Политика безопасности - миф или реальность?

Для чего необходима "Политика безопаности" организации? Быть может для красивых строчек...

Для чего необходима "Политика безопасности" организации? Документ или формальность?

Википедия дает такое определение политики безопасности: Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации. Да, это уже дает нам представление о предмете обсуждения. Процедуры и правила. Но кто их вводит и контролирует?

Если обратиться к документам ISO 17799, то можно увидеть, что разработка ПБ осуществляется ВЫСШИМ РУКОВОДСТВОМ. Документ утверждается, издается и доводится до сведения ВСЕХ сотрудников. Но есть малееенькое примечание - "Политика безопаности" должна ПЕРЕСМАТРИВАТЬСЯ. А что мы имеем в "суровой реальности"? Да, Политику разрабатывает руководство (хотя и не высшее), документ утверждается, везде отмечается, в красивой рамке его вешают на стенку в организации и ... Нет, не спорю, многие организации даже знакомят своих сотрудников с этим документом (особенно после визита аудиторов). А как же - пересмотр? Про этот момент многие скромно умалчивают, либо выполняют для "галочки". А между прочим, пересмотр ПБ является стратегически важным и необходим для повышения эффективности разработанных мер в организации.

Пример: В организации разработана и внедрена политика, сотрудники ознакомлены. Допустим, что политикой запрещено использование внешних устройств в личных целях, только в целях работы. Проходит время, изменяется структура. И сотрудники, как добропорядочные инсайдеры начинают копировать информацию для себя. Руководство молчит, а отдел безопасности отслеживает и работает с инцидентами. Пользователей наказывают замечанием, а иногда лишают премий, однако они с упорством "танка" идут на врага (то бишь нас). Ситуация тупиковая? Возможные проблемы?

Как один из вариантов - можно проанализировать ситуацию и определить сотрудников, которые являются "приоритетными" и у них будет "Full" доступ к накопителям. Соответственно, остальным пользователям придется проститься со своими правами. Малобюджетное решение, правда затратное по времени (никто без боя права не отдаст).

Как второй вариант - внедрить систему контроля доступа на внешних носителях и использовать шифрование устройств. Бюджет солиднее, времени отнимет не меньше.

..а пользователи все несут и несут...возможные проблемы - унесут все "драгоценности"

И пока безопасники не "вынудят" начальство принять данные меры (кол-во вариантов безгранично), все останется на месте. Получается, что количество инцидентов растет, наказаний сыплются, а принятие упреждающих мер зависит от "назойливости" безопасности. А если бы руководство проверяло эффективность политики, то уже исходя из анализа первых инцидентов следовало принять меры к противодействию.

Руководству необходимо "держать руку на пульсе" политики безопасности, чтобы своевременно принять меры. Воплощайте этот принцип в реальности

02-11-2009 in Security blog  | Permalink |  Comments (1)