Когда необходимо иметь разработанные правила безопасности

Лучше всего разработать правила еще до того, как появится первая проблема с безопасностью. Если осуществить это заранее, то администраторы безопасности будут понимать, что именно необходимо защищать и какие меры нужно предпринимать. Кроме того, всегда легче разработать политику для развивающейся инфраструктуры, чем пытаться модифицировать уже существующий режим экономической деятельности.

Уменьшение степени риска

Как известно, бизнес не возможен без риска. Для уменьшения степени риска принимаются меры предосторожности. При разработке политики безопасности анализируются бизнес-процессы и применяются лучшие методы для обеспечения их защиты. Это также может уменьшить потери, понесенные компанией, в случае утери важной информации.

Информационная безопасность и защита компьютеров от вирусов стали неотъемлемой частью вечерних новостей. Это значит, что правовые органы серьезно взялись за борьбу с преступлениями в сфере электронной обработки информации. Все больше дел поступает в суды, чтобы распространить писанные законы на совершенно новый вид преступлений, совершенных в электронном мире. Компании, не имеющие четко разработанных правил, обнаружили, что им стало трудно выяснять отношения в суде, так как суд рассматривает только четкие формулировки. Компании, которые разработали четкие правила безопасности еще до того, как им пришлось столкнуться с необходимостью защищать свои права в суде, имеют несомненное преимущество.

Новая экономика предусматривает страховые надбавки на электронную информацию. Электронная информация и компьютеры, на которых она обрабатывается, стали неотъемлемой частью бизнеса, поэтому компании стремятся застраховать эти активы. В свою очередь, страховые компании интересуются политикой безопасности и методами ее реализации компаниями. Первый вопрос, который вам зададут при заключении договора страхования, будет касаться именно политики безопасности. Только зная политику безопасности страхуемых компаний, сами страховые компании могут определить политику страхования. Страховым компаниям известно, что без разработанной политики безопасности компания не знает степень защищенности своих активов, и, соответственно, страховать операции таких компаний слишком рискованно.

И, наконец, политика безопасности, в которую включены методики разработки программного обеспечения, будет стимулировать разработку более защищенных систем. Руководствуясь такими принципами и стандартами, разработчик сможет работать согласно установленным нормативам, испытатели систем будут знать, какие результаты должны быть получены, а администраторы будут понимать, что требуется от конкретного технологического процесса. Развитие компании по индивидуальному проекту всегда требует больших материальных затрат и ответственного отношения к работе. Путем разработки и внедрения правил разработки программного обеспечения, а также предоставив разработчикам нормативы разработки, риск в бизнесе может быть значительно уменьшен.

После прорыва защиты

После прорыва защиты внедрение установок политики безопасности подобно усилиям закрыть двери коровника, когда корова уже убежала. Несмотря на то. что вроде бы уже слишком поздно, в коровнике еще могут быть коровы, которых можно сохранить. Не стоит думать, что раз это уже случилось, больше оно не повторится. Поскольку один раз это уже произошло, оно вполне может произойти снова.

Если вы приступили к разработке политики безопасности после того, как защита была взломана, не нужно фокусировать свое внимание на той части системы, в которой был прорыв защиты. Хотя и эту часть системы нужно учесть в вашей разработке, тем не менее, ее нужно рассматривать как одну из многих критичных с точки зрения защиты частей. Нужно всегда рассматривать проблему вцелом и никогда не фокусировать внимание на отдельной детали. Только таким способом можно разработать удовлетворительную политику информационной безопасности.

Соответствие документации

Правительственные чиновники, подрядчики государственных заказов, те, кто нанят подрядчиками для выполнения государственных заказов и сотрудники прочих предприятий, работающих в государственном секторе экономики, должны обеспечивать надежную и безопасную работу систем на своих предприятиях. Правительство и другие заказчики испытывают все большую потребность в четко определенных правилах информационной безопасности. Даже в самом начале нового проекта наличие наработок в области политики безопасности демонстрирует заказчику, что он имеет дело с серьезным партнером, способным обеспечить защиту и своих информационных активов, и активов заказчика.

Создается впечатление, что требования правительства к безопасности постоянно меняются. Единственное, что остается постоянным — это требования, устанавливаемые правительственными службами к подрядчикам касательно следования правилам безопасности. Если компания работает с правительством, ее первой заботой должно быть наличие политики безопасности, начиная с заключения соглашения и выполнения правовых норм, и заканчивая претворением проекта в жизнь.

Демонстрация усилий по управлению качеством

Желая угодить заказчику, компании демонстрируют, что их технологии соответствуют стандартам управления качеством продукции. Международная организация по стандартизации (International Standards Organization - ISO) 9001 описывает стандарты управления качеством в технологических и бизнес-процессах. Если компания хочет получить определенный уровень аккредитации, ее политика будет напрвлена на внедрение программы безопасности, отвечающей установленным стандартам управления качеством.