Почему важно работать
по правилам информационной безопасности |
Несмотря на
то, что политика не отвечает на вопрос, каким образом должны
достигаться технологические цели, все же, определив должным
образом, что необходимо обезопасить, мы тем самым обеспечиваем
надлежащее управление процессом. В правилах безопасности описано,
что должно быть защищено и какие ограничения накладываются
на управление. Несмотря на то. что в них не обсуждается ни
номенклатура производимого продукта, ни производственные циклы,
все же правила безопасности помогут лучше ориентироваться
и при выборе продукта, и при выборе путей развития компании.
Реализация требований политики обеспечит более высокую защищенность
всей системы.
Когда в разработке
политики информационной безопасности принимает участие руководство,
это говорит о том, что руководство приветствует идею создания
политики безопасности, наделяя доверием всю программу безопасности.
Поддержка руководства всегда важна. Без поддержки руководства
служащие не станут воспринимать политику серьезно. Поэтому,
если не иметь поддержку вышестоящего руководства, программа
внедрения политики безопасности будет обречена на неудачу
еще до окончания ее разработки.
Как получить
поддержку руководства
Вначале нужно подобрать соответствующую аргументацию. Нужно
доказать руководству, что системы обработки информации и сама
информация стоят немалых денег. Можно продемонстрировать,
каким образом постороннее лицо или обиженный чем-то собственный
сотрудник может с легкостью получить доступ к важной информации,
а это может привести к большим экономическим потерям. Можно
показать результаты исследований, статьи и даже эту книгу.
Но если это их не убедит, то можно подождать до первой беды.
Руководство
может заявить, что каждый должен нести ответственность за
безопасность на своем участке работы. Такой подход может иметь
успех, но только короткий период времени, потому что при этом
не происходит развитие компании. Если один отдел использует
один стандарт, а другой отдел использует друтой стандарт,
то возможность их взаимодействия станет проблематичной. Работа
по единым правилам гарантирует, что в организации используются
одни и те же стандарты, когда дело касается безопасности.
Такая слаженность дает возможность работать организации как
единому механизму, облегчает взаимоотношения с клиентами,
и вообще поднимает значение информационной защиты всей системы.
И, наконец,
политика информационной безопасности поможет наладить четкую
работу. Мы живем в правовом обществе. Если пытаться внедрять
правила, которые не написаны четко, то нужно быть готовым
к судебным разбирательствам. Если вы решите уволить служащего
за нарушение правил безопасности, которые никогда не существовали
в письменном виде, не были вручены служащему, одним словом
не были внедрены в организации, то этот служащий может подать
в суд на компанию. Это звучит неприятно, но будет еще неприятней,
когда придет повестка в суд. |
|