Стратегический план обеспечения безопасности Вашингтонского университета

Стратегический план обеспечения безопасности Вашингтонского университета

Основа плана — управление рисками

Вашингтонский университет — одно из крупнейших образовательных заведений США. Наряду с очным обучением тысяч студентов он предоставляет услуги — по платному удаленному доступу через Интернет — к своим многочисленным базам данных. Вот почему вопросы безопасности имеют столь
серьезное значение для нормального функционирования вуза. На сайте университета размещен «Стратегический план обеспечения безопасности информационных систем и гарантий приватности» (далее — план). О нем и пойдет речь.

План состоит из 6 разделов:

• цель создания;
• раздел ссылок;
• объяснение необходимости стратегического планирования;
• применимость плана;
• порядок пересмотра плана;
• функциональные компоненты безопасности и компоненты доверия к ней.

В целях создания плана обращает на себя внимание расстановка акцентов: говорится о необходимости защиты приватности, интеллектуальной собственности, а также о необходимости обеспечения сервисов для клиентов (именно в таком порядке).

Необходимость создания плана объясняется многими причинами. В том числе: наличием большого количества гетерогенных сетей, компьютеров с установленными на них разнородными операционными системами, хранением исключительно ценных данных, а также пониманием со стороны руководства постоянного нарастания угроз этим активам.

План отражает сложившуюся в университете реальность: многие подразделения вуза не имеют в бюджете отдельной статьи расходов на безопасность, а спонтанные траты на эти цели не всегда оправданы — ввиду недостаточной компетенции сотрудников.

План содержит как первоочередные мероприятия, так и описание долговременных политик. При его создании использован принцип управления рисками, который понимается как сопоставление стоимости защищаемых ресурсов с величиной затрат, требуемых для их защиты. Итак, посмотрим, какие компоненты безопасности привлекли первоочередное внимание авторов плана.

Вся власть — Совету

В Университете был утвержден Совет по гарантиям приватности и безопасности систем (PASS), в который вошли: проректоры, вице-президенты и декан медицинского (?!) факультета. В плане отмечено, что этого органа достаточно и создавать отдельную должность «безопасника», как это обычно принято, в данном случае нет необходимости.

При этом на PASS возлагаются не только функции управления и контроля над безопасностью, формирование соответствующих политик и других документов, но и функции официального университетского правозащитника по возникающим спорным вопросам.

Под руководством PASS должны быть разработаны политики и руководства по безопасности информационных систем, выбрана методология оценки рисков и соответствующее программное обеспечение, произведена оценка активов.

Нельзя забывать о физической безопасности

Реализация физических мер безопасности — непременное условие комплексного обеспечения безопасности информационных систем. Как отмечено в плане, необходима соответствующая университетская политика, ее положения должны быть включены в разрабатываемые политики информационной безопасности и руководства пользователей.

В программу обучения безопасности также должны быть включены вопросы физической безопасности.

Главное — непрерывность бизнеса

В университете создана и продолжает совершенствоваться программа ликвидации последствий аварий, катастроф, вызванных различными причинами. Она направлена на защиту критических систем, сетевых сервисов, приложений и данных. Нашлось в ней место и вопросам восстановления работоспособности различных подразделений вуза. В этих процессах важно предусмотреть меры по защите конфиденциальной информации -как этого требуют нормативно-правовые акты.

В вузе намерены ввести официальные правила реагирования на инциденты нарушения безопасности, что позволит минимизировать наносимый последними вред. Предполагается разработать соответствующий университетский план, в котором будут названы меры, принимаемые по отношению к явно или неявно скомпрометированным системам. В настоящее время известны несколько методик построения подобного плана, которые и должны быть приняты во внимание.

Нужны правила

Для обеспечения работы программы реагирования в университете планируется установить правила расследований компьютерных преступлений. Будут выделены средства на подготовку специалистов в этой области с созданием в перспективе лаборатории компьютерных расследований.

В плане указано также на необходимость:

• постоянного обучения пользователей основам безопасности;
• продолжения мероприятий по антивирусной защите;
• документирования имеющихся политик доступа;
• формирования правил раскрытия информации в соответствии с нормативно-правовыми актами;
• разработки системы внутреннего аудита и контроля над безопасностью.

По материалам университетского сайта