Политика безопасности. Создание благоприятной среды (часть третья)

В предыдущей части мы пришли к выводу, что эффективность защитной политики пропорциональна поддержке, которую она получает в организации. Таким образом, критически важным условием для успеха в области защиты организации становится организация работы и создание в организации атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности. Чем крупнее организация, тем более важной становится поддержка сотрудников. В  этой статье мы предложим несколько вещей, которые могут быть сделаны для гарантии полной поддержки политики безопасности руководством организации, что должно существенно увеличить эффективность политики.

Поддержка управления

Я уже упоминал об этом ранее, но готов подчеркнуть снова. Самое трудное, с чем мы можем столкнуться в процессе становления защитной политики – это убедить руководство нашей организации в необходимости компьютерной безопасности и вовлечь их в этот процесс, заставить быть причастными к созданию защитной политики. Здесь невозможно предложить универсального метода, все в данном случае зависит от вашей убедительности и способности к ведению переговоров. Может быть, помочь в качестве аргументов могут предпринятые вами тестовые проверки уязвимости, или даже демонстрация при руководстве уязвимости компьютерной защиты. В любом случае, без поддержки высокого руководства политика не может преуспеть, поэтому в случае отказа не стоит даже пытаться делать это на свой страх и риск – эта затея обречена на провал.

Организационная структура

Независимо от размеров организации, защитная политика должна всегда иметь владельца. В то время как права, обязанности и даже название должности могут меняться от организации к организации, его роль должна быть неизменна. Давайте, для примера, назовем этого человека «руководитель охраны» или «security officer». Это – ответственный руководитель, в обязанности которого входит наблюдать за созданием, распределением, и выполнением политики безопасности. В этом смысле «руководитель охраны» выполняет роль посредника между управлением и пользовательской массой. Очевидно, что этот человек должен подчиняться только высшему руководству компании – генеральному директору, президенту или совету директоров.

Поскольку «руководитель охраны» в конечном счете несет общую ответственность за информационную безопасность всей компании, для того чтобы иметь возможность отстаивать интересы информационной безопасности в ряде случаев он(она) даже может быть членом правления. Как правило, большинство маленьких или средних организаций не могут позволить себе отдельную должность «руководителя охраны», и в этом случае возможно совмещение должностей. Однако, независимо от размеров организации, роль «руководителя охраны»  должна быть ясно назначена и его обязанности должны быть четко сформулированы.

Обычно «руководитель охраны» ответствен за все аспекты безопасности в организации, не только  касающиеся вопросов информационной безопасности. Может быть, имеющиеся в вашей организации структуры охраны могут быть приспособлены и для этой новой роли. В крупных организациях, решавших для себя вопросы информационной безопасности, неплохо зарекомендовало себя создание команды безопасности или целевой группы, в которой ответственность была четко распределена между сотрудниками. Подобная команда, как правило, состоит из «руководителя охраны», менеджера по проектам и нескольких специалистов в области бизнеса, компьютерных технологий и специалиста по общим вопросам безопасности. Функции такой команды включают:

• Создание и утверждение проектного плана; исследование формальной программы аккредитации (подробнее об этом дальше).

• Определение общей корпоративной политики безопасности.

• Определение системы определенных политик (об этом также дальше).

• Пользовательская программа обучения и понимания.

• Назначение или приглашение независимых «ревизоров безопасности».

Вся структура группы изображена на диаграмме ниже:

Финансовая поддержка

Процесс создания системы безопасности всегда требовал и будет требовать инвестиций временных затрат, человеческих ресурсов и финансов. Без достаточного финансового обеспечения любое, даже самое правильное и перспективное усилие в данной области потерпит неудачу. Эта же истина относится и к созданию защитной политики.

В распределении фондов для создания политики мы еще раз видим ценность всесторонней  оценки риска. При должном образом осуществленной оценке рисков мы должны получить четкие показатели различных рисков, которым подвергаются информационные ресурсы вашей организации, потенциальные финансовые потери, которые вы можете понести в каждом случае, возможный вред и последствия, и роль, которую политика может играть для смягчения этого риска и минимизации потерь. Эти показатели, вкупе с пониманием ценности ваших информационных ресурсов (которые также можно оценочно получить) должны обеспечить достаточно аргументов для финансовых  инвестиций в безопасность.

