Подход к выработке процедур для предупреждения нарушений безопасности
Политика безопасности отвечает на вопрос ЧТО:
- Что следует защищать?
- Что является самым важным?
- Что за свойства у защищаемых объектов?
- Что за подход к проблемам безопасности избран?
Сама по себе политика безопасности не говорит, КАК защищаются объекты. Ответы на вопросы КАК дают процедуры безопасности.
Политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию. Процедуры безопасности должны в деталях специфицировать шаги, предпринимаемые организацией для собственной защиты.
Политика безопасности должна включать в себя общую оценку рисков по отношению к наиболее вероятным угрозам и оценку возможных последствий их осуществления. Часть процесса оценки рисков заключается в составлении списка активов, нуждающихся в защите. Данная информация необходима для выработки экономически эффективных процедур.
Заманчиво начать разработку процедур безопасности, отправляясь от защитных механизмов: "На всех компьютерах нашей организации должны вестись регистрационные журналы, модемы обязаны выполнять обратный дозвон, а всем пользователям необходимо выдать интеллектуальные карточки". Однако подобный подход может повести к массированной защите областей с небольшим риском и к недостаточной защите действительно уязвимых участков. Если же начать с политики и описанных ею рисков, можно быть уверенным, что процедуры обеспечивают достаточный уровень защиты для всех активов.
Чтобы определить риски, необходимо выявить уязвимые места. Одна из целей политики безопасности состоит в том, чтобы их прикрыть и тем самым уменьшить риск для максимально возможного числа активов. К числу типичных уязвимостей и их источников относятся:
-
точки доступа;
- неправильно сконфигурированные системы;
-
программные ошибки;
-
внутренние злоумышленники.