Программа безопасности - управленческий аспект
После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реализации.
Проведение политики безопасности в жизнь требует использования трех видов регуляторов:
- управленческих,
- операционных и
- программно-технических.
В данном разделе рассматривается управленческий аспектпрограммы безопасности.
Чтобы понять и реализовать любую программу, ее целесообразно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю организацию, и нижнего, или сервисного, который относится к отдельным сервисам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:
- Управление рисками (оценка рисков, выбор эффективных средств защиты).
- Координация деятельности в области информационной безопасности, пополнение и распределение ресурсов.
- Стратегическое планирование.
- Контроль деятельности в области информационной безопасности.
Девиз второго пункта можно сформулировать как "эффективность и экономия". Управление должно быть организовано так, чтобы исключить дублирование в деятельности сотрудников организации, в максимальной степени использовать знания каждого из них. Например, если одно из подразделений специализируется на UNIX-системах, а в других подразделениях такие системы установлены в небольшом числе экземпляров, нет смысла всем становиться специалистами по UNIX-защите — лучше вменить в обязанность сотрудникам первого подразделения следить за всеми UNIX-системами. Правда, отсутствие дублирования, вообще говоря, противоречит надежности. Если в организации есть специалист, знания которого уникальны, его болезнь или увольнение могут стать тяжелой потерей. Вероятно, лучшее "лекарство от незаменимости" — документирование накопленных знаний и освоенных процедур.
В рамках программы верхнего уровня принимаются стратегические решения по безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
Контроль деятельности в области безопасности имеет двоякую направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Обязательны при этом контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений, дорабатывать защитные меры с учетом изменения обстановки.
Следует подчеркнуть, что программа верхнего уровня должна занимать четко определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, у нее должны быть определенные штаты и бюджет. Без подобной поддержки распоряжения "офицеров безопасности" останутся пустым звуком.
Цель программы нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне:
- решается, какие механизмы защиты использовать,
- закупаются и устанавливаются технические средства,
- выполняется повседневное администрирование,
- отслеживается состояние слабых мест и т.п.
Обычно за программу нижнего уровня отвечают администраторы сервисов. Необходимо, однако, сделать одну оговорку. Программа безопасности не должна превращаться в набор технических средств, встроенных в систему — иначе она потеряет независимость и, как следствие, авторитет, высшее руководство забудет про нее и перестанет выделять ресурсы. У защиты есть много управленческих и операционных аспектов, и об этом следует постоянно помнить.