Эффективное использование политики
Политика может работать как полицейская дубинка, но она более эффективна, когда используется в качестве средства обучения. Имейте в виду, что большинство сотрудников работают, в первую очередь, в интересах организации и стараются выполнять свои обязанности по возможности лучше.
Новые системы и проекты
При запуске новых систем и проектов должны соблюдаться имеющиеся политики безопасности и процедуры разработки. Это позволяет отделу безопасности быть участником разработки проекта и на ранней стадии процесса определить требования безопасности.
Если новая система не сможет отвечать требованиям безопасности, то у компании будет время, чтобы понять суть представляемой опасности и обеспечить другой механизм защиты.
Имеющиеся системы и проекты
По мере утверждения новых политик каждая система должна проверяться на соответствие утверждаемым политикам. Отдел безопасности совместно с системными администраторами и подразделением, использующим систему, должен внести в системы соответствующие коррективы. Иногда эти коррективы требуют перепрограммирования каких-либо модулей, которое не может быть выполнено мгновенно. Отдел безопасности в этом случае должен осознать, что функционирование организации может быть прервано на некоторое время, и совместно с администраторами и другими подразделениями приложить все усилия для обеспечения скорейшего внесения изменений в рамках бюджета и структурных ограничений системы.
Аудит
Во многих организациях имеются внутренние отделы аудита, которые периодически осуществляют аудит систем на соответствие политике. Отдел безопасности должен ознакомить сотрудников этого отдела с новыми политиками и поработать некоторое время вместе, чтобы аудиторы вникли в суть политики, прежде чем будут проверять системы на соответствие.
Обмен информацией должен быть двусторонним. Отдел безопасности должен объяснить аудиторам, как была разработана политика и что ожидается от политики с точки зрения безопасности. Аудиторы должны объяснить специалистам по безопасности, каким образом будет проводиться аудит и на поиск чего он будет нацелен. Необходимо разработать соглашение о том, какие типы систем являются адекватными для различных разделов политики.
Проверка политики
Даже качественно разработанная политика не вечна. Каждая политика должна регулярно проверяться на соответствие требованиям организации. В большинстве случаев достаточно проводить такую проверку раз в год. Некоторые процедуры, например процесс обработки инцидентов или план восстановления после сбоев, требуют более частых проверок.
В процессе проверки необходимо связаться со всеми руководителями и подразделениями, которые не участвовали в разработке политики. Попросите каждого сотрудника прокомментировать имеющуюся политику. Возможно, имеет смысл устроить общее собрание, если имеются какие-либо важные комментарии (например, комментарии сотрудников из отдела безопасности). Внесите корректировки в политику, получите подтверждение и возобновите процесс обучения.