Навигация
Факторы, определяющие эффективность политики безопасности
43905
знаков
1
таблица
0
изображений
2.1. Факторы, определяющие эффективность политики безопасности
Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.
При разработке ПБ, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.
Безопасность препятствует прогрессу
Меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.
Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.
Представьте себе ситуацию ожидания переключения сигнала светофора. Очевидно, что светофор предназначен для обеспечения безопасности дорожного движения, однако если движение по пересекаемой дороге отсутствует, то это ожидание выглядит утомительной тратой времени. Человеческое терпение имеет предел и если светофор долго не переключается, то у многих возникает желание проехать на красный. В конце концов, светофор может быть неисправен, либо дальнейшее ожидание является неприемлемым.
Аналогично, каждый пользователь ИС обладает ограниченным запасом терпения, в отношении следования правилам политики безопасности, достигнув которого он перестает эти правила выполнять, решив, что это явно не в его интересах (не в интересах дела).
Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет".
Следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.
Навыки безопасного поведения приобретаются в процессе обучения
В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным поведением. Это функции более высокого уровня, требующие обучения и периодического поддержания.
Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего, будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом – направо). В отличие от инстинктивного, это пример сознательного поведения.
Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.
Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.
Нарушения политики безопасности являются неизбежными
В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.
Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.
Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.
Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться
Даже если вам удалось разработать и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение ИБ – непрерывный процесс. Технологии стремительно изменяются, существующие системы устаревают, а многие процедуры со временем теряют эффективность. Политики безопасности должны непрерывно совершенствоваться для того, чтобы оставаться эффективными.
Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться [6].
Похожие работы
... информации в обществе // Вестник МГУ. - Сер.10. - 1995. - №2; Средства массовой информации постсоветской России. - М, 2002; 24. Бусленко Н.И. Политико-правовые основы обеспечения информационной безопасности Российской Федерации в условиях демократических реформ. - Дисс. … д-ра полит. наук. - Ростов на Дону, 2003; 25. Информационная безопасность российского государства: социально-политические и ...
... основа деятельности; системность. [3] Нам представляется, что эти принципы могут быть дополнены. Во-первых, принципом непрерывности, который предполагает, что функционирование комплексной системы обеспечения экономической безопасности предприятия должно осуществляться постоянно. Во-вторых, принципом обязательной дифференциацией мер. Имеется в виду, что выбор мер по преодолению возникших угроз ...
... ; создание правовой базы для функционирования в Российской Федерации системы региональных центров обеспечения информационной безопасности; правовое регулирование развития негосударственного компонента в формировании информационного общества и обеспечении информационной безопасности Российской Федерации. §2.2 Направления развития законодательства Не перечисляя принятые законы и другие ...
... предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений; · создание и формирование целенаправленной политики безопасности информации предприятия. 2.3 Мероприятия и средства по совершенствованию системы информационной безопасности Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности. ...
0 комментариев