Общая культура ИБ
Результат внутреннего аудита ИБ, который нужно воспринимать, как отдельную полноценную задачу — повышение культуры информационной безопасности у сотрудников. В ходе внутреннего аудита не следует жалеть времени на разъяснения — например,что такое фишинговые письма, как их обнаружить, или, например, как работать в интернете без риска компрометации важных для компании данных.
Существует множество историй того, как злоумышленники обошли тщательно выстроенную систему защиты с помощью элементарных приемов социальной инженерии. Методы злоумышленников постоянно совершенствуются и лучше всего, если сотрудники узнают о новых способах обмана от сотрудников отдела ИБ, а не на практике.
Кто проводит ПАБ?
В качестве проверяющих выступают руководители высшего и среднего звена. В число аудиторов могут входить:
- управляющий директор;
- начальники подразделений или цехов;
- сменные или старшие мастера;
- сотрудники отдела по охране труда и технической безопасности;
- служащие бюро инспекторского надзора за производством.
От масштабности проверки зависит должность, занимаемая аудитором. Чем выше подразделение, в котором происходит ПАБ, тем выше должность проверяющего.
Проведение ПАБ
Частота проведения проверок не регламентирована, главное, чтобы они производились на регулярной основе с определённой периодичностью. Это поможет на ранних этапах выявить проблемы, связанные с нарушением правил безопасности и устранить их.
В подразделениях составляются специальные графики. В них указывается дата проведения аудита, участок, который будет подвергнут проверке. Также в нём обозначаются фамилии руководителей, которые будут выступать в качестве проверяющих.
Перед проведением ПАБ руководители различных уровней, которые выступают в качестве аудиторов, должны пройти обучение и первичный инструктаж. На нём проверяющие будут ознакомлены с правилами общения и поведения на производстве. В ходе обучения они узнают правила и методы заполнения отчёта по результатам проведённого аудита.
Как проводится ПАБ?
Для большей наглядности и понятности рассмотрим два варианта, которые могут встретиться в ходе проверки.
Вариант 1. Работник соблюдает правила безопасности
Аудитору необходимо понаблюдать за деятельностью сотрудника во время выполнения производственного задания
В первую очередь стоит обратить внимание на соблюдение им техники безопасности. Для получения достоверной информации проверяющему лучше наблюдать за работником со стороны, не обнаруживая себя.
Если служащий соблюдает правила безопасности, то аудитор должен обратить на это своё и его внимание и прокомментировать безопасные действия работника.
При необходимости можно обсудить иные вопросы, связанные с обеспечением безопасности и инструктажами по данной теме.
В завершении стоит поблагодарить сотрудника за безопасную работу и соблюдение правил охраны труда.
Вариант 2. Работник не соблюдает правила безопасности
- В процессе наблюдения за деятельностью сотрудника аудитор обнаружил факты нарушения правил техники безопасности.
- Проверяющий должен остановить рабочий процесс.
- Аудитор обязан обсудить небезопасное действие служащего, обговорить с ним все возможные последствия и исходы.
- Следует уточнить у работника возможно ли выполнить данное действие более безопасно.
- Проанализировать причину нарушения сотрудником правил техники безопасности и сделать выводы, которые будут указаны в отчётном документе.
- Обсудить с работником мероприятия по охране труда, узнать, как часто проводится обучение и периодический инструктаж.
- Поблагодарите проверяемого и заручитесь обещанием в дальнейшем не нарушать правила безопасности.
Данные, которые были получены в ходе проведения проверки, должны быть проанализированы. Аудитор должен составить отчёт, в котором будут указаны все выявленные нарушения и несоответствия установленным на предприятии правилам и нормам безопасности.
Отчётная ведомость составляется в произвольной форме. В ней необходимо указать:
- участок проведения ПАБ;
- дату осуществления проверки;
- количество работников, которые подверглись надзору;
- продолжительность проверки (указывается количество часов);
- количество выявленных нарушений техники безопасности;
- перечень корректирующих и предупреждающих действий;
- данные аудиторов, проводивших проверку.
