Написание эффективной политики безопасности (часть 2)
Кому: От:
Убедитесь, что ясно, кто издал политику и на кого она распространяется. Как описано в предыдущей статье (Написание эффективной политики безопасности, часть 1), если она не применяется к пользователю, сделайте ее частью приложения, таким образом не может быть недоразумений. Если политика издается высшим руководством, вероятность того, что она будет оспорена, меньше.
Человеческие ресурсы и их участие
HR должен быть вовлечен; Отдел кадров узнает о юридических элементах, которые необходимо обеспечить, и ратифицирует политику с юридическим отделом или юридическим консультантом. Держите повестку дня ясной и не позволяйте HR убегать с политикой IT/IS/Sec. Отдел кадров также сможет дать рекомендации по юридическим дисциплинарным мерам после того, как они изучат политику безопасности.
Если политика написана для заполнения пробела в аудите (соответствие), то следует соблюдать осторожность, чтобы не вписывать в политику двусмысленные термины и элементы управления без реальной причины. Эти расплывчатые термины могут быть включены в приложение после того, как была запрошена юридическая консультация.
Если политика написана словами, которые пользователь может понять, в случае возникновения спора это не может быть истолковано как двусмысленное или трудное для понимания значение.
Использование политики безопасности
Политика также может быть использована для доказательства в суде того факта, что компания провела должную осмотрительность для предотвращения убытков и снижения риска. Это также доказывает, что у организации есть этические и правовые намерения. Например, часть политики может, как часть обязательных элементов, требовать, чтобы пользователи использовали только лицензионное программное обеспечение.
Один из элементов ISO 17799/27000
Серия ISO 27000 состоит из серии международных документов, которые могут помочь в разработке политики. Это обширный и открытый документ, поэтому рекомендуется обращаться за профессиональным руководством.
Другие элементы политики, резюме
- Привлечь высшее руководство к участию
- Будь благоразумен
- Не забывайте людей; убедитесь, что политика охватывает элемент людей и то, откуда пришли люди; вы же не хотите нанимать не тех грабителей, если управляете банком…
- Придерживайтесь последовательного четкого подхода, основанного на фактах
- Сделать политику принудительной
- Основывайте политику на международной основе, такой как серия ISO 27000.
- Достигайте бизнес-целей, соблюдая законы и правила
- Все исключения и подробности являются приложением, а не частью основного документа.
- Обновляйте политику не реже одного раза в год, чтобы документ оставался актуальным.
- Будьте ясны, прямо конкретны и лаконичны
- Не используйте юридические термины и трудный для понимания жаргон
- Привлеките HR и юридический отдел и получите одобрение высшего руководства
- Попросите высшее руководство издать политику
- Убедитесь, что пользователи прочитали и подписали политику
- Задействовать все отделы компании
- Убедитесь, что при объединении новый объект использует ту же политику
- Применение политики к пользователям объектов компании, удаленным или локальным
- Убедитесь, что политика доступна на всех разговорных языках.
- Адаптировать политику к культуре компании
- Дайте определение всему, это можно поместить в приложение, чтобы не было похоже на договор
- Помните, что политика также будет применяться к активам компании.
- Держите политику независимой от программных и аппаратных решений
- Другие политики могут являться частью политики безопасности, например AUC (политика допустимого использования).
- Охватить все элементы модели OSI от первого до второго уровня.
- Охватить TCB (доверенную вычислительную базу) и поведение пользователей
Включите другие элементы политики, такие как
- Наличие ресурсов и график доступных
- Система подотчетности
- Политика аутентификации как для удаленного, так и для локального доступа к логическим и физическим активам компании
- Список контроля доступа, определяющий доступ к ресурсам компании
- Политика AUC
- Политика обслуживания системы
- Политика инцидентов
- Политика резервного копирования
- Антивирусная политика
- Антивредоносная политика
- Антипиратская политика
- Политика аварийного восстановления (план)
- Политика обеспечения непрерывности бизнеса
- Распределение обязанностей
- Политика оценки уязвимостей
- Политика обновления программного обеспечения
- Политика наименьших привилегий
- Политика паролей
- Политика проверки данных о занятости
- Политика конфиденциальности данных
- Политика инвентаризации оборудования и программного обеспечения
- Политика расположения активов
- Политика использования Интернета
- Политика использования электронной почты
- Политика информационных потоков
- Политика безопасности рабочего стола
- Политика мониторинга пользователей
- Политика гостевого пользователя
- Политика физической безопасности
- Политика мобильных вычислений
- Политика беспроводного доступа
Несмотря на то, что приведенные выше правила выглядят сложными, они могут быть краткими и краткими и могут составлять часть одного и того же документа при условии, что было передано четкое понимание. Приведенный выше список элементов политики может быть собран в один документ, а соответствующие технические элементы управления построены вокруг субъектов и объектов для достижения бизнес-цели.
Любые соглашения с внешними сторонами также должны включать такие элементы, поскольку это гарантирует, что поставщик услуг также соблюдает передовую практику и, в свою очередь, не подвергает организацию опасности. Изменения в политике безопасности должны быть опубликованы, а третьи стороны должны быть уведомлены, а ответ должен быть запрошен в письменной форме, чтобы убедиться, что поставщик услуг соблюдает политику. Тенденция в Великобритании в настоящее время распространяется, где это становится все более нормой при общении с государственными учреждениями.
Где умирают политики безопасности?
Политики, отправленные по электронной почте, которые подписываются только тогда, когда пользователь переходит на новую должность, и никогда больше не являются хорошими новостями. В кабинете отдела кадров, когда пользователю приходится звонить, чтобы получить копию политики, вы знаете, что политика мертва. Если бы это было не так, пользователю не нужно было бы воскрешать политику из недр HR.
Политики, которые не поддерживаются, неясны, не применимы к большинству пользователей и написаны трудным для понимания языком, не только опасны, но и не будут читаться и соблюдаться. Политика должна быть на виду у людей, к которым она относится. Должна быть предусмотрена возможность принудительного исполнения, поэтому правила следует прочитать до начала игры. Это (или элементы политики) можно усиливать каждый раз, когда выполняется новое событие или действие.
Что теперь?
Следующий шаг — начать, если вы еще этого не сделали, если вы не знаете, куда идти дальше, обратитесь за профессиональной помощью, есть квалифицированные специалисты CISSP, которые могут помочь, и множество ресурсов в Интернете, которые помогут вам на этом пути. Помните, что ваш отдел кадров может помочь, и у них, скорее всего, уже есть базовая политика, которую вы можете расширить. Пока вы стремитесь к достижению бизнес-целей и четко понимаете, как организация хочет, чтобы пользователи вели себя, вы должны быть на пути к написанию эффективной политики безопасности.
Ссылка: http://www.faqs.org/rfcs/rfc2196.html
Резюме
Во второй статье мы сосредоточились на элементах политики и причинах, по которым HR и юридические лица участвуют в формулировании политики безопасности. Мы также рассмотрели сводку политики безопасности, которую можно распечатать в качестве руководства при просмотре и написании вашей политики. Я надеюсь, что эта серия была полезной и что вы приблизились к расширению политики безопасности вашей организации.
разделу Создание эффективной политики безопасности (часть 1)