Знание специфики бизнес-процессов компании позволит вам грамотно сконцентрировать свои действия.
Рано или поздно ИТ-менеджер небольшой или средней компании сталкивается с необходимостью провести аудит безопасности информационной системы. Даже в более крупной компании, в которой защита системы децентрализована, вполне возможно, что именно ему поручат выполнение этой задачи. ИТ-менеджер - не эксперт по безопасности и не аудитор, к тому же выделенные ресурсы весьма ограниченны. Каковы же его действия в данной ситуации?
Прежде всего, не паниковать. "Не стоит сразу опускать руки, - говорит Джей Уильямс, вице-президент консалтинговой компании The Concours Group, специализирующейся на вопросах ИТ. - Как правило, для решения проблем безопасности достаточно здравого смысла."
Вступить в организацию, занимающуюся вопросами безопасности информационных систем, например, Information Security Forum, советует Ра Вернон, директор службы безопасности компании Reuters America. Таким образом появится возможность общаться с людьми, готовыми поделиться своим опытом по вопросам безопасности и получать от них ценные советы относительно любого технологического процесса, который требуется внедрить. Они порекомендуют ПО, помогут с выбором методологии или познакомят с другими источниками, что позволит эффективно решить поставленную задачу.
Проконсультироваться с бизнес-менеджерами компании, чтобы правильно представлять, какие именно аспекты деятельности наиболее уязвимы с точки зрения безопасности.
Принять во внимание то, в какой отрасли работает компания. Многие думают, что необходимо создать неприступную крепость, на самом же деле чрезвычайно жесткие требования по защите данных оправданны лишь для небольшого числа компаний, считает Уильямс. Если профиль компании - ядерная энергетика, то это как раз тот случай. Однако, если предприятие занимается выпечкой хлебобулочных изделий, то вряд ли информация о нем вызовет повышенный интерес.
Внести коррективы в ожидания руководства. "Воплотить в жизнь программу ИТ-аудита за один день невозможно", - говорит Дэвид Хоулзер, директор по вопросам глобальной сертификации страхования данных и менеджер по аудиту передовых информационных систем в институте SANS, организации, совмещающей исследования в области безопасности с учебной деятельностью. Время на разработку программы зависит от размера организации и составляет по крайней мере несколько недель. Подготовить руководство к тому, что от него потребуется помощь в устранении любых обнаруженных в технологическом процессе слабых мест как концептуального, так и практического характера, добавил он.
Составить схему технологического процесса. По мнению Вернона, работая в сотрудничестве с аналитиками в области технологии и бизнеса, можно схематично представить на высоком уровне наиболее незащищенные участки пересечения технологических и бизнес-процессов.
Подобрать подходящее средство обеспечения безопасности. Существует ПО, позволяющее посредством сканирования сети определить список уязвимых мест. Можно воспользоваться прошедшей тестирование методикой, такой как OCTAVE, разработанной в координационном центре CERT Университета Карнеги-Меллона, которая помогает построить программу защиты информационной системы в соответствии с отраслевыми стандартами. Коллеги из группы безопасности окажут содейстивие в поиске наиболее эффективных средств, исходя из специфики компании. Применяя в своей работе лучший практический опыт, получить ответы на все вопросы невозможно, но это значительно продвинет вперед.
Не следует чересчур увлекаться инструментами защиты. Установка системы безопасности на каждом сервере и приложении не увеличит отдачу от инвестиций, говорит Рик Аллен, директор компании E-Security Assurance Services. Уровень защиты должен соответствовать уровню риска: нет смысла приобретать средство защиты за 500 долл., если потенциальный ущерб оценивается в 50 долл.
Уделить основное внимание защите данных внутри системы. Не поможет самый надежный межсетевой экран, если утечка информации произойдет из-за отсутствия внутренней защиты, считает Аллен. Пять основных компонентов внутренней защиты - это авторизация, идентификация пользователей и систем, аутентификация, целостность данных (включая резервное копирование и контрольные проверки), а также мониторинг.
Проверить, насколько обоснованны выбранная стратегия и ее практическая реализация, считает Барбара Бучнер, в прошлом старший менеджер по безопасности данных компании Merck-Medco Managed Care, а в настоящее время сотрудница Technology Managers Forum. Затем убедиться, что реальное положение дел в компании соответствует тому, что написано на бумаге.
Подробно описать результаты аудита. Перечислить выявленные слабые места в системе безопасности вместе с предложениями по повышению их уровня защиты, советует Вернон. Выделить ключевые моменты и оценить стоимость намеченных мероприятий. Некоторые уязвимые места могут быть оставлены без изменений в тех случаях, если их устранение неоправданно с экономической точки зрения.
Не терять чувство реальности. Сжатый отчет на 25 страницах с четким изложением конкретных действий лучше, чем документ на 1000 страниц, который вряд ли кто-нибудь сможет прочесть до конца, считает Аллен.
Обратиться к профессионалам. Организациям с многоуровневой системой безопасности, которые взяли на себя обязательства по защите информации пользователей или пациентов, имеет смысл заключить договор с компанией, специализирующейся на защите информационных систем. Множество тонкостей, очевидных для профессионала, могут выпасть из поля зрения системного администратора, предупреждает Том Уотсон, руководитель проекта по защите данных фармацевтического подразделения компании Bayer. Специалисты компании, занимающейся вопросами безопасности на профессиональном уровне, смогут провести аудит информационной системы, подберут оптимальную методику и представят необходимую документацию или просто подтвердят, что правильно оценена степень риска и ничего не упущено.
Помнить, что обеспечение безопасности - сложная задача, требующая постоянного внимания, поэтому проверки должны стать регулярными. «У этой истории нет конца», - говорит Вернон.