Рекомендации по обеспечению сетевой безопасности

Усовершенствование

Планы усовершенствования вытекают из процедур оценки. Если в результате оценки определены некоторые опасные области, следует создать планы по усовершенствованию для разрешения возможных проблем и внесения соответствующих изменений в среду. Планы усовершенствования могут включать в себя планирование установки политики, применения средств или внесения изменений в систему, либо создания обучающих программ. Каждая оценка, проводимая в рамках организации, должна быть отправной точкой плана усовершенствования.

Оценка

Отдел безопасности организации должен разрабатывать ежегодные планы оценки риска для организации. В средних организациях это может быть план полной оценки, проводимой один раз в год. В крупных организациях план может предусматривать оценки по подразделениям, а полные оценки могут проводиться реже одного раза в год.

Большим организациям рекомендуется отклоняться от концепции ежегодных оценок. На практике оценки занимают много времени при их организации, выполнении и анализе. В очень больших компаниях может быть затрачено несколько месяцев на планирование, несколько месяцев на выполнение и несколько месяцев - на анализ, в результате чего останется совсем немного времени на непосредственное применение изменений, перед тем как наступит время следующей оценки. В подобных случаях эффективнее выполнять менее масштабные оценки с большей частотой, а полные оценки осуществлять периодически, согласно имеющимся условиям.

Оценка уязвимостей

Отделы безопасности организаций должны регулярно проводить оценку уязвимостей (сканирование) систем организации. Отдел безопасности должен планировать ежемесячную оценку всех систем внутри организации. Если в организации очень много компьютеров, то их нужно сгруппировать и по частям сканировать каждую неделю. Необходимо наличие планов к исполнению, с помощью которых администраторы смогут внести соответствующие коррективы в системы.

Внимание!

При сообщении системным администраторам результатов сканирования уязвимостей необходимо соблюдать внимательность. Помните, что администраторы выполняют свою работу на благо организации, и это их "хлеб". Здесь не должна идти речь о каком-либо соперничестве; наоборот, системные администраторы и администраторы безопасности должны работать совместно для выявления уязвимостей и контроля рисков в организации.

Аудит

Отдел безопасности должен разработать планы проведения аудита на соответствие политике организации. Такие аудиты могут быть сфокусированы на конфигурации систем, соответствии политике резервного копирования или на защите информации в физической форме. Так как аудиты требуют больших усилий со стороны персонала, каждый аудит нацелен на небольшую часть организации. При проведении аудитов системных конфигураций из всех систем можно выбрать образец. При обнаружении значительных расхождений и несоответствий в соответствующем подразделении проводится более масштабный аудит.

Внутренний отдел аудита организации должен иметь свои собственные расписания и планы аудитов. Аудиты, проводимые отделом безопасности, не заменяют аудиты, осуществляемые внутренним отделом аудита. Эти аудиты направлены на определение того, насколько хорошо понимаются и выполняются политики и процедуры безопасности, с дальнейшим устранением несоответствий и недостатков.

Обучение

Планы обучения должны создаваться совместно с отделом кадров. Эти планы включают в себя расписание учебных занятий и планы проведения рекламных кампаний. В расписании необходимо учитывать, что каждый сотрудник должен проходить обучение один раз в два года.

Оценка политики

Каждая политика организации должна предусматривать даты пересмотра политики. Отдел безопасности должен разрабатывать планы для начала пересмотра и оценки политики по мере приближения даты пересмотра. Как правило, каждый год требуется пересмотр двух политик.

Вопросы для самопроверки

1. Бюджет безопасности должен быть обоснован результатами ________.
2. Когда сотрудники организации должны в первый раз проходить обучение безопасности?