что такое политика информационной безопасности организации
Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля
Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.
1. Заручиться поддержкой руководства.
Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.
Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».
Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.
Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.
На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».
2. Определить состав рабочей группы.
Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.
Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.
3. Определить риски.
После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:
После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.
После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.
4. Принять организационные меры.
На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.
5. Выбрать и внедрить меры и средства защиты информации.
На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.
При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.
6. Довести информацию до заинтересованных лиц.
Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.
7. Провести мониторинг и оценку.
После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.
Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.
Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Политика информационной безопасности — опыт разработки и рекомендации
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
Необходимость наличия политики ИБ
В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.
Понимание целей и задач подразделения информационной безопасности
Требования политики — основание для внедрения защитных мер
Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)
Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании
Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?
Рекомендации по разработке политики ИБ
На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.
Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.
Анализ политик ИБ существующих компаний
| Полезное количество страниц* | Загруженность терминами | Общая оценка | |
|---|---|---|---|
| ОАО „Газпромбанк“ | 11 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО „Фонд развития предпринимательства “Даму» | 14 | Высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО НК «КазМунайГаз» | 3 | Низкая | Простой для понимания документ, не перегруженный техническими терминами |
| ОАО «Радиотехнический институт имени академика А. Л. Минца» | 42 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц |
* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
Внедрение и использование политики ИБ
По вопросам и предложениям добро пожаловать в комментарии и личку.
UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).
Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.
Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.
Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.
Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.
Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?
Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.
Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.
Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.
То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.
Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.
В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.
Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
Политики информационной безопасности
Грамотная конфигурация и основные требования,
политики DLP-системы
П олитикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.
За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными. Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.
Для чего нужна формализация защиты информации
Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.
Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.
Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.
Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.
В DLP-системах политика безопасности – алгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «СёрчИнформ КИБ» разработано 250+ готовых политик безопасности, которые предназначены компаниям из разных сфер.
Несостоявшиеся политики
Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.
Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.
Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.
К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.
Разработка эффективной системы информационной безопасности
Для создания эффективной системы информационной безопасности должны быть разработаны:
Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.
Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.
Структура концепции защиты
Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.
Основными разделами концепции безопасности являются:
Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.
Перечень основных требований к документации по безопасности
Политику безопасности надо формулировать с учетом двух основных аспектов:
Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:
Организация и внедрение ИБ
После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:
Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы, компании, у которых нет выделенной ИБ-службы, могут воспользоваться аутсорсингом информационной безопасности.
Лица, пытающиеся получить несанкционированный доступ к информации
В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.
Потенциальные внешние нарушители:
Потенциальные внутренние нарушители:
Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.
При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Цели и задачи политики информационной безопасности
Защита персональных данных
с помощью DLP-системы
С ледование правилам информационной безопасности позволяет защитить информацию на предприятии и предотвратить сбои в работе существующей бизнес-системы. Прежде чем начать разработку стратегического плана безопасности, важно понять, какие цели должна преследовать система защиты и какие есть уязвимости деятельности предприятия.
Стратегия безопасности – это комплексный подход, состоящий из организационных, технических и инженерных мер, которые в конечном счете поддерживают работу системы безопасности.
Понятие политики безопасности
Каждая сетевая услуга, которую использует или предоставляет организация, создает риски для всей системы и сети, к которой она подключена. Создание комплексной системы защиты невозможно без политики безопасности.
Политика безопасности – это набор правил, которые применяются ко всем функциям компьютеров и других коммуникационных ресурсов, принадлежащих организации. На практике правила создаются службой безопасности предприятия, администратором безопасности или компаниями, которые предоставляют услуги по защите данных.
Все правила, указанные в политике безопасности, должны применяться к сотрудникам, компьютерам и другим вычислительно-коммуникационным ресурсам, которые принадлежат организации.
Правила ИБ включают:
Политика безопасности определяет, что вы хотите защитить и что вы ожидаете от пользователей системы. Она обеспечивает основу для планирования безопасности при разработке новых объектов или расширения вашей текущей сети.
Правила ИБ описывают обязанности пользователя, такие как защита конфиденциальной информации и создание нетривиальных паролей. Также политика безопасности должна описывать, кто и как будет следить за эффективностью и своевременным выполнением мер безопасности. Такой мониторинг помогает определить, может ли кто-либо попытаться обойти существующую систему защиты.
Цели безопасности
Чтобы разработать свою политику безопасности, нужно четко определить цели безопасности. Цели – это конкретные шаги, которые в итоге реализуют правила ИБ. Эти шаги включают в себя обучение сотрудников и внедрение необходимого программного обеспечения, оборудования для соблюдения правил. Кроме того, когда вносятся изменения в вычислительную среду, нужно обновлять политику безопасности. Это необходимо для того, чтобы специалисты могли определить все новые риски, которые касаются нововведений.
