"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка

"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности
начало
о компании услуги вопрос-ответ осторожно! информация отдых контакты

 

 







год основания службы безопасности  АМУЛЕТ

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Четыре распространенные ошибки при проведении оценочного тестирования систем безопасности

 

Регулярные испытания физических и информационных систем безопасности с целью выявить слабости и уязвимости – непременное условие их надежности. Джоан Гудчайлд, ответственный редактор сайта csoonline.com, в статье от 8 апреля 2013 года приводит мнения экспертов относительно наиболее распространенных ошибок при проведении таких проверок.

1. Небрежное и поспешное планирование

Когда команда приступает к подготовке плана проверок, ни одна идея, высказанная вслух или письменно, не должна остаться без внимания и всестороннего обсуждения, отмечает Рожер Джонстон, руководитель Группы по выявлению уязвимостей, Argonne National Laboratory. Ошибочно отмахиваться от идей и предложений, которые, на первый взгляд, кажутся неприемлемыми. Ссылаясь на собственный опыт участия в дискуссиях, в «мозговых штурмах», он замечает, что присутствие начальников обычно сковывает инициативу участников, «дикие» идеи отвергаются с ходу, без попытки анализа. «Хорошие идеи приходят не сразу». Он также советует участникам процесса планирования вести себя «как очень плохие ребята», придумывая самые каверзные и коварные способы преодоления систем безопасности.

2. Не следовать каждой букве корпоративных правил, политик и регламентаций

Джерри Волтерс возглавляет отдел информационной безопасности в медицинском центре OhioHealth и вынужден в той или иной мере учитывать принятый около 10 лет назад в США Закон о преемственности страхования и отчетности в области здравоохранения (Health Insurance Portability and Accountability Act, сокращенно HIPAA). Закон предписывает меры обеспечения конфиденциальности, целостности и доступности цифровых медицинских данных и требует, чтобы медицинские учреждения, хранящие или передающие данные в цифровом виде, предпринимали соответствующие защитные меры административного, технического и физического характера. Волтерс утверждает, что к соблюдению законодательства, равно как и к принятым в компании собственным политикам и правилам, надо подходить творчески, гибко. Совсем не обязательно скрупулезно следовать каждой букве. Он приводит такой пример из практики. В одной из фирм инструкция предписывает охранникам в определенное, фиксированное время заступать на дежурство. Это, по мнению эксперта, ошибочное правило, поскольку раскрывает режим, расписание работы. У профессионала охранного дела две заботы: выполнять свою работу и следовать при этом разным предписаниям и правилам. Часто то и другое входят в противоречие. В этих случаях профессионал должен руководствоваться критерием безопасности.

3. Плохой отчет

Волтерс считает никуда не годными отчеты, которые обозначают проблемы, но не дают ответа, как их решать. Обычно это бывает, когда испытание систем безопасности на надежность вскрывает множество ошибок, уязвимостей. Эксперт рекомендует не спешить с обвинениями в адрес сотрудников, которые ответственны за эти ошибки, но сосредоточиться на латании обнаруженных «дыр».

4. Нежелание или неумение внедрить результаты проверок в корпоративную культуру безопасности

Джонстон отмечает, что не всегда и не все обнаруженные во время испытания проблемы можно разглашать всему персоналу компании. В то же время многие сотрудники привыкли смотреть на вопросы безопасности как на нечто, не имеющее к ним прямого отношения. Данный подход в корне порочен. Эксперт советует те результаты тестирования, которые можно без ущерба для дела предавать огласке внутри компании, обсуждать «всем коллективом». Таким путем постепенно прививается корпоративная  культура безопасности, охватывающая весь персонал.       

 


вернуться назад версия для печати
карта сайта




 
  

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru