Політика безпеки компанії при роботі в Internet

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

КРАСНОДОНСЬКИЙ ПРОМИСЛОВО ЕКОНОМІЧНИЙ КОЛЕДЖ

Реферат з предмету: «Інформаційна безпека»

• На тему:
• «Політика безпеки компанії при роботі в Internet»

Студента групи 1ОКІСМ-06

Петренко Михайла

Перевірила: Дрокіна Т.М.

Краснодон

2009

Аналіз вітчизняного ринку засобів захисту інформації

Сучасний ринок засобів захисту інформації можна умовно розділити на дві групи:

· засоби захисту для держструктур, що дозволяють виконати вимоги нормативно-правових документів (федеральних законів, указів Президента РФ, постанов Уряду РФ), а також вимоги нормативно-технічних документів (державних стандартів, керівних документів Держтехкомісії (ФСТЭК) Росії, Міністерства оборони РФ і ФСБ РФ );

· засоби захисту для комерційних компаній та структур, що дозволяють виконати рекомендації СТР-К Держтехкомісії Росії, ДСТУ ISO / IEC 15408 та ISO 17799:2.

Наприклад, для захисту конфіденційної інформації в органах виконавчої влади ставляться такі вимоги.

1. Вибір конкретного способу підключення до мережі Інтернет, у сукупності забезпечує міжмережевого екранування з метою управління доступом, фільтрації мережевих пакетів та трансляції мережевих адрес для приховування внутрішньої структури мережі; проведення аналізу захищеності вузла Інтернет; використання засобів антивірусного захисту; централізоване управління, повинен здійснюватися на підставі рекомендацій документа Держтехкомісії РФ СТР-К.

2. АС організації повинні забезпечувати захист інформації від несанкціонованого доступу (несанкціонованого доступу) по класу «1Г» відповідно до РД Держтехкомісії РФ "РД. Автоматизовані системи. Захист від НСД до інформації. Класифікація АС і вимоги щодо захисту інформації".

3. Засоби обчислювальної техніки і програмні засоби АС повинні задовольняти вимогам четвертого класу РД Держтехкомісії Росії «РД. Засоби обчислювальної техніки. Захист від НСД до інформації. Показники захищеності від НСД до інформації ».

4. Програмно-апаратні засоби міжмережевої екранування, що застосовуються для ізоляції корпоративної мережі від мереж загального користування, повинні задовольняти вимоги «РД. Засоби обчислювальної техніки. Міжмережеві екрани. Захист від НСД до інформації. Показники захищеності від НСД до інформації »з третього класу захисту.

5. Інформаційні системи повинні задовольняти вимогам ДСТУ ISO / IEC 15408 по захищеності інформаційних систем в рамках заданих профілів захисту.

6. На виконання наказу Держкомзв'язку Росії від 25 грудня 1997 N103 «" Про організацію робіт із захисту інформації в галузі зв'язку та інформатизації при використанні мережі Інтернет »пряме підключення до мережі Інтернет АРМ з управління обладнанням мереж зв'язку, моніторингу, обробки даних повинне бути заборонено.

7. Програмно-апаратні засоби криптографічного захисту конфіденційної інформації, у тому числі які використовуються для створення віртуальних захищених мереж, VPN повинні мати сертифікати ФАПСИ.

8. Обов'язковим є використання засобів ЕЦП для підтвердження автентичності документів.

9. Для введення використання персональних цифрових сертифікатів і підтримки інфраструктури відкритих ключів для використання засобів ЕЦП та шифрування необхідно створити легітимний засвідчує центр (систему центрів, що засвідчують).

10. Політика інформаційної безпеки повинна передбачати обов'язкове включення в технічні завдання на створення комунікаційних і іформаціонних систем вимог інформаційної безпеки.

11. Повинен бути регламентований порядок введення в експлуатацію нових інформаційних систем, їх атестації за вимогам інформаційної безпеки.

