Когда необходимо иметь разработанные правила безопасности
Лучше всего разработать правила еще до того, как появится первая проблема с безопасностью. Если осуществить это заранее, то администраторы безопасности будут понимать, что именно необходимо защищать и какие меры нужно предпринимать. Кроме того, всегда легче разработать политику для развивающейся инфраструктуры, чем пытаться модифицировать уже существующий режим экономической деятельности.
Уменьшение степени риска
Как известно, бизнес не возможен без риска. Для уменьшения степени риска принимаются меры предосторожности. При разработке политики безопасности анализируются бизнес-процессы и применяются лучшие методы для обеспечения их защиты. Это также может уменьшить потери, понесенные компанией, в случае утери важной информации.
Информационная безопасность и защита компьютеров от вирусов стали неотъемлемой частью вечерних новостей. Это значит, что правовые органы серьезно взялись за борьбу с преступлениями в сфере электронной обработки информации. Все больше дел поступает в суды, чтобы распространить писанные законы на совершенно новый вид преступлений, совершенных в электронном мире. Компании, не имеющие четко разработанных правил, обнаружили, что им стало трудно выяснять отношения в суде, так как суд рассматривает только четкие формулировки. Компании, которые разработали четкие правила безопасности еще до того, как им пришлось столкнуться с необходимостью защищать свои права в суде, имеют несомненное преимущество.
Анализ данных защиты
Любые наши действия на компьютерах и в сетях вызывают либо перемещение, либо обработку информации. Каждая компания, организация и правительственное учреждение занимаются сбором и обработкой данных независимо от своих функций. Даже промышленные предприятия учитывают важные аспекты обработки данных в своих операциях, включая ценообразование, автоматизацию рабочих цехов и инвентаризационный контроль. Работа с данными играет настолько важную роль, что при разработке правил инвентаризации ресурсов необходимо, чтобы все лица, принимающие участие в их разработке, четко понимали структуру и характер использования данных (а также условия их хранения).
Обработка данных
Каким образом обрабатывается информация? При разработке правил следует учитывать множество аспектов, касающихся обработки информации. Необходимо определить, каким образом будет осуществляться обработка данных и как будет поддерживаться целостность и конфиденциальность данных. Помимо обработки информации необходимо рассмотреть, каким образом будет осуществляться аудит этой информации. Следует помнить, что данные являются источником жизненной силы организации, так что необходимо иметь средства наблюдения за состоянием этих сил в системе.
Определение целей политики
Теперь, поскольку мы уже знаем, что собой представляют правила информационной безопасности, и располагаем поддержкой руководства, следующим этапом будет выяснение, что именно необходимо защитить. Этот вопрос выходит за рамки аппаратных средств и программного обеспечения, а охватывает всю систему целиком. Очень важно понять суть деловых операций, которые сопровождают технологический процесс. Разработанные нами документы политики безопасности могут остаться на пыльной полке, если они будут препятствовать компании заниматься своим бизнесом.
Соображения резервирования
Почему организация дублирует информацию вне своих компьютеров? Для восстановления системы после выхода из строя? Для сохранения важных данных? Хочет ли организация хранить копию состояния системного программного обеспечения? Как часто выполняется резервирование? Осуществляется ли это ежедневно, еженедельно или же раз в месяц? Каким образом это делается? Как часто происходит сверка и пересмотр этого процесса?
Как ответить на эти вопросы, чтобы резервирование обеспечило быстрое восстановление важных бизнес-процессов после аварийного отказа? В описание всего бизнес-процесса необходимо включать процессы восстановления и обработки информации, необходимой для обеспечения его поддержки. Эти сведения помогут ответить на эти вопросы и установить правила этой работы.
Общепринятая ошибка при разработке правил резервирования заключается в предоставлении специальных опций в пакете программного обеспечения, используемого компанией. Определяя, каким образом резервирование поддерживает бизнес-процесс, разработчики правил должны постараться ограничить документ, описывающий, что должно быть сделано, и не конкретизировать процессы резервирования до уровня предоставления специальных опций.