Програма компетентності повинна враховувати корпоративні методики безпеки IT і забезпе-
чувати однозначне розуміння рекомендацій із захисту і відповідних дій. Крім того, програма компетентності у захисті повинна охоплювати цілі проектів захисту системи. Програма повинна включати принаймні такі розділи:
Для досягнення ефективності програми компетентності у захисті потрібно використовувати широкий спектр носіїв, наприклад брошури, довідники, плакати, відео, інформаційні листи, практичні вправи, семінари і лекції. Дуже важливо, щоб реалізація програми компетентності враховувала соціальні, культурні і психологічні аспекти значення захисту.
Компетентність у захисті стосується кожного працівника організації і повинна впливати на поведінку та відповідальність усіх працівників. Головним чинником е розуміння адміністрацією потреби у захисті. Адміністративний апарат повинен гарантувати компетентність персоналу у захисті. Тому він повинен планувати відповідні статті в бюджеті. У великих організаціях відповідальність за компетентність у захисті IT треба покласти на корпоративного контролера безпеки IT. Метою програми компетентності є також потреба переконати всіх причетних осіб у важливості ризиків для системи IT і в можливих інформаційних втратах або несанкціонованій зміні чи розкритті, які можуть призвести до тяжких наслідків для організації та її службовців.
Для покращення роботи необхідно організовувати навчання з врахуванням реальних умов роботи організації. Необхідно наводити релевантні приклади, які ґрунтуються на реальних випадках в організації, що покращує розуміння суті і розмірів уражень у випадках, ніж опис цього в засобах інформації. Такі навчання також дають змогу службовцям оптимально взаємодіяти з викладачем. Розуміння службовцями засобів захисту треба контролювати для визначення ефективності процесу підвищення компетентності у захисті і для оцінювання змісту цього процесу. Якщо результат не задовольняє, зміст процесу підвищення компетентності захисту потрібно відповідно коригувати.
Навчання з підвищення компетентності у захисті треба періодично повторювати, щоб оновити знання діючого персоналу й інформувати новий. Крім того, кожний новий службовець чи особа, що здійснила переміщення по службі, або кандидат на посаду повинні бути ознайомлені зі своїми новими обов'язками. Бажано також інтегрувати питання захисту IT в інші курси. Варто також підкреслити, що компетентність у захисті — це тривалий процес, який ніколи не є повністю завершеним.
16 МЕХАНІЗМ ДООПРАЦЮВАННЯ
Всі засоби захисту потрібно використовувати так, щоб вони функціонували і продовжували функціонувати передбачуваним і відповідним способом. Цей аспект безпеки є одним з найважливіших, однак йому часто приділяють мало уваги. Частіше система або служба вже існують, тому захист впроваджують пізніше і потім залишають без нагляду. Існує навіть тенденція ігнорувати засоби захисту, які були застосовані, а підтримці або убезпечнюванню приділяти незначну увагу. Більше того, втрату ефективності засобів захисту потрібно спрогнозувати в планах, а не спостерігати вже як факт. Також необхідно перевіряти узгодженість захисту, контролювати робоче оточення, оглядати записи у журналі та обробляти інциденти для гарантії тривалості процесу убез-печнювання.
16.1Обслуговування
Обслуговування засобів захисту, що охоплює також і керування, є важливою частиною програми безпеки організації. Всі рівні керівництва відповідальні за обслуговування, щоб гарантувати:
Якщо здійснено описані вище заходи з обслуговування, то засоби захисту продовжуватимуть виконувати свою призначеність, що дає змогу уникати несприятливих і збиткових уражень.
16.2Відповідність засобів захисту
Перевіряння відповідності засобів захисту, тобто аудит чи ревізія захисту, є дуже важливим для гарантування відповідності й узгодженості з планом безпеки системи IT.
Щоб гарантувати, що рівень безпеки IT залишається ефективним, важливо, щоб впроваджувані засоби захисту завжди відповідали проекту чи плану захисту системи IT. Це треба затверджувати на усіх етапах проходження проектів і систем IT:
Перевіряють відповідність захисту за допомогою зовнішнього або внутрішнього персоналу (наприклад, аудиту), і це повинно значною мірою ґрунтуватись на використовуванні контрольних списків, що стосуються проекту або методики захисту системи IT.
