Развертывание механизмов шифрования должно включать управление ключом защиты. При использовании шифровального блока (устройства для шифрования трафика, передаваемого от узла к узлу) система должна разрешать периодическое изменение ключа. При шифровании на открытом ключе, когда сертификаты выдаются большому количеству лиц, проблема намного серьезнее.
Если планируется введение подобной системы, удостоверьтесь в наличии времени для испытания ключа защиты. Также имейте в виду, что экспериментальная программа позволяет охватить ограниченное число пользователей, а система управления ключом защиты должна быть соразмерна всей системе.
Физическая безопасность
Физическая безопасность традиционно обособлена от информационной или компьютерной безопасности. Установка видеокамер, замков и охранников обычно не очень хорошо понималась работниками отдела компьютерной безопасности. Если в вашей организации дело обстоит именно так, вы должны найти поддержку со стороны. Имейте в виду, что устройства физической безопасности затронут работников организации, как и изменение способа аутентификации. Работники, которые видят видеокамеры в туалете или предъявляют пластиковую карту для входа в кабинет, должны приспособиться к новым обстоятельствам. Если сотрудники пользуются такими картами, то организация должна разработать процедуру действий работников, потерявших или оставивших их дома.
Такая процедура должна доказать, что данный человек действительно является сотрудником организации. Это могут быть цифровые фотографии или звонок коллеги для подтверждения подлинности. Некоторые организации полагаются только на подпись работника в соответствующем журнале. Такой метод позволяет злоумышленнику получить доступ к ее материальным ценностям.
Применяя механизмы физической безопасности, вы не должны забывать о безопасности центра обработки данных. Доступ к центру данных должен быть ограничен, как следует защищен от огня, высокой температуры и отключения электричества. Внедрение систем пожаротушения и климат-контроля заставит вас провести всестороннюю модернизацию центра данных. Применение источника бесперебойного питания следует применять в системах, отключающихся на короткое время.
Персонал
При применении любых новых систем безопасности вы должны располагать подходящим персоналом. Некоторые системы потребуют постоянного обслуживания (механизмы идентификации пользователей и системы обнаружения вторжений). Другим системам потребуются люди для выполнения положений плана (например, для сканирования уязвимостей).
Вам потребуются обученные сотрудники при проведении учебных программ по повышению осведомленности. Сотрудник отдела информационной безопасности должен присутствовать на каждом учебном занятии, чтобы отвечать на специфические вопросы, даже если обучение проводится отделом обучения.
Последняя проблема, связанная с персоналом, - это ответственность. Ответственность за безопасность организации должна устанавливаться индивидуально. В большинстве случаев ответственным назначается руководитель отдела безопасности, который отвечает за разработку политики, исполнение плана и реализацию механизмов безопасности. Назначение этой обязанности должно быть первым шагом по пути реализации нового плана безопасности.
Проведение профессиональной переподготовки
Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка - это механизм обеспечения сотрудников необходимой информацией. Программы обучения могут иметь форму коротких занятий, информационных статей или плакатов. Наиболее эффективные программы используют все три формы.
Сотрудники
Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации. Компетентная профессиональная переподготовка по безопасности обеспечивает их необходимой информацией в области политики организации, выбора пароля и предупреждения атак социального инжиниринга.
Обучение сотрудников лучше всего проводить короткими занятиями - по часу или менее. Видеоматериалы способствуют более качественному уровню занятий, чем обычная лекция. Все новые сотрудники должны проходить обучение как часть инструктажа, а все работающие - раз в два года.
Администраторы
Обучение важно и для системных администраторов. Они должны быть осведомлены о последних на данный момент технических приемах хакеров, угрозах безопасности и обновления программных продуктов. Это обучение должно проходить часто (возможно, раз в месяц) и проводиться сотрудниками отдела безопасности. Информация об обновлениях может быть включена в регулярные совещания штата администраторов для экономии времени, так необходимого администраторам. В дополнение к этому отдел безопасности должен передавать обновления администраторам сразу после появления новых версий, не дожидаясь очередного совещания.
Разработчики
Обучение для разработчиков должно быть расширенной версией учебных занятий для сотрудников. Дополнительный материал включает специфические технические приемы программирования для устранения уязвимых мест и соответствующее понимание роли отдела безопасности в процессе разработки.
Для всех новых разрабатываемых проектов необходимо вовлекать на стадии проектирования отдел безопасности. Это позволит анализировать новые проекты на предмет приоритетного выделения средств на вопросы, связанные с безопасностью. Обучение разработчиков должно дать объяснение важности такого подхода.
Руководители
Презентация для руководителей организации - это отчасти и обучение, и маркетинг. Без поддержки руководства программа безопасности просто не сможет существовать. Следовательно, руководство должно быть проинформировано о состоянии безопасности и о дальнейшем развитии программы.
Периодические презентации руководству должны включать результаты недавних оценок и состояние различных проектов по безопасности. По возможности система показателей, выражающая риски для организации, должна быть общепризнанной. Например, нужно отследить и отразить в отчете число уязвимых мест организации и нарушений системной политики.
Совет
В ходе этих презентаций можно представить информацию, используемую для обучения сотрудников, чтобы напомнить руководству об их обязанностях в плане обеспечения безопасности.