В отчёте должны содержаться данные работников, чьи действия подвергались ПАБ. Выявленные нарушения должны быть квалифицированы по степени тяжести:
- 3 – возможность летального исхода;
- 2 – возможность получения тяжёлой травмы или увечья;
- 1 – возможность получения травмы лёгкой степени тяжести.
Для чего проводится аудит?
ПАБ планируется заранее, при этом важно осуществлять эту процедуру на постоянной основе. Есть как минимум несколько целей проведения проверки, основными являются:. • Общая концентрация внимания сотрудника на вопросах связанных с безопасностью
• Подтверждение навыков направленных на обеспечение безопасности на производстве. • Выявление конкретных проблем и нарушений техники безопасности при проведении работ с целью их дальнейшего устранения. • Определения слабых сторон самой системы безопасности на производстве. • Определение причин, вследствие которых происходят нарушения их устранение. • Оценка работы должностных лиц в области обеспечения безопасности. • Своевременное устранение опасных ситуаций и выполнения работы более безопасным способом. • Поощрение безопасного выполнения работы. • Поддержка принятых на предприятий стандартов, выполнение правил и норм
• Общая концентрация внимания сотрудника на вопросах связанных с безопасностью. • Подтверждение навыков направленных на обеспечение безопасности на производстве. • Выявление конкретных проблем и нарушений техники безопасности при проведении работ с целью их дальнейшего устранения. • Определения слабых сторон самой системы безопасности на производстве. • Определение причин, вследствие которых происходят нарушения их устранение. • Оценка работы должностных лиц в области обеспечения безопасности. • Своевременное устранение опасных ситуаций и выполнения работы более безопасным способом. • Поощрение безопасного выполнения работы. • Поддержка принятых на предприятий стандартов, выполнение правил и норм.
Как выбрать правильную компанию-аудитора
Эксперты советуют в первую очередь обращать внимание на предлагаемую методологию проведения работ
Важно, чтобы аудит ИБ был комплексным и затрагивал все возможные области: от бизнес-процессов до отдельных элементов ИТ-инфраструктуры
Компания-подрядчик должна быть готова проводить работы не «по фотографии», а путем очных интервью и ручных (либо полуавтоматизированных) проверок конфигураций. Уже на этапе пресейла целесообразно запрашивать методику аудита, ресурсный план проекта, план интервью, резюме специалистов и так далее.
Специалисты указывают и на то, что важно не забыть запросить благодарственные письма и примеры уже проведенных аудитором проектов.
Комплексный подход к аудиту ИБ
Как организовать наблюдения за работниками?
Шаг 1.
Сообщите работникам о наблюдении. Подчеркните, что его цель – не наказание, а улучшение условий труда и повышение безопасности на производстве.
Шаг 2.
Наблюдайте за сотрудником непосредственно в работе
Важно не давить на него своим присутствием, не отвлекать в неподходящее время – работник должен вести себя, как обычно
Наблюдателю стоит обращать внимание как на детали, так и на рабочий процесс в целом, и отмечать не только опасные действия работника, но и его безопасное поведение
Шаг 3.
Заметив опасные действия работника, остановите его и обсудите сложившуюся ситуацию. Если немедленной угрозы нет, можно выждать и поговорить с работником в более подходящий момент, чтобы не отвлекать его от работы. Внимательность и открытость наблюдателя поможет наладить контакт с сотрудником.
Шаг 4.
Спрашивайте сотрудника, в чем цель его действий. Попросите его рассказать:
- какие опасности и риски есть на рабочем месте;
- есть ли у него письменная инструкция (обычно работник ознакомлен с должностной инструкцией, но простых и четких правил безопасности на рабочем месте у него нет);
- почему, по его мнению, вы остановили работу, какую ошибку он сделал.
Шаг 6.
Поинтересуйтесь, как, по мнению сотрудника, можно обезопасить работу: например, изменить технологический цикл, выбрать другие инструменты или СИЗ. Дайте работнику понять, что вам важен его взгляд на проблему. Тогда и он прислушается к вашим советам и замечаниям.
Шаг 7.