Перевіряння відповідності захисту треба планувати і об'єднувати з іншими запланованими заходами. Вибіркові перевіряння особливо корисні для визначання, чи відповідає виконавчий персонал і користувачі певним засобам захисту і процесам.
Перевіряти треба, щоб забезпечити коректність функціювання засобів захисту, правильність їхнього впровадження і використовування і, за потреби, провести випробовування. Там, де знайдено, що засоби захисту не відповідають безпеці, повинен бути створений і реалізований план коригувальних дій з подальшим аналізом результатів.
16.3Контролювання
Контролювання — вирішальна частина циклу захисту IT. Якщо його проводять коректно, то це дає адміністрації чітке уявлення про те:
Всі зміни в активах, загрозах, вразливості засобів захисту потенційно можуть мати істотний вплив на ризики, і раннє виявлення змін дозволяє здійснити запобіжні заходи.
Багато засобів захисту ведуть журнали з безпеки для фіксації важливих подій. Ці журнали треба, як мінімум, періодично переглядати, і, якщо можливо, аналізувати за допомогою статистичних методів для раннього прогнозування тенденцій до змін і прогнозування повторів несприятливих подій. Використовування журналів тільки для аналізування подій, що відбулися, веде до втрати потенційних можливостей засобів захисту. Контролювання повинне також охоплювати процедури для звітності контролеру безпеки IT і для керування на постійній основі.
16.4Обробляння інцидентів
Практично неможливо уникнути небажаних інцидентів у захисті. Кожний інцидент потрібно досліджувати настільки глибоко, наскільки вагомий збиток він спричинив. Регулювання інциденту дає змогу відповідно реагувати на випадкові або навмисні збої нормального режиму роботи системи IT. Отже, проект звітності і розслідування інцидентів повинні бути придатними для всієї організації і сервісних служб системи IT. Після цього потрібно об'єднати міжорганізаційні плани звітності для глибшого уявлення про місця виявлення інцидентів безпеки IT і пов'язаних з ними загроз, їх впливу на активи IT та ділову активність.
Основними цілями розслідування інцидентів безпеки IT повинні бути:
прийнятних умовах для припинення подальшого пошкодження і, якщо можливо, продовжувати ділову активність із запасними засобами. План реагування на інциденти повинен включати вимоги хронологічного документування всіх подій і заходів; це повинно допомогти ідентифікувати джерела інцидентів. Це є передумовою для досягнення іншої мети — зменшення ризику в майбутньому через вдосконалення засобів захисту. Інший позитивний наслідок інцидентів — збільшення готовності інвестувати в засоби захисту.
Важливо також проаналізувати здійснення й документування інциденту, керуючись такими питаннями:
Відповіді на ці питання допоможуть зрозуміти інцидент. Також це допоможе знизити ризик шляхом збільшення релевантності проектів і методик захисту IT (наприклад, вдосконалення засобів захисту, зменшення уразливості й адаптування програми компетентності в захисті).
17 ВИСНОВКИ
У частині 2 обговорювалися обов'язки, процеси керування і колективної відповідальності за ефективність програми захисту. Обговорення призначене для ознайомлення керівного персоналу з основними процесами і функціями, які мають значення в керуванні захистом IT. Подана в цій частині інформація не може безпосередньо застосовуватися для всіх організацій. Зокрема, малі організації навряд чи будуть мати всі ресурси для повного виконання описаних функцій. У цих ситуаціях важливо, щоб основні концепції функції застосовували в організації відповідним способом. Навіть у деяких великих організаціях деякі з функцій, обговорених у цій частині, не можуть бути застосовані точно за описом. В частині 3 досліджується декілька технічних заходів, які можуть бути використані для виконування функцій, описаних у частині 2. Наступні частини розглядають питання вибору засобів захисту і певних засобів захисту для зовнішніх зв'язків.
35.040
Ключові слова: концепція, корпоративна методика, безпека IT, технологія захисту IT, керування, обмін інформацією, аналізування ризику, процедури.
