Пути к развитию программы
Наиболее всесторонняя программа по информационной безопасности начинается с изучения степени риска путем определения:
Первичная цель в определении риска заключается в определении, какая информация нуждается в сиюминутной защите и насколько эффективна будет защита с финансовой точки зрения. Просто посмотрите, что нужно защитить в первую очередь и сколько денег должно быть на это использовано. Само собой, что высшее руководство компании должно поддерживать идею развития защитной системы. Как и в любой корпоративной программе, начальники должны показывать собственный пример своим подчиненным. Работники должны быть предупреждены, что их карьера зависит от успеха соблюдения установленных системой правил. Человек, который будет заниматься составлением правил, должен понимать, что документ должен быть написан в стиле, свободном от технических терминов и быть понятен далеким от компьютеров работникам. Также необходимо, чтобы документ объяснял важность каждой меры, иначе работники могут посчитать какие-то методы пустой тратой времени. Документ должен состоять из списка норм и методик, потому что сам список номер будет меняться намного реже, чем методы работы. Составитель должен иметь представление об специальных готовых программных решениях для обеспечения безопасности систем, ведь многие ограничения, внесенные в систему один раз, помогут устранить на некоторых этапов принятие решения работниками самостоятельно. Работники должны быть предупреждены о наличии штрафных мер при нарушении норм и процедур. Свод специальных мер должен быть разработан и доведен до всех. В то же время, должна быть разработана программа поощрений для работников, неукоснительно соблюдающих информационную безопасность компании. Если работник награждается за помощь в обеспечении безопасности, об этом должны знать все остальные, например, хороший метод - статья в сводке корпоративных новостей. Одна из целей предупреждения рабочих о программе - связка воедино понятий важности норм безопасности и урона, который может быть причинен компании при несоблюдении их. Будучи людьми, время от времени работники будут нарушать, либо игнорировать какие-то правила. Ответственность в том, что персонал понимает важность правил и мотивирован их соблюдать, лежит на менеджерах. Следует заметить, что разработанные нормы не будут вечны. Все склонно к изменениям, в том числе и количество уязвимостей. Поэтому нормы постоянно должны быть пересматриваемы и обновляемы. Сделайте эти документы доступными во внутренней корпоративной сети, чтобы при малейшем затруднении, работники моги найти ответ. И, наконец, необходимо устроить тестовые атаки на компанию, чтобы выявить наиболее слабые места. Разумеется, персонал об этом не должен быть предупрежден. ©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|