Оценка риска/Анализ или аудит
Единственный способ понять инфраструктуру заключается в полной оценке риска, анализе рисковых ситуаций или полном аудите предприятия. Выполнив все это, разработчики основ политики безопасности смогут хорошо разобраться в информационных технологиях организации. Несмотря на то, что эта работа не доставляет удовольствие, она помогает авторам документов политики всесторонне понять архитектуру системы.
Для оценки степени риска организация может захотеть провести тестирование на преодоление защиты. Это тестирование должно быть выполнено и во внутренней, и во внешней сети, чтобы проверить каждую точку доступа и выявить неизвестные пока точки доступа. Такая всесторонняя оценка позволяет вникнуть в конфигурацию сети. Эта информация будет использована для определения конфигурации , правил доступа в сеть и других правил. Кроме того, такая оценка выявит, насколько сеть обеспечивает выполнение задач организации.
Некоторые администраторы полагают, что они могли бы исследовать систему, определить степень риска и провести инвентаризацию предприятия сами, без посторонней помощи. Несмотря на то. что они, возможно, и могли бы выполнить соответствующую работу всегда лучше пригласить для этого кого-то со стороны. Главная причина заключается в том, что люди извне не знают систему, излюбленных приемов работы и другой информации, которая могла бы подтолкнуть их к предвзятому мнению. Сторонний представитель может прийти в компанию и исследовать системы глазами хакеров. Здесь мы видим широкое поле для творчества. Давайте посмотрим, какая будет от этого польза? Сторонние представители могут выявить уязвимые места, слабости защиты и другие проблемы, которые следует учесть при разработке правил информационной безопасности.
Почему нужно нанимать людей со стороны для оценки степени риска?
Некоторые полагают, что сделать оценку степени риска могут их собственные профессионалы в области систем и защиты информации. Позволим себе не согласиться с этим мнением. Несмотря на то, что люди, работающие в компании, могут быть весьма компетентными, они слишком близко знакомы с технологическим процессом, чтобы суметь отличить технический риск от технологического. Люди извне не обладают такой информацией, поэтому они не будут предвзято утверждать, мол "так должно быть — и точка".
При выборе внешней компании для оценки степени риска, нужно быть уверенным, что ее представители обладают самой последней информацией в сфере защиты и достаточно оснащены технически, чтобы суметь сделать полную оценку степени риска. Они должны понимать, что риски касаются всех аспектов информационной технологии. Поскольку специализированные компании делают это ежедневно, они лучше понимают, какой результат следует ожидать при выполнении своих тестов. Эта объективная точка зрения будет неоценимой для формирования политики безопасности компании.