Для создания и выполнения политики безопасности у руководителя должны быть четкие цели. Цели безопасности относятся к одной или нескольким из следующих категорий:
Защита ресурсов
Схема защиты ресурсов должна гарантировать, что только авторизованные пользователи могут получить доступ к объектам системы. Возможность защиты всех типов системных ресурсов является основным показателем ее прочности. Служба безопасности должна определить разные категории пользователей, которые могут получить доступ к вашей системе. Кроме того, следует продумать, какую авторизацию доступа нужно предоставить этим группам юзеров в рамках создания политики информационной безопасности.
Аутентификация
Аутентификация – это проверка того, что ресурс (человек или машина) на другом конце сеанса действительно соответствует своим характеристикам. Постоянная аутентификация защищает систему от риска взлома, при котором злоумышленник использует ложную идентификацию для доступа к системе.
Традиционно для аутентификации используются пароли и имена пользователей, цифровые сертификаты или параметры биометрии человека (отпечатки пальцев, скан лица). Когда вы связываете свою систему с общедоступной сетью, такой как Интернет, аутентификация пользователя принимает новые параметры. Важным различием между Интернетом и обычной локальной сетью является надежность. Интрасеть позволяет контролировать весь входящий трафик и действия пользователей, в то время как Интернет является средой возможной атаки злоумышленника.
Следовательно, вы должны серьезно подумать о том, как использовать более сильные методы проверки подлинности, чем предоставляют традиционные процедуры ввода имени пользователя и пароля. У проверенных пользователей могут быть разные типы разрешений на основе их уровней авторизации.
Авторизация
Авторизация – это уверенность в том, что лицо или компьютер на другом конце сеанса имеют разрешение на выполнение запроса. Авторизация подразумевает, что существует риск получения доступа к системным ресурсам со стороны. Как правило, авторизация выполняется в контексте аутентификации.
Целостность
Целостность – это уверенность в том, что поступающая информация такая же, как и то, что было отправлено. Понимание целостности требует понимания понятий целостности данных и целостности системы.
Принципы целостности информации:
Конфиденциальность
Секретные данные должны сохраняться. Злоумышленник не должен знать об их существовании. Конфиденциальность имеет решающее значение для обеспечения общей безопасности данных предприятия. Она достигается с помощью таких принципов:
Все это помогает обеспечить конфиденциальность при передаче данных через ненадежные сети. Политика безопасности организации должна включать детальное описание шагов, выполнение которых обеспечивает ИБ и конфиденциальность данных в локальной и глобальной сети.
Аудит безопасности
Аудит безопасности – это мониторинг всех событий, которые связаны с получением доступа к сети. Всего рекомендуется использовать два типа записей – с указанием успешных авторизаций и подозрительных подключений. Неудачные попытки получения доступа являются первым сигналом попыток взлома.
Если уполномоченный сотрудник решил ознакомиться с результатами работы другого работника, такое действие должно быть внесено в журнал безопасности. Также нельзя выносить конфиденциальные данные за пределы охраняемого объекта. В случае необходимости передать бумажные копии нужно пользоваться услугами специальных курьерских компаний, которые занимаются передачей засекреченных данных между несколькими объектами.
Планирование целей ИБ и их достижение
Организация должна устанавливать цели информационной безопасности на всех уровнях. Цели ИБ в организации всегда соответствуют политике ИБ. Если это осуществимо на практике, риск взлома и хищения ценных данных будет минимальным.
Цели должны учитывать требования информационной безопасности и результаты оценки возможных рисков. Риски следует обработать и создать план противодействия, чтобы закрыть существующие каналы утечки. Важно отметить, что оценка опасности хищения должна быть экономически эффективной – затраты на устранение непредвиденных ситуаций не должны превышать максимальный убыток от действия злоумышленника.
В процессе планирования того, как достичь безопасности, организация должна дать ответ на такие вопросы:
Оценка целей
Служба безопасности должна быть уверена в эффективности разработанной системы ИБ. После формирования перечня целей следует провести оценку их эффективности. К примеру, если вы создаете систему передачи рабочих данных между сотрудниками через облачное хранилище, нужно удостовериться в надежности сервиса и по возможности разработать дополнительные клиентские программы, которые могут шифровать данные и в нечитабельном виде отправлять на сервер.
Описание результата
Конечный результат создания политики безопасности должен быть задокументирован с указанием всех проделанных действий, материальных затрат и дальнейших рекомендаций по совершенствованию. Важно, чтобы систему можно было легко модифицировать после подключения новых вычислительных ресурсов.
Со временем могут возникать новые каналы утечки или способы взлома, которые ранее не были рассмотрены службой безопасности. Подобные происшествия нужно мониторить и устранять в максимально короткие сроки.
Для ознакомления сотрудников с правилами разграничения доступа и тонкостями организации безопасности следует регулярно проводить служебные тренинги или выдавать служебные инструкции по использованию техники и ведению документации.
Эффективное выполнение политики безопасности подразумевает создание системы защиты конфиденциальных данных предприятия с минимальными затратами и максимальным охватом всех возможных каналов утечки данных.