Для виконання перерахованих вимог і належного захисту конфіденційної інформації в держструктурах прийнято використовувати сертифіковані засоби. Наприклад, засоби захисту від несанкціонованого доступу (НСД), міжмережеві екрани і засоби побудови VPN, засоби захисту інформації від витоку за рахунок ПЕМВН та інші. Зокрема, для захисту інформації від НСД рекомендується використовувати апаратно-програмні засоби сімейств Secret Net ( «Інформзахист»), Dallas Lock ( «Конфідент»), «Акорд» (ОКБ САПР), електронні замки «Соболь» ( «Інформзахист»), USB-токени ( «Аладдіна») та інші. Для захисту інформації, що передається по відкритих каналах зв'язку рекомендовані апаратно-програмні міжмережеві екрани з функціями організації VPN, наприклад, Firewall-1/VPN-1 (Check Point), «" Застава »(« Елвіс + »), VipNet (« Інфотекс » ), «Континент» ( «Інформзахист»), ФПСН-IP ( «АМІКОН») та інші.

Засоби захисту інформації для комерційних структур більш різноманітні, серед них:

· засоби управління оновленнями програмних компонент АС;

· міжмережевого екранування;

· побудови VPN;

· контролю доступу;

· виявлення вторгнень і аномалій;

· резервного копіювання та архівування;

· централізованого управління безпекою;

· запобігання вторгненням на рівні серверів;

· аудиту та моніторингу засобів безпеки;

· контролю діяльності співробітників у мережі Інтернет;

· аналізу вмісту поштових повідомлень;

· аналізу захищеності інформаційних систем;

· захисту від спаму;

· захисту від атак класу «Відмова в обслуговуванні»;

· контролю цілісності;

· інфраструктура відкритих ключів;

· посиленою аутентифікації та інші.

Дамо коротку характеристику перерахованим засобам захисту.

Засоби керування оновленням інформації

Впровадження засобів управління оновленнями програмних компонент АС, наприклад Microsoft Software Update Services, дозволяє зменшити обсяг Інтернет-трафіку компанії в цілому. Так як стає можливим організувати і котроліровать необхідні оновлення програмних компонент АС компанії з однієї точки - внутрішнього виділеного сервера. При цьому підприємство отримує наступні переваги:

· зменшуються витрати по оплаті трафіку;

· збільшується надійність функціонування програмних компонент АС;

· зменшується час на технічну підтримку та супровід програмних компонент АС;

· підвищується захищеність АС в цілому, зокрема, зменшується кількість інцидентів, пов'язаних з вірусами і ворожими апплетами.

Засоби міжмережевого екранування

Міжмережевий екран (брандмауер) використовуються як засоби захисту від несанкціонованого доступу периметра мережі та основних критичних компонент АС. Міжмережеві екрани (МЕ) дозволяють забезпечувати захист на рівні доступу до компонентів та мережі в цілому (MAC-адреси), на мережевому рівні (контроль IP-адрес), на транспортному рівні ( "машини станів" основних протоколів), на прикладному рівні (проксі -системи). Характеристики ринку МЕ представлені на діаграмі 1.

Засоби побудови VPN

Засоби побудови віртуальних приватних мереж, VPN, використовуються для організації для захисту трафіку даних, переданих по відкритих каналах зв'язку. При цьому захист організується на фізичному рівні (захист кабелів, екранізація наведень), на мережевому рівні (наприклад, шифрування трафіку від комп'ютера до комп'ютера на основі протоколу IPsec), на транспортному рівні (наприклад, шифрування даних, переданих однією програмою іншому (на іншому комп'ютері ) на основі протоколу SSL), на прикладному рівні (наприклад, шифрування даних додатком самостійно).

На діаграмі 2 представлена оцінка ринку SSL VPN.



Засоби контролю доступу

Поява засобів контролю доступу обумовлено необхідністю регламентувати доступ багатьох користувачів до програм та інформаційних ресурсів компанії. Дані кошти здійснюють аутентифікацію (точне впізнання) підключаються до АС користувачів і процесів, авторизацію (наділення певними повноваженнями) користувачів і процесів.

Стан ринку засобів контролю доступу представлено на діаграмі 3.



