Политика безопасности

Политика безопасности системы подобна внешней политике правительства: она определяет цели и задачи. Когда правительство обвиняют в непоследовательности во внешней политике, это происходит потому, что в его действиях отсутствует логика и нет общей стратегии. Точно так же без политики безопасности меры противодействия цифровой системы будут неупорядочены. Политика – это способ обеспечить всеобщую взаимосвязь.

Хорошая политика формируется как ответ на угрозу. Если угрозы отсутствуют, то нет и политики: каждый может делать все что угодно. Соединенные Штаты нуждаются во внешней политике ввиду угроз со стороны других государств. Штат Пенсильвания не нуждается во внешней политике, потому что остальные штаты не представляют для него опасности. То же самое с политикой безопасности – она необходима, потому что моделирование угроз не заканчивается пустой страницей. Политика безопасности определяет рамки, в которых осуществляются выбор и реализация мер противодействия.

Большая часть этой книги посвящена тактике, а политика имеет дело со стратегией. Вы не можете решить, какие виды защиты от мошенничества нужно использовать в сотовом телефоне, пока у вас нет стратегии реализации этих контрмер. Вы не можете ожидать, что дюжина инженеров, каждый из которых отвечает за безопасность одной маленькой части системы, будут вести себя согласованно, если нет общей политики, направляющей их работу. О политике безопасности помнят всегда, когда определяют и реализуют меры противодействия.

Не нужно доказывать, что каждая организация нуждается в политике безопасности для своей компьютерной сети. Политика должна очерчивать границы ответственности (кто отвечает за ее реализацию, проведение в жизнь, проверку, пересмотр), определять, что является основой политики безопасности сети и почему именно это. Последнее замечание очень важно, так как произвольная политика, «спущенная сверху» без объяснений, скорее всего, будет проигнорирована. Более правдоподобно, что сотрудники станут следовать ясной, краткой, логичной и последовательной политике.

Политика безопасности – это то, как вы определяете, какие меры противодействия использовать. Нужен ли вам брандмауэр? Как его сконфигурировать? Нужны ли маркеры доступа или достаточно использования паролей? Можно ли пользователям разрешить доступ к видео с их браузеров? Если нет никакой политики, то нет и возможности логически обосновать ответы на эти вопросы.

К сожалению, большинство организаций не имеют сетевой политики безопасности. А если и имеют, то никто ее не придерживается. Я знаю историю проверки одной сети, в которой использовался брандмауэр, защищавший границы между двумя половинами внутренней сети. «Какая сторона находится внутри брандмауэра, а какая – вне его?» – спросил проверяющий. Этого никто не знал. Это – пример организации с плохой политикой безопасности.

В любом случае политика безопасности должна в первую очередь давать ответы на вопрос «почему», а не «как». «Как» – это тактика, контрмеры. Трудно выбрать правильную политику, но еще труднее определить комплекс мер противодействия, которые позволят ее реализовать.