Проверка возможности нарушения защиты - это спорная тема. Часто такие проверки выполняются вместо оценки. На самом деле, они имеют ограниченную ценность в программе безопасности. Причина этого проста: при проверках предпринимаются попытки воспользоваться установленной уязвимостью, чтобы получить доступ к системам и информации внутри организации. Если такая проверка имеет успех, то единственный вывод из всего этого - обнаружена, по крайней мере, одна уязвимость. Если проверка нарушения защиты терпит неудачу, то вывод такой - проверяющий не смог обнаружить и использовать уязвимость. Это вовсе не значит, что уязвимости не существует.
Почему же тогда необходимо выполнять проверку возможности нарушения защиты? Если организация провела оценку и применила подходящие средства управления риском, она может выборочно проверить некоторых из них. Проверка защиты подходит для следующих случаев.
· Способность системы обнаружения вторжений выявить попытку нарушения защиты.
· Уместность процедуры реагирования на инцидент, связанный с безопасностью.
· Информация о сети, которую можно узнать через средства управления сетевым доступом.
· Уместность физической безопасности помещения.
· Адекватность информации, предоставляемой сотрудникам программой повышения осведомленности в плане безопасности.
Внимание!
Какой бы ни была причина проведения проверки возможности нарушения защиты, подробный план этой проверки должен быть предоставлен до ее начала. Для каждого этапа плана необходимо определить цель проверки.
Организация определяет также масштаб проверки. Проверка возможности нарушения защиты через внешнюю сеть ограничена внешними сетевыми соединениями организации (соединения через интернет или с другими внешними организациями). Они могут включать доступ через коммутируемое подключение к сети компании или доступ к беспроводным сетям. Проверка физического нарушения защиты выявляют людей, пытающихся получить несанкционированный доступ к оборудованию. Масштаб подобных тестов может быть ограничен как рабочим, так и нерабочим временем. Проверка возможности атак социального инжиниринга связана с тестированием осведомленности сотрудников, она разрешает проверяющим вступать в контакт с сотрудниками, пытаясь заставить их разгласить информацию или предоставить доступ к внутренним системам.
Многие организации начинают развертывание систем безопасности с проверки возможности нарушения защиты. Однако большой пользы это не принесет, поскольку организация не получит достаточного количества информации, позволяющего управлять ее рисками.
Разработайте программу повышения осведомленности в плане безопасности
Осведомленность в плане безопасности - это важная часть любой хорошей программы безопасности. Самым важным моментом здесь является использование наглядных и выразительных способов предоставления информации сотрудникам. Для этого у вас есть занятия, плакаты, информационные листки и электронная почта.
Шаг за шагом
1. Определите ключевую информацию, которая должна быть передана сотрудникам вашей организации. Ее можно найти в различных политиках, используемых в организации. Обратите особое внимание на требования паролей, идентификационные карточки, использование политик, в общем, на все, что напрямую влияет на работу сотрудников.
2. Определите этапы программы повышения осведомленности и то, что будет использоваться для обучения сотрудников (например, проведение занятий или вывешивание плакатов).
3. Наметьте в общих чертах, как будет представлен материал.
4. Определите ресурсы, необходимые для выполнения программы обучения (инструкторы для занятий, кабинеты и т. д.).
Выводы
В большинстве случаев лучше всего использовать сочетание ежегодных занятий с ежемесячными информационными статьями и плакатами. Занятия для сотрудников не должны длиться больше одного часа, и даже тогда они должны быть более интересными, чем просто лекция сотрудника отдела безопасности. Старайтесь повышать уровень новаторскими идеями, чтобы удерживать интерес сотрудников.
Контрольные вопросы
1. Назовите пять этапов процесса информационной безопасности.
2. Для чего используются оценки?
3. Что делает политика?
4. Включен ли план восстановления на случай чрезвычайных происшествий в разработку политики?
5. Что такое развертывание политики?
6. Назовите примерную длительность занятия по повышению осведомленности сотрудников.
7. Через какой тип учебных занятий по повышению осведомленности должны пройти руководители?
8. Являются ли учебные занятия лучшим и единственным способом для предоставления информации всем работникам?
9. Когда попытки нарушения защиты терпят неудачу?
10. Почему безопасность считается процессом, а не набора действий, совершаемых однократно?
11. Какие практические проблемы препятствуют последовательному выполнению процесса?
12. Сколько обычно длится период оценки?
13. Почему информационная политика и политика безопасности разрабатываются в первую очередь?
14. Какова основная проблема, связанная с развертыванием новых систем идентификации?
15. Почему организация должна первым делом браться за решение вопросов, связанных с меньшим уровнем риска?