Тестирование и эффективность правил
Этот раздел иногда называют Правилами правил. Здесь рассматриваются различные вопросы, начиная с того, каким образом оценивать эффективность проводимой политики. Мы говорим не о тестировании алгоритмов, а о том, насколько внедрение правил делает бизнес более эффективным, благодаря проводимым процедурам согласования.
Проверка правил на соответствие является весьма субъективным процессом. Большинство организаций, с которыми работал автор, предпочитают хранить в тайне статистику выявленных нарушений и разрешенных нарушений правил. Поэтому не удается получить информацию, которую можно бы было использовать при доработке правил информационной безопасности. Вот поэтому правила, разрабатываемые в этом разделе, охватывают процессы сбора статистики и составления отчетов. Кроме того, для подкрепления этих процессов рекомендуется включить в правила формулировку о проведении инструктажа по безопасности.
Что же касается инструктажа по безопасности, то после разработки правил необходима совместная работа разработчиков правил, руководства и каждого сотрудника организации для изучения правил и их применения. Руководство должно не только выделить для этого время, но и всячески содействовать проведению обучения. Введение требований проведения инструктажа в качестве первой формулировки правил в этом разделе говорит о том, что инструктаж является очень важным компонентом в плане обеспечения безопасности. Это может быть отражено в следующей формулировке.
Все пользователи для получения права доступа к сети и системам организации должны пройти инструктаж по безопасности для ознакомления с правилами безопасности. Пользователи, которые уже работают в сети, должны пройти инструктаж в течение 30 дней после введения в действие этих правил.
После ознакомления пользователей с правилами информационной безопасности следующим шагом нужно продемонстрировать степень соответствия правил реальной работе. Это будет мерой эффективности работы по данным правилам. Следует помнить, что речь идет о правилах, так что не стоит углубляться в специфику. В правилах может быть записано, что заниматься сбором и обработкой статистических данных и другой информации о нарушениях безопасности, а также о разрешенных нарушениях правил должны администраторы. Таким образом, в правила вводится следующая формулировка.
Администраторы безопасности и системные администраторы должны делать записи обо всех нарушениях безопасности. Эти записи должны быть достаточно подробны, чтобы их можно было использовать для наложения дисциплинарных взысканий и при доработке правил безопасности. Администраторы безопасности должны вносить каждое разрешенное нарушение правил в журналы допустимых рисков. Руководители, которым необходимо нарушить отдельные предписания этих правил, должны расписаться в таком журнале и тем самым взять на себя ответственность за безопасность систем и сетей.