Культура безопасности

Цепь всегда прочна настолько, насколько прочно в ней самое слабое звено, а самое слабое звено в системе безопасности - конечный пользователь. Примеров можно привести множество. Вот только один из них. Вы хоть раз задумывались, на кого рассчитано новое поколение программ, позволяющим пользователям обходить «эти занудные firewall, подписавшись на сервисы, туннелирующие TCP-трафик через HTTP через Java Applet, который работает в любом браузере». Вот цитата из рекламы:

"ABC - туннель общего назначения, который позволяет Вам проходить сквозь firewall. ABC работает, перенося ваши запросы в сеть на web-запрос нашему серверу, так что Вы можете прочитать любую страницу, если используете ABC. Использования ABC для ваших целей ограничено лишь вашим воображением. ABC может пройти всюду, где используется TCP. "

Это означает, что, даже если ваш firewall позволяет только разрешенные HTTP запросы,  некоторые особо «умные» пользователи все еще могут делать в Интернет все, что им заблагорассудится. На любое ваше решение по безопасности всегда найдется какой-то деятель из сотрудников, который сумеет найти противодействие. Он может считать себя при этом чуть ли не гением компьютеров, не осознавая зачастую, какой вред он наносит своими действиями безопасности собственной организации. Если ваши пользователи не понимают ценности ваших информационных ресурсов, то мы можем, конечно, вести с ними войну, но она изначально обречена на провал. Вы должны создать культуру безопасности в вашей организации, чему прекрасно способствует имеющаяся политика безопасности. На эту тему существует множество статей, по вопросам "Продажи безопасности в организацию" постоянно проходит множество конференций по всему миру. Если вам интересен этот вопрос, и вы хотите глубже в нем разобраться, вы легко найдете достаточно материала. Здесь же мы приведем лишь краткие стратегии, которые можно (и нужно) использовать:

1. Обучение пользователей - администраторы могут начать «внутреннюю рекламную кампанию», объясняющую ценность общей безопасности, риски, с которыми они сталкиваются, роль политики и обязанности индивидуальных пользователей. Неплохим шагом может быть даже использование ряда лозунгов подобных "Ваш пароль – это Вы сами!"
2. Акцентирование внимания на менеджерах – эти руководители низшего звена обычно и устанавливают «правила игры» для своих подчиненных и наиболее неистово требуют выполнения предписанных вещей, в справедливость которых они лично верят. Убедите их в потребности в безопасности, и считайте, что половина борьбы выиграна.
3. Поддерживать сотрудников – служащие, в большинстве своем, лояльны компании, в которой они работают. Имеет смысл быть честными со штатом сотрудников в вопросах безопасности и ее воздействии на благополучие организации. Это обычно помогает снизить время, необходимое персоналу для перестройки к новым реалиям работы. Один из способов состоит в том, чтобы ежедневно (еженедельно/ежемесячно) рассылать результаты оценок безопасности и ревизий. Надо быть абсолютно откровенными с персоналом обо всех случаях вирусных атак, взломов и других инцидентах безопасности.
4. Положительные эмоции - поскольку хорошо разработанная политика может (и должна) учитывать затраты на обучение и поддержку персонала, то некоторые сотрудники теперь быть вознаграждены за бдительность или просто хорошее выполнение требований безопасности. Этих сотрудников можно отобрать по результатам проверок/ревизий, регулярно проводимых сисадминами. В ряде организаций уже через самое короткое время подавляющее большинство сотрудников будет стремиться получить эти, пусть и небольшие, но очень приятные премии. Неизбежно, безопасность организации при этом резко увеличивается, а такая система наград будет являться прекрасным дополнением к системе штрафов за действия, ведущие к нарушениям информационной безопасности.
5. Отрицательные эмоции - если стимул получения дополнительных премий не оказывает влияния на некоторых сотрудников, то можно рассмотреть метод достижения цели другим путем. В организации должна быть разработана система взысканий с нерадивых и небрежных сотрудников. Все это, как мы уже говорили, должно быть прописано в политике. Фактически, метод кнута и пряника со времен римской Империи и поныне являлся и является весьма действенным.
6. Принятие политики и получение подписи от каждого сотрудника – каждый сотрудник обязан ознакомиться с политикой безопасности и подписаться под ней. Фактически, в нашем российском менталитете только это вынуждает сотрудников внимательно прочитать и вникнуть в документ. А в случае нарушения только это дает законное юридическое право на взыскание с сотрудника.