Политика информационной безопасности

Наибольшая сохранность будет обеспечена той информации, для защиты которой используется комплексный подход. Уважающая себя организация имеет политику информационной безопасности.

– Можно попроще? – попросила Рудо.

– Хорошо, – вежливо согласился Отто. – Если вы действительно заботитесь об информации и о компьютерах, вам нужно договориться между собой – в своей организации – как вы их будете защищать. А для этого сначала нужно оценить риски. Кто вам, в принципе, может угрожать?

Шингаи и Рудо по очереди стали вспоминать, кто или что может вредить их работе.

• Злонамеренные хакеры и воры.
• Правительство.
• Технические проблемы (вроде сбоев в электросети).
• Собственная небрежность.

– Важно представлять источник угрозы, – продолжал Отто. – Как видите, источники разные. Значит, и меры против них должны приниматься разные. Решетка на окне способна помешать вору. Но она не поможет, если, к примеру, кто-то из ваших сотрудников, уходя домой, забудет запереть дверь. Пойдем дальше. Какую информацию вы хотели бы защитить?

• Адресные книги.
• Почтовые сообщения.
• Документы по определенным направлениям работы (по важным делам).
• Пароли, ключи, коды доступа.
• Финансовую отчетность и прочие финансовые документы.
• Архив фотографий и т.д.

– Всякая защита чего-то стоит, – заметил Отто. – Денег, времени. Глупо тратить свои и без того скромные ресурсы на защиту файлов, если они не интересны никому из тех, кого мы перечислили выше. Выделите ту информацию, которая действительно нуждается в защите.

Рудо пришла в голову идея.

– Например, персональные данные ВИЧ-инфицированных. Люди доверяют нам очень личную информацию. Многие боятся, что об их состоянии станет известно, скажем, на работе или среди соседей – и тогда их жизнь превратится в кошмар. Нельзя и мысли допустить, что база данных окажется в чьих-то руках.

– Пожалуй, для нас это "объект охраны номер один", – согласился Шингаи.

– Хорошо. У других общественных организаций могут быть свои особенности. Продолжим. Вы сказали, что хотите защитить компьютеры. Подумайте: может быть, есть другие носители информации, которые нуждаются в защите?

• Компьютеры в офисе.
• Компьютеры дома.
• Рабочие USB-флешки.
• Архивные CD и DVD.
• Бумажная документация (хранится в офисе).

– Итак, дело не ограничивается компьютерами. Нужно подумать и о других носителях информации, – сделал вывод Отто. – Обратите внимание, как вы используете эту информацию и носители. Как передаете друг другу, где храните. Вспомните, какие меры обеспечения информационной безопасности принимаете сейчас. Оцените их эффективность и решите, что следует изменить. Давайте попробуем на каком-нибудь примере. Рудо, у тебя есть флешка?

– Да, и она сейчас со мной. Я всегда ношу ее в сумочке.

– А если сумочку оставляешь дома? Например, когда гуляешь с собакой?

– Обычно перекладываю флешку в карман, но... не знаю... не всегда...

– На ней хранится какая-нибудь информация, которая действительно нуждается в защите?

– База данных, о которой я говорила.

– Есть ли еще где-нибудь копии этой базы?

– Нет, я стараюсь не создавать дополнительные копии даже на рабочем компьютере.

– Имеет ли кто-нибудь еще (кроме Шингаи, конечно) доступ к этой флешке?

– Уверена, что нет.

– Предположим, твою флешку украли. Сможет ли вор прочитать информацию из базы данных?

– Сын моего друга посоветовал хорошую программу "Суперзащита". Мне она понравилась, я поставила ее на флешку. Теперь она под паролем.

– А теперь, – сказал Отто, – я для примера назову несколько моментов, на которые вам стоило бы обратить внимание.

• Какую реальную защиту обеспечивает программа "Суперзащита"? Что о ней говорят пользователи, профессионалы? Это действительно надежное средство, или с ней справится студент, имеющий опыт взлома компьютерных систем?
• Как согласуется хранение важных документов на флешке с практикой резервного копирования данных в организации? Если вы вообще не делаете резервные копии, может быть, следует подумать об этом?
• В нештатной ситуации (например, если Рудо уедет из города) не получится ли так, что члены организации утратят доступ к важным документам на флешке?

Видя, что Шингаи и Рудо глубоко задумались, Отто поспешил рассеять их беспокойство.

– Вы молодцы, что решили всерьез заняться информационной безопасностью, – похвалил супругов Отто. – Многие на вашем месте просто махнули бы рукой. К сожалению, за такую беспечность однажды можно заплатить очень высокую цену. А другие установили бы несколько крутых компьютерных программ и считали бы, что могут спать спокойно. То, что мы сейчас с вами проделали (в упрощенном виде), специалисты называют "аудит информационной безопасности". Проведите его до конца, и вы сможете написать краткие, но емкие правила – политику информационной безопасности.

– Пожалуй, мы так и сделаем, – сказал после паузы Шингаи. – Но, Отто, ты специалист. Может, дашь нам несколько советов по теме физической защиты данных? Что-нибудь практическое, что мы могли бы использовать у себя в организации.

– Почему бы нет, – согласился Отто.