Засоби виявлення вторгнень і аномалій

Засоби виявлення вторгнень, IDS (Intrusion Detection Systems) і аномалій дозволяють за допомогою деякого регламенту перевірок контролювати стан безпеки корпоративної мережі в реальному масштабі часу. Загальний аналіз ринку систем виявлення та аномалій представлений на діаграмі 4.

Засоби резервного копіювання та архівування

Засоби резервного копіювання та архівування застосовуються для забезпечення цілісності сховищ даних у випадках апаратних і програмних збоїв, помилкових дій адміністраторів і користувачів, а також відмов засобів обчислювальної техніки. Поточний стан ринку систем резервування представлено на діаграмі 5.

Засоби централізованого управління безпекою

Засоби централізованого управління інформаційною безпекою дозволяють ефективно створювати, перевіряти і підтримувати технічні політики безпеки програмних компонент АС. Наприклад, система централізованого управління Cisco Works VPN / Security Management Solution дозволяє контролювати та управляти політиками безпеки наступних пристроїв безпеки компанії Cisco Systems:

· Cisco PIX Firewall;

· Cisco VPN Router;

· Cisco IDS 4200;

· Cisco Security Agent.

Засоби запобігання вторгненням на рівні серверів

Так як сервера компанії зазвичай є основною метою атак зловмисників (на них обробляється основна частина конфіденційної інформації компанії), то необхідно використовувати засоби запобігання вторгненням на рівні серверів, наприклад, Cisco Security Agent. Інші можливі рішення представлені на діаграмі 6.

Засоби моніторингу безпеки

Велика кількість засобів забезпечення інформаційної безпеки (міжмережеві екрани, системи виявлення вторгнень, маршрутизатори, засоби створення віртуальних приватних мереж, журнали безпеки серверів, системи аутентифікації, засоби антивірусного захисту і т. д.) генерує величезну кількість повідомлень. Для успішного моніторингу та управління цими коштами рекомендується використовувати відповідні кошти аудиту безпеки, наприклад Cisco Security Information Management Solution.

Засоби контролю діяльності співробітників в Internet

В даний час однієї із серйозних проблем у роботі вітчизняних служб безпеки є запобігання спроб використання Internet-ресурсів компанії в особистих цілей (завантаження відео, аудіо, картинок, неліцензійного програмного забезпечення). За статистикою, нецільове використання мережі Інтернет призводить до втрати продуктивності співробітників компанії приблизно на 30-40% (за даними виробника засобів захисту Surfcontrol) (див. діаграмму8).

Для попередження названих дій рекомендується встановлювати сооветствующіе засоби, наприклад Websense, які дозволяють аналізувати і формувати звіти з використання співробітниками компанії ресурсів Internet, контролювати використання співробітниками програмного забезпечення на своїх робочих місцях, а також проводити аналіз мережеву активність і пропускної здатності мережі компанії в цілому.

Засоби аналізу вмісту поштових повідомлень

Засоби аналізу вмісту поштових повідомлень призначені для виявлення і запобігання передачі конфіденційної інформації за допомогою корпоративної електронної пошти. В даний час на вітчизняному ринку засобів захисту інформації є такі системи, зокрема «Дозор-Джет» компанії «Інфосистеми Джет і Maile Swipper компанії« Інформзахист ».

Засоби аналізу захищеності

Аналіз захищеності АС є одним з ключових аспектів побудови надійної системи забезпечення інформаційної безпеки підприємства і заснований на застосуванні сканерів безпеки. На ринку комерційних сканерів можна виділити чотири основні групи виробників сканерів - постачальників рішень згідно з 7-рівневої моделі OSI:

· прикладного рівня - 1 рівень моделі OSI (зверху вниз);

· представницького рівня - 2 рівень OSI;

· сеансового рівня і нижче - 3-5 рівні OSI;

· мережного рівня - 6-7 рівні OSI.

Засоби захисту від спаму

У Російській Федерації обсяг спаму в повідомленнях електронної пошти досяг 60%. Співробітникам доводиться витрачати свій робочий час, а це гроші підприємства, на перегляд таких повідомлень, їх видалення, налаштування правил по нейтралізації. Спам також містить програми типу «Троянський кінь», програми-шпигуни (spyware) і віруси. Для запобігання отримання повідомлень, що містять спам, можна використовувати один з продуктів наступних фірм: Symantec (використовує технологію фірми Brightmail), Trend Micro (технологія фірми Postini) або "Лабораторія Касперського".

