Сегодня отечественные предприятия остро нуждаются в политиках безопасности. Например, 44 % предприятий финансового и государственного сектора вынуждены пересматривать политики безопасности два или более раз в год. К тому же здесь часто возникают проблемы, которые заключаются в том, что высокоуровневые политики безопасности, как правило, далеки от практики и никак не связаны с низкоуровневыми техническими политиками безопасности. В свою очередь технические политики безопасности не учитывают цели и задачи организации режима информационной безопасности компании в должной мере. При этом одни технические политики безопасности задают требуемые настройки маршрутизаторов и межсетевых экранов, другие определяют правила создания паролей и порядок использования Интернета, но, как правило, они рассматриваются разрозненно и не позволяют отладить целостную интегрированную систему управления политиками безопасности. В результате если спросить у ИТ-специалистов, что такое управление политиками безопасности, то можно получить более десяти различных ответов: управление правилами и конфигурациями, управление паролями, управление уязвимостями, управление критичными обновлениями, управление пользователями и пр. В действительности, эти определения, а также многие другие верны. Именно поэтому создание, внедрение и отслеживание политик безопасности – одна из самых важных и трудных задач для специалистов в области информационных технологий и защиты информации (см. рис 3.14-3.16).

...

Среди наиболее общих проблем разработки требуемых политик безопасности следует отметить:

• сложности с поиском шаблонов или примеров подходящих по содержанию политик безопасности;

• недостаток собственных ресурсов или времени на разработку политик безопасности;

...

• сложности с обновлением политик безопасности, особенно в территориально распределенных компаниях, где часто мониторинг соответствия версий политик безопасности на конечных местах не осуществляется;

• слишком дорогие или не достигающие поставленной цели обучение, тестирование и аттестация знаний персонала по безопасности;

• сложности с обучением пользователей требованиям политик безопасности, отслеживанием компетентности сотрудников; потребность в использовании учебных средств с Web-интерфейсом для снижения издержек на поездки сотрудников в центральный офис для обучения и тестирования (аттестации);

• сложности с доведением политик безопасности до конечных пользователей;

• нехватка сотрудников, ответственных за управление политиками безопасности.

...

Для решения этих и других проблем можно воспользоваться специальными системами управления политиками безопасности. К основным задачам названных систем относятся:

• эффективное создание текстовых политик безопасности и управление ими;

• осуществление программы ознакомления сотрудников с политиками информационной безопасности, проверка знаний и понимания названных политик;

• обеспечение связи между высокоуровневыми текстовыми политиками безопасности и техническими политиками конфигураций аппаратно-программных средств защиты информации и пр.

3.7. Обзор возможностей современных систем управления политиками безопасности

Как правило, современные системы управления политиками безопасности используют лицензированные библиотеки политик безопасности, разработанные другими компаниями. Так, например, продукт компании NetlQ, использует библиотеку Information Security Policies Made Easy (ISPME), решение компании Bindview ориентировано на применение библиотеки Meta Security Group, а система управления компании Zequel поставляется вместе с библиотекой компаний Protiviti и Bizmanualz. Каждый из названных продуктов включает примеры политик безопасности, разработанные на основе международного стандарта ISO 17799. Ряд компаний, например компания NetlQ, создавая политики безопасности на основе требований стандарта ISO 17799, сортируют их по функционалу и темам – от классификации данных до безопасности Web-серверов (см. рис. 3.17).

...