Политика безопасности

Политика безопасности — это скелет всей вашей системы защиты. Политика служит решающим голосом при определении системных конфигураций всех компонентов, составляющих информационную защиту организации и ее сетевого окружения. Политика безопасности должна создаваться не только специалистами по безопасности, но и сотрудниками других отделов, так или иначе причастными к обеспечению защиты нормальной деятельности предприятия: менеджерами по персоналу, юристами и, без сомнения, разработчиками и программистами. Вовлечение в процесс профессионалов из разных областей деятельности не только позволит повысить взаимное доверие, но и приведет к образованию гибкой и открытой политики информационной безопасности. Создать жесткую, ограничивающую политику несложно, гораздо труднее сформулировать свод таких правил, которые позволят выдерживать баланс между корпоративными, техническими и юридическими факторами и, одновременно с этим, не помешают организационным и деловым процессам. После того как вам все-таки удалось создать хорошую политику безопасности, пришло время испытать ее на практике в «реальном времени». Ваша система уже достаточно защищена, а справиться с приемлемыми рисками позволят технические средства обнаружения вторжения, межсетевые экраны и разнообразные системы мониторинга. Теперь можно представить рабочую систему на суд широкой общественности, выйти в Internet. Одни компании предпочитают «обкатывать» систему по частям, постепенно внедряя новую функциональность на работающий сайт, другие запускают систему целиком. Выбор зависит только от вас и от количества ресурсов, которыми вы располагаете на случай непредвиденной ситуации. Не стоит терять бдительность по мере того, как ваш сайт будет пользоваться все большей популярностью. Не прекращайте внимательно следить за течением информационных процессов и за соответствием текущего состояния дел основным принципам безопасности. Помните, безопасность — это не цель, которую можно достигнуть. Безопасность — путешествие к этой цели.