Засоби контролю цілісності

Внесення некоректного зміни в конфігурації сервера або маршрутизатора може призвести до виходу з ладу важливого сервісу чи цілої мережі. Дуже важливо попередити і відстежити несанкціоновані зміни на порталі підприємства. Для попередження і швидкого реагування на таку ситуацію необхідно мати спосіб відстеження всіх вироблених змін. Цю можливість надає серія продуктів компанії Tripwire.

Інфраструктури відкритих ключів

Впровадження інфраструктури відкритих ключів дуже трудомістка завдання, що вимагає ретельного опрацювання та аналізу. При вирішенні цього завдання реомендуется використовувати продукти компанії RSA Security (Keon) і КріптоПро (Криптопровайдер), зберігання сертифікатів здійснювати на апаратних пристроях Aladdin USB eToken.

Засоби посиленою аутентифікації

На критичних елементах мережевої інфраструктури рекомендується реалізувати систему посиленою аутентифікації на базі продукту Cisco Secure Access Control Server з використанням системи одноразових паролів RSA Security SecurID.

Характеристика зрілості техологій захисту інформації

1. Практика забезпечення захисту інформації у вітчизняних компаніях насичена інцидентами. Аналіз інцидентів в області безпеки свідчить про те, що одних тільки технічних засобів захисту недостатньо. Наведемо кілька прикладів.

2. Поява нових мережевих "хробаків" нехай навіть у день опублікування повідомлення про чергову уразливості додатків і / або операційних систем практично зводить нанівець усі зусилля постачальників антивірусного програмного забезпечення. Вони просто не встигають вчасно випустити оновлення для своїх антивірусів. Так як необхідний час на дослідження нового вірусу, розробку і публікацію відповідної сигнатури, а споживачам антивірусів необхідний час на установку оновлень в корпоративній мережі. За цей час корпоративна інформаційна система вже може бути виведена з ладу. Крім того, більшість конфігурацій операційних систем встановлено за умовчанням, що сприяє швидкому поширенню мережевих "хробаків". Наприклад, в 2003 році приблизно 90% інцидентів було викликане атаками мережних "хробаків". Більше того, теоретично доведено, що множина всіх вірусів не піддається перерахуванню і що не можна створити універсальний детектор, здатний відрізнити "чистий" програму від зараженої (Л. Адлеман і Ф. Коен).

3. Операційні системи, як би не заявляли розробники про свої нові успіхи, все одно залишаються найбільш слабким місцем у корпоративній системі захисту інформації. Відповідно до досліджень університету Carnegie-Mellon на кожні 1000 рядків коду програми припадає від 5 до 15 помилок. Можна порахувати скільки помилок потенційно містить кожна з перерахованих операційних систем:

· Windows 2000 - 35-60 мільйонів рядків коду

· Windows XP-45 мільйонів рядків коду

· Debian GNU / Linux 2.2-55 мільйонів рядків коду

· Linux Red Hat-30 мільйонів рядків коду

4. За даними незалежних аналітичних центрів системи виявлення вторгнень, IDS виявляють не більше 14% - 18% усіх здійснюваних атак. При цьому більшість систем виявлення вторгнень побудовані на принципах виявлення на основі сигнатур атак (див. таблицю 1), тобто мають ті ж вади, що й антивірусне програмне забезпечення.

5. Системи контролю доступу на основі біометричних параметрів теж не ідеальні. Відбитки пальців не настільки унікальні, як стверджується виробниками: існує ймовірність 0.1, що стороння особа буде ідентифікуватися як яка має право доступу.

Аналогічні висновки можна зробити практично по кожній технології захисту інформації. Наочно оцінки зрілості сучасних технологій захисту інформації представлені на діаграмі аналітичної компанії Gartner Group

Необхідність створення політики безпеки

Будь-яку вітчизняну компанію можна порівняти з невеликим державою. І якщо в кожній державі існує законодавство, що регламентує діяльність громадян, то в компанії роль законів виконують правила політики безпеки. За порушення законів держави громадяни несуть відповідальність, за порушення політики безпеки компанії співробітники також повинні нести відповідальність.

Політика інформаційної безпеки визначає стратегію і тактику побудови корпоративної системи захисту інформації. У російській термінології документ визначає стратегію часто називають концепцією, а документ визначає тактику - політикою. На Заході прийнято створювати єдиний документ включає в себе стратегію і тактику захисту. Політика безпеки компанії є основою для розробки цілого ряду документів безпеки: стандартів, інструкцій, процедур, практик, регламентів, посадових інструкцій і пр.

Що має мотивувати вітчизняні підприємства і компанії розробляти політику інформаційної безпеки? До таких мотивів можна віднести наступне:

1. Виконання вимог керівництва компанії

Як правило, керівництво компанії виявляє увагу до проблем інформаційної безпеки під впливом "фактору страху" або після кількох серйозних інцидентів які спричинили зупинку або уповільнення роботи компанії. Наприклад, в результаті вірусної атаки або атаки "відмова в обслуговуванні", розголошення конфіденційної інформації або крадіжки комп'ютерів з цінною інформацією.

2. Виконання вимог російського законодавства

Кожна компанія володіє інформацією, що представляє певну цінність, і зі зрозумілих причин вона не бажала б розголошення цієї інформації. Політика інформаційної безпеки дозволяє визначити правила відповідно до яких інформація буде віднесена до категорії комерційної чи службової таємниці. Це дозволить компанії юридично захистити інформацію (стаття 139 Цивільного Кодексу та Закон про захист комерційної таємниці). Залежно від сфери дії компанії, вона повинна виконувати вимоги чинного законодавства застосовуються до її галузі. Наприклад, банки, відповідно до статті 857 Цивільного Кодексу повинні гарантувати захист банківської таємниці клієнтів. Страхові компанії повинні захищати таємницю страхування (стаття 946 Цивільного Кодексу) і так далі. Крім цього, відповідно до Указу № 188 від 06.03.97 "Про затвердження переліку відомостей конфіденційного характеру", компанії повинні забезпечувати захист персональних даних співробітників.

3. Виконання вимог клієнтів і партнерів

Клієнти та партнери компанії часто бажають отримати деякі гарантії того, що їх конфіденційна інформація захищена належним чином і можуть зажадати юридичного підтвердження цього в контрактах. У цьому випадку політика інформаційної безпеки компанії і є доказом надання таких гарантій. Так як у політиці безпеки декларуються наміри компанії щодо якості забезпечення інформаційної безпеки. Цікаво, що партнерів по бізнесу і клієнтів компанії, як правило, цікавлять саме ці "наміри", а не технічні засоби, за допомогою яких ці наміри можуть бути досягнуті.

4. Підготовка до сертифікації ISO 9001, ISO 15408 та ISO 17799

Сертифікація по одному з перерахованих вище стандартів підтверджує необхідний рівень забезпечення інформаційної безпеки компанії. В даний час фокус створення продуктів і послуг зміщується в країни з дешевою робочою силою і одним із доказів того, що компанії цих країн вони зможуть адекватно захистити інформацію, що передається виробників, є сертифікація на відповідність вимогам стандартів з інформаційної безпеки, наприклад ISO 17799 (BS 7799 частина 2). На сайті www.xisec.com ведеться реєстр компаній підтвердили свою відповідність вимогам цього стандарту. Список збільшується приблизно на 50-100 компаній щомісяця, що показує зросле увагу до цієї теми.

6. Отримання конкурентної переваги на ринку

Правильно розроблена і реалізована політика безпеки дозволяє збільшити час доступності та коефіцієнт готовності сервісів копанні. Таким чином збільшується загальна живучість компанії і забезпечується безперервність бізнесу. За словами провідних аналітиків Gartner Group "забезпечення інформаційної безпеки є ключовим моментом стабільності та безперервності бізнесу".

7. Демонстрація зацікавленості керівництва компанії

Залучення керівництва до організації режиму інформаційної безпеки компанії значно збільшує пріоритет безпеки, що позитивно позначається на загальному рівні безпеки компанії. Без демонстрації зацікавленості керівництва компанії працівники не стануть сприймати політику інформаційної безпеки всерйоз. Мета політики безпеки - роз'яснення та доведення позиції керівництва щодо забезпечення інформаційної безпеки відповідно до принципів безпеки та бізнес цілями компанії.

8. Створення корпоративної культури безпеки

"Образно організацію режиму інформаційної безпеки можна порівняти з ланцюгом: рветься там де найтонше ланка ланцюга" (Б. Шнайер). Співробітники є як самим сильним, так одночасно і найслабшою ланкою в забезпеченні інформаційної безпеки. Необхідно донести до співробітників думка про те, що "забезпечення інформаційної безпеки - обов'язок усіх співробітників". Це досягається шляхом запровадження процедури ознайомлення з положеннями політики безпеки та підписання відповідного документа про те, що працівник ознайомлений, йому зрозумілі всі вимоги політики і він зобов'язується їх виконувати. Політика дозволяє ввести вимоги з підтримання необхідного рівня безпеки в перелік обов'язків кожного працівника. У процесі виконання ними трудових обов'язків для співробітників необхідно періодично проводити ознайомлення та навчання з питань забезпечення інформаційної безпеки. Критично важливою умовою для успіху в галузі забезпечення інформаційної безпеки компанії стає створення в компанії атмосфери, сприятливої для створення і підтримки високого пріоритету інформаційної безпеки. Чим більша компанія, тим більше важливою стає інформаційна підтримка співробітників з питань безпеки.

9. Зменшення вартості страхування

Страхування - важлива складова управління інформаційними ризиками. Наявність політики інформаційної безпеки є необхідною та обов'язковою умовою страхування. У Росії вже з'явилися фірми пропонують страхувати інформаційні ризики, наприклад "Ингосстрах" і "РОСНО". Вартість страхування страхова компанія визначає шляхом проведення аудиту інформаційної безпеки незалежною компанією, що спеціалізується в цій галузі. Наприклад, компанія Центр фінансових технологій (інтернет-проект Faktura.ru) уклала договір комплексного страхування інформаційних ризиків з "Ингосстрахом". Сума відповідальності склала $ 500 000. Аудит проводила компанія OАO "Елвіс-Плюс".

10. Економічна доцільність

За рекомендаціями провідних компаній в галузі безпеки від 60 до 80 відсотків всіх зусиль із забезпечення безпеки повинні бути спрямовані на розробку політики безпеки і супутніх їй документів. Ви запитаєте чому? Як видно з діаграми (рис. 14) розробленої Стівеном Россом (Delloitte & Touche) політика безпеки може бути як найдешевшим, і водночас найефективнішим способом забезпечення інформаційної безпеки.

11. Гарна бізнес практика

Наявність політики інформаційної безпеки є правилом хорошого тону. В опитуванні проведеному у Великобританії компанією PriceWaterHouseCoopers в 2002 році 67% компаній назвали саме цю причину створення політики інформаційної безпеки. Навіть такі високотехнологічні компанії як Cisco заявляють, що правильно сформульована політика інформаційної безпеки краще технічних засобів забезпечення інформаційної безпеки. Підхід Cisco до проблем створення захищеної інфраструктури (див. рис. 16) показує, що саме політика інформаційної безпеки є наріжним каменем безпеки навколо якого будується вся система забезпечення безпеки.

Таким чином, політика забезпечення інформаційної безпеки необхідний для успішної організації режиму інформаційної безпеки будь-якої вітчизняної компанії. Політика безпеки мінімізує вплив "людського фактору" та недоліки існуючих технологій захисту інформації. Крім того політика безпеки дисциплінує співробітників компанії і дозволяє створити корпоративну культуру безпеки.

Успішність реалізації політики безпеки

Добре відомо, що безпека настільки сильна, наскільки захищено її найслабша ланка. Практика захисту інформації показувати, що співробітників вітчизняних компаній часто виявляється легше обдурити або ввести в оману, ніж системи або технології безпеки. Тому правильно організоване навчання та облік людського фактора є необхідною складовою процесу розробки політики безпеки. Давайте на прикладі компанії Cisco Systems розглянемо наступні сім пунктів успішної програми реалізації політики безпеки, які об'єднують більшість можливих підходів з інформування, залучення та задіюванню співробітників компанії до вирішення даної проблеми.

1. Розуміння необхідності захисту інформації

Співробітники, партнери і клієнти, що володіють правами доступу до інформаційних активів та сервісів компанії, повинні бути належним чином поінформовані про необхідність забезпечення інформаційної безпеки. При цьому кожен співробітник компанії повинен знати, що він має робити для створення і підтримки необхідного режиму інформаційної безпеки.

2. Навчання та інформування співробітників компанії

Нові працівники компанії мають бути проінформовані про правила політики безпеки і повинні розуміти ту важливу роль, яку вони відіграють у підтримці режиму інформаційної безпеки. Кожен працівник має бути ознайомлений з тим, що він повинен і може робити для посилення та ефективності режиму інформаційної безпеки. У зв'язку з тим, що правила політики безпеки час від часу змінюються співробітники повинні бути вчасно проінформовані про всі поточні зміни. Також, гарною ідеєю є випуск періодичних нагадувань про правила безпеки для підтримки поінформованості співробітників компанії на належному рівні.

3. Персональна відповідальність кожного співробітника

Рекомендується розділити правила політики безпеки на невеликі документи, кожен з яких повинен містити не більше однієї сторінки. Таким чином елементи політики безпеки будуть стосуватися співробітників індивідуально, тобто співробітники компанії будуть вивчати тільки ті правила політики безпеки, що застосовуються до них. Наприклад, це можуть бути правила створення і використання паролів, токенів, інших засобів систем контролю доступу, правила використання електронної пошти і т.д.

4. Юридична відповідальність співробітників компанії

Після публікації нової або зміни існуючої політики безпеки компанії, всі співробітники компанії повинні підписатися під фразою: "Ознайомлений і зобов'язуюсь виконувати вимоги цього документу". Ці угоди дозволять співробітникам компанії стати відповідальними за виконання запланованого режиму інформаційної безпеки. При прийомі на роботу нові співробітники компанії також повинні підписувати угоди про обов'язковість виконання вимог політики безпеки. При зміні службових обов'язків співробітників документи повинні бути перессмотрени і підписані заново. Тут основна ідея полягає в тому, щоб зробити співробітників компанії юридично відповідальними за належне виконання режиму інформаційної безпеки.

5. Закріплення відповідальності співробітників компанії

В політиках безпеки компанії повинні бути чітко прописано, що станеться, якщо співробітник навмисно чи ненавмисно порушить вимоги політики безпеки. Наслідки мають бути чітко обумовлені і повинні доводити до свідомості співробітника, що вони серйозні і "справжні".

6. Узгодженість у поглядах

Іноді суворі правила політики безпеки та обмежені засоби захисту гірше, ніж слабкі політики і слабо обмежують засоби захисту, тому, що вони, швидше за все, будуть ігноруватися співробітниками компанії. При формулюванні політики безпеки компанії важливо вміти чути думку співробітників і керівництва для пошуку належного балансу між продуктивністю, доступністю, зручністю роботи і безпекою. Відкритість до діалогу, бажання знайти баланс - ключові фактори успіху у створенні та впровадженні реально виконуваної політики безпеки компанії.

7. Створення корпоративної культури безпеки

Рядові співробітники компанії часто є першими, хто помічає дивні або екстраординарні події та початкові ознаки атак в сфері криптографічного захисту інформації. Якщо вдається вчасно донести до свідомості співробітників думка про те, що забезпечення безпеки інформаційних активів компанії є необхідною складовою повсякденної діяльності, то працівники будуть самі інформувати службу безпеки про потенційні загрози і порушення політики безпеки до того, як атаки досягнуть своєї мети. За активної участі співробітників компанії в процес забезпечення безпеки можна помітно поліпшити загальний стан захищеності інформаційних активів компанії і підвищити культуру безпеки в компанії.