Если вы намерены самостоятельно заняться разработкой политики безопасности, начните со списка вопросов, которые, по вашему мнению, должны затрагиваться в документе, а затем, в группе, попытайтесь ответить на каждый из них. Далее перечислены несколько источников в Internet, где можно найти превосходные шаблоны и рекомендации, которые помогут вам взяться за дело.
Гильдия системных администраторов (SAGE, Www. usenix. org/sage) — это специальная техническая группа, входящая в ассоциацию Usenix (Www. usenix. org). Деятельность Usenix посвящена «презентации и обсуждению самой передовой информации в сфере разработки компьютерных систем». SAGE имеет замечательный шаблон политики сетевой безопасности (содержащий ее обязательные, необязательные и рекомендуемые элементы), который можно найти на сайте Www. usenix. org/sage/publications/policies/fr_template. html. Этот шаблон мы рекомендуем в качестве отправного пункта разработки собственной политики. Web-сайт организации SANS (Www. sans. org) содержит ссылку на доступ к набору уже готовых моделей политики сетевой безопасности. Все, что вам нужно, — это вставить название своей организации. Эти модели включают:
Страница Www. faqs. org/rfcs/rfc2196.html известна в рекомендациях RFC как «Руководство по безопасности сайта». Это библия для тех, кто впервые берется за создание политики безопасности.
Если консультанты пытаются продать вам стандартную политику сетевой безопасности, даже не стараясь изучить корпоративную культуру фирмы, ваш бизнес, задачи, которые вы решаете, — бегите от них подальше, или вы зря потратите деньги. Руководители знают это превосходно. Что руководство одной компании может одобрить, руководство другой — не одобрит никогда. Что срабатывает в среде одной корпоративной культуры, в другой — не сработает. Создание политики сетевой безопасности — большой и трудоемкий процесс. Не будет ли жаль сделать все самостоятельно, а потом выяснить, что время потрачено впустую? А что, если менеджеры других отделов компании не поддержат вашу политику? Ведь ее успех зависит от этой поддержки. Чтобы обеспечить поддержку, используйте труд сторонних консультантов, снабдите их своей заготовкой, на основе которой они создадут конечный вариант политики, собирая отклики из разных отделов. Учтите, что у вас есть только одна попытка создать по-настоящему хороший документ.
