Казалось бы, чего проще — сфера действия информационной безопасности, в том числе и правила политики безопасности, едины для всех. И это справедливо. Вот только для всех ли эти правила должны быть одинаковы? Например, нормальным требованием безопасности является запрет для пользователей загружать из Интернета исполняемые модули. А для специалистов по информационным технологиям? Откуда им брать обновления и заплаты для информационных систем? Очевидно, что правила должны быть дифференцированными для таких случаев.
Другой пример — доступ к письмам электронной почты. Вопрос о том, можно ли уполномоченным сотрудникам службы безопасности просматривать электронную почту работников предприятия, продолжает обсуждаться.
Следует учесть, что если организация предоставляет своим сотрудникам определенные ресурсы, она должна иметь возможность контроля их использования. Допустим, этот вопрос решен положительно, и работники службы безопасности имеют право просматривать электронную почту пользователей. Означает ли это, что они имеют право следить за перепиской директора и его заместителей? А за почтой своего собственного начальника? Чтобы не нарушать общие правила такими негласными исключениями, следует заранее оговорить сферу применения правил безопасности.
Еще один важный вопрос, возникающий в связи с персоналом организации, — это осведомленность службы безопасности о текущем статусе каждого из работников. В идеале служба безопасности должна принимать участие в приеме на работу (если не в принятии решения о приеме, то в инструктаже по нормативным документам и правилам), увольнении с должности (подписании обходного листа), а также периодически получать информацию об отпусках (в частности, знать все о путешествиях сотрудников), командировках, болезнях и прочих данных, очевидно, на сколько важна профилактика гриппа и простуды.
Мы уже рассматривали вопрос о необходимости согласования решения по информационной безопасности с общим направлением развития информационных технологий. Но должно быть верно и обратное. Тот, кто начинал развивать службу информационной безопасности, наверняка сталкивался с ситуацией, когда полгода назад была внедрена информационная система, но оказалось, что работники данной организации могут ее использовать во вред предприятию.
Что же делать?
Очевидно, что теперь, когда вложены средства на приобретение и установку системы, никто не захочет ее заменять. А что же делать, если в ней не предусмотрено модели безопасности необходимого уровня? Придется окружать ее дополнительными системами, вырабатывать сложные организационные процедуры и многое другое. Все потому, что служба информационной безопасности не была привлечена к работе над проектом по выбору и внедрению системы на раннем этапе.
Таким образом, мы рассмотрели ряд проблем, с которыми можно столкнуться в процессе формирования или реформирования службы информационной безопасности. Скорее всего в каждом конкретном случае в этот список добавится еще большое число вопросов, специфичных для данного предприятия. От их решения зависят и принципы формирования службы. При этом следует помнить, что каждая новая задача, возложенная на службу безопасности, потребует, как и в любом другом случае, дополнительных людских ресурсов, расходов на обучение, других операционных расходов.