Заполните карту наблюдений: отметьте необходимые пункты и опишите проведенное наблюдение в секции для комментариев. Карту передают в отдел менеджмента для дальнейшей обработки.
Что проверяется в процессе аудита
Для объективной оценки ситуации необходима определенная дистанция. Аудитор организует процесс так, чтобы проверку конкретных точек в ИТ-инфраструктуре ваши сотрудники проводили самостоятельно, но под его личным контролем.
Что проверяет аудитор:
- Состояние ИТ-инфраструктуры. Аудитор проверит ее состояние в целом, отдельное оборудование и корпоративное ПО, проанализирует технологические процессы, как организованы бэкапы. Проанализирует защищенность сети и вероятность несанкционированного доступа к Wi-Fi.
- Квалификацию ИТ-специалистов (если необходимо).
- Состояние ИБ-систем и процессов. Проанализирует уровень защищенности важных данных, настройки доступов к ним, организацию работы со средствами защиты информации, реагирование на уязвимости и инциденты, безопасность сетевой инфраструктуры, информированность сотрудников о внутренних правилах безопасности.
В ходе аудита также может быть организована имитация фишинговой атаки для сотрудников. Поддельные письма, ведущие на форму авторизации на внутреннем портале, который только внешне похож на настоящий — хороший способ узнать реальный уровень культуры ИБ в компании. Кроме того, эффективен и традиционный тест на проникновение.
Адаптация
У внутреннего аудита в вашей компании, разумеется, будут свои особенности
На какие-то моменты вам нужно будет обратить особенное внимание и потратить больше времени на проверку. Как быстро понять, что это за точки? Способ, лежащий на поверхности — внимательно выслушать замечания технических специалистов по поводу ИТ-инфраструктуры
Если серьезно отнестись к информации о проблемах в сети, старой технике и невозможности обновить антивирус, можно быстро понять, где находятся места, требующие особого внимания. Кроме того, нельзя забывать и про соответствие ИТ-инфраструктуры существующим стандартам ИБ от регуляторов. Эти требования — тоже готовый список того, на что стоит обратить внимание.
Почему бизнес не может обеспечить безопасность собственными силами
Одна из проблем, с которой остро сталкиваются компании, желающие обеспечить информационную безопасность, — серьезная нехватка кадров. Именно в этом эксперты видят одну из ключевых причин незащищенности, причем, не только в бизнесе, но и в госсекторе. ИБ-процессы и отношение к ним в корпоративной среде оказывается недостаточно зрелым и не подкреплено всем необходимым инструментарием. В первую очередь, как отмечают аналитики, страдает контроль над состоянием информационной безопасности.
Несмотря на это, многие предприятия целиком и полностью полагаются на собственные ИБ-департаменты. Но обеспечение безопасности на должном уровне, по мнению экспертов рынка, без задействования внешних ресурсов практически невозможно.
Другой важный момент — накопление экспертизы. Весь мир давно идет по пути экспертного аутсорсинга. Условный специалист по реагированию на инциденты профессионально растет гораздо быстрее в коммерческом SOC или CSIRT, чем в своем ИБ-департаменте. Происходит это за счет интенсивности работы и общения с большой командой экспертов. А ведь нельзя забывать, что квалификация киберпреступников постоянно повышается.
Компании, как правило, делают выбор в пользу аутсорсинга по банальной причине: невозможно распылять усилия внутренней команды на все виды деятельности. Как раз аудит информационной безопасности представляет собой один из таких процессов.
«Аудит — это сравнение текущего состояния (AS IS) с заранее выбранным эталоном с последующим анализом причин расхождения и проработкой вариантов их устранения (достижение TO BE). В качестве эталона могут быть выбраны как внутренняя документация компании по информационной безопасности, так и международные стандарты ИБ», — добавляет Павел Волчков. |
Другое весомое преимущество подобных услуг — получение взгляда со стороны
Эксперты отмечают, что внешний аудитор часто обращает внимание на нюансы, неочевидные для сотрудника ИБ-департамента компании.
Поведенческий аудит безопасности – новый инструмент в системе управления охраной труда
Нетерпимость к несоблюдению требований безопасности – еще один пункт корпоративной политики. Он и определил следующий шаг к реализации видения руководства компанией, и вопрос охраны труда стал прерогативой не только , а всеобщей задачей. День по охране труда, который проводился лишь один раз в неделю, канул в Лету. Теперь безопасность и охрана труда была на ежедневной, ежесменной повестке дня. В совокупности принятые перед компанией задачи новой политики, являлись направлением изменения в целом. Для этого требовалось определить для себя цели и задачи, а уже после – необходимые для реализации этих целей инструменты.
Новым инструментом, на опыте мировой компании «ДюПон», стало , трансформация собраний и советов по охране труда в каскадные комитеты, и , а также применение новой оценочно-мотивационной системы и методики внутреннего расследования происшествий. Были определены ключевые показатели безопасности для каждого уровня линейного руководителя и технического специалиста, то есть перед каждым из них стояли индивидуальные цели и .
Стоит заметить, что до момента внедрения новой политики, наше предприятие не отличалось от других, также имело лишь реагирующий характер на произошедший случай: , определение превентивных мер безопасности, привлечение виновных лиц к ответственности. Но в корне всех происшествий стоят действия, определенное поведение людей, которое и приводит их к травме. Например, водитель транспортного средства пренебрег и въехал в опасную зону, либо не уменьшил скорость движения, что привело к дорожно-транспортному происшествию. Другой пример: работник не применил
с ударным инструментом, вследствие чего получил травму глаз. Вывод один – неправильные, либо ошибочные, действия.
Методика поведенческого аудита безопасности труда
Чтобы акцентировать внимание на поведении работников и обеспечить своевременное реагирование с последующим принятием мер по исключению повторов, для руководства компании необходимо было определить данный процесс документально, а это требовало огромных временных и материальных ресурсов. Не говоря уже о том, что следовало личный персонал к новому процессу: изменение культуры безопасности – это наша цель, и достичь ее можно лишь путем изменения сознания работника
И добиться этого можно путем проведения над ним, непрерывного наблюдения за подчиненным персоналом. Так была создана «Методологическая инструкция по проведению поведенческого аудита безопасности труда».
Методика поведенческого аудита безопасности труда включает в себя основное направление и цель проведения ПАБ, а также порядок и оформление результатов аудита
Сам отличается от технической проверки тем, что если техническая инспекция направлена на контроль над работой агрегатов, стационарных объектов и машин и ограничена лишь выявлением недостатков в работе, то Поведенческий аудит безопасности (далее – ПАБ
) направлен на работу с людьми и не ограничивается лишь выявлением неправильных действий, он акцентирует внимание именно на положительных моментах
Изначально был определен порядок проведения ПАБ, составлены графики аудитов каждым линейным персоналом, начиная с руководителей первого звена (мастера, механики, энергетики смен), заканчивая первыми руководителями, главными специалистами предприятия. Каждому было определено количество проводимых аудитов. Затем была установлена единая форма документа, где оформляется аудит, так как его проведение – лишь полшага к изменению культуры безопасности, требовалось также и проведение анализа проведенных ПАБ. Форма документа вскоре получила электронную версию, это существенно облегчило повседневную работу, как для аудиторов, так и для аналитиков службы охраны труда.
Почему работники не соблюдают требования безопасности?
Есть несколько состояний, в которых человек чаще всего делает ошибки:
- спешка (работник превышает свой обычный темп работы, ходьбы, вождения и т. д.);
- физическая или эмоциональная усталость, стресс (замедляет реакцию, не дает работнику сконцентрироваться на задании);
- разочарование (может быть вызвано отношением с коллегами, поломкой оборудования, противоречивыми целями и давлением со стороны начальства);
- самоуверенность (считая себя достаточно опытным, работник пренебрегает требованиями безопасности).
Также программа BBS определяет типичные ошибки, которые приводят к травмам:
- работа «не глядя» (сотрудник не смотрит, куда идет и что происходит вокруг);
- работа «на автопилоте» (сотрудник не концентрируется на задании, забывает о существующей опасности, делает больше ошибок, чем обычно);
- работа «на линии огня» (сотрудник осознанно входит в опасную зону, недооценивая всех рисков и полагаясь на удачу);
- потеря равновесия при работе (сотрудник носит неподходящую обувь, невнимателен, не видит опасность и не думает о ней).
Таким образом, задача BBS – определить, что сотрудник находится в состоянии, которое, скорее всего, приведет к ошибке в работе, и предотвратить эту ошибку до того, как произойдет несчастный случай. Разберемся, как это сделать.
Что такое ПАБ?
Он является частью системы по охране труда на предприятии. Таким образом ПАБ представляет собой надзор за действиями сотрудника, а также за его рабочим местом в процессе выполнения определённого вида работ. После этого аудитор проводит беседу с сотрудником и сообщает все обнаруженные ошибки и несоблюдения тех или иных правил безопасности.
Процесс проведения проверки зависит от специфики и особенностей каждой конкретной организации, поэтому аудит регламентируется локальным документом, который составляется на предприятии.
Приказом назначаются члены комиссии и обозначаются подразделения, которые необходимо проверить.
Для наглядности рассмотрим ПАБ в виде таблицы:
Объект наблюдения | Что проверяется |
---|---|
Сотрудник, заметивший аудитора на своём рабочем месте |
|
Поза работника и его действия |
|
Использование специальной защитной одежды, обуви и других приспособлений |
|
Состояние рабочего инструмента и оборудования |
|
Следование инструкциям, правилам и технологическим процессам |
|
Порядок и чистота на рабочем месте |
|
ПАБ основан на взаимодействии аудитора и работника. Он является интерактивным процессом, в который включены не только проверяющая и проверяемая сторона, но и инструмент, оснастка, рабочее место и средства защиты, применяемые служащим в рабочем процессе.
Из каких этапов состоит аудит безопасности
В первую очередь нужно определить цель аудита: зачем он проводится, какой результат должен быть получен, и как он будет использоваться. Уже после этого разрабатывается конкретная программа, в которой описываются все шаги, которые будут предприняты. Эксперты отмечают, что она должна быть максимально понятной и прозрачной для всех участников процесса. Также в ней должен быть план-график самого аудита и план проведения интервью. Этой частью лучше не пренебрегать: специалисты должны определить, с кем они будут общаться и на какие темы.
«Далее процесс можно разделить на три основные части: сбор информации, ее анализ и документирование, — объясняет Павел Волчков. — На выходе заказчик получает аналитические выводы о текущем состоянии информационной безопасности в выбранном разрезе и рекомендации по повышению уровня защищенности». |
Что дает аудит ИБ заказчикам: пример дорожной карты на год
При этом в зависимости от цели аудита может быть использован самый разнообразный инструментарий. Это и средства инвентаризации элементов ИТ-инфраструктуры, и сканеры уязвимостей, и отдельные самописные инструменты, автоматизирующие те или иные проверки, и, конечно, вендорское ПО для диагностики состояния конкретной технологии. Некоторые виды аудита, например, анализ кода, точно невозможны без специальных инструментов.
Когда нужен аудит
Лучше всего сделать его регулярным, но если в компании произошло или произойдет какое-то из этих событий, то аудит точно нужен сейчас.
Большие изменения в ИТ-отделе, например, после объединения двух компаний или масштабной реорганизации.
Смена людей на ключевых ИТ-должностях.
При изменении долгосрочных планов компании.
При оценке бизнес-активов компании и ИТ-отдела как важной ее части.
При оценке квалификации сотрудников ИТ и ИБ отделов.
Грамотно проведенный аудит поможет сохранить важную информацию конфиденциальной, повысить контроль руководством компании состояния ИТ-инфраструктуры и ИБ-подразделения, а также модернизировать бизнес-процессы так, чтобы они отвечали требованиям как со стороны регуляторов, так и со стороны бизнеса.
Как фиксировать наблюдения?
Наблюдения за работниками фиксируются в специальных картах наблюдений, которые помогут собрать данные и выявить типичные виды опасного поведения среди ваших сотрудников.
В карте не указывают имя работника, за которым наблюдают. За исключением случаев, когда работник заполняет карту сам. Он может сделать это, например, когда считает свое рабочее место недостаточно безопасным.
Важно, чтобы все сотрудники компании знали результаты наблюдений и программу дальнейших действий. Информировать работников можно на общих собраниях или, например, размещая данные на информационных стендах и корпоративном сайте
Что нужно для внедрения BBS?
Сразу отметим, BBS невозможно внедрить с нуля в любой организации. Сначала стоит наладить работу системы управления охраной труда: например, пройти сертификацию по стандартам OHSAS 18001 и ISO 14001.
OHSAS 18001
Стандарт, который поможет внедрить систему менеджмента безопасности труда в организации. Сертификат OHSAS 18001 подтвердит, что организация соблюдает все требования охраны труда.
ISO 14001
Стандарт, в котором описаны правила управления экологическими рисками. Сертификат ISO 14001 подтверждает, что организация следует экологической политике и не наносит вред окружающей среде.
Практика показывает, что BBS лучше работает в компаниях, у которых есть своя медицинская служба и Программы поддержки работников. BBS фокусируется на поведении сотрудников, которое может меняться из-за проблем со здоровьем – за этим следит медслужба или из-за нестабильного эмоционального состояния – с этим помогают справиться Программы поддержки работников. Сотрудники, у которых есть серьезные личные проблемы, например злоупотребление алкоголем, нуждаются в специализированной помощи. Ее оказывают в рамках Программ поддержки работников. Это дает дополнительную возможность для успеха BBS.
Управленческому персоналу компании нужно вовлекать в BBS абсолютно всех сотрудников. Поэтому руководители должны сами следовать правилам безопасности и тем самым показывать работникам пример. Это также повысит доверие сотрудников к программе.
В одном из следующих номеров журнала мы расскажем об опыте внедрения программы BBS в российских организациях.
Революция культуры безопасности – в наших головах
Эффект, несомненно, будет, уверены сотрудники службы охраны труда НовЭЗа. Впереди – развитие инициативы, оттачивание навыков проведения ПАБ, работа над ошибками, совершенствование системы.
«Мы сделали только первый шаг, – говорит Екатерина Жихарева. – Такая масштабная профилактическая работа по усилению мер безопасности персонала и предупреждению несчастных случаев на производстве не может пройти безрезультатно
Вовлечение большого количества специалистов – от старших мастеров до директоров; ежедневное напоминание работникам предприятия о важности соблюдения правил и норм; свежий взгляд аудиторов на рабочий процесс; ряд корректирующих мероприятий, проводимых по результатам их деятельности… Все это в конечном итоге должно изменить отношение к соблюдению правил охраны труда, пожарной и промышленной безопасности. Рано или поздно революция произойдет
В головах, в мировоззрении наших работников. И тогда мы выйдем на новый уровень культуры безопасности».
Наталья Поливцева
Кто проводит внешний аудит
Чтобы эта работа принесла реальный результат, компания должна обладать конкретными компетенциями. Среди основных: оценка защищенности ПО, оценка документации в области ИБ, оценка соответствия требованиям законов, экспертиза по базам данных. Но лучшее подтверждение компетенций — это реализованные проекты и отзывы клиентов. Как правило, на сайтах компаний все это можно найти.
Тестирование внешнего периметра
Узнать больше
Для качественного аудита необходимо провести разноплановую работу и здесь нужно много специалистов: проверяющие соответствие ИТ-инфраструктуры требованиям регуляторов, аудиторы, понимающие устройство разработки на уровне кода, специалисты по интернет-банкингу, пентестеры и т. д.. В штате хороших компаний специалистов будет много и роли между ними будут распределены четко.
Компания должна иметь лицензии от регуляторов как подтверждение того, что она хорошо знает и понимает рынок. Это, например, лицензия ФСТЭК (Федеральной службы по техническому и экспортному контролю) на ТЗКИ (техническую защиту конфиденциальной информации), лицензия ФСБ на криптографию и сертификат ISO 27001 