Кадер / Cisco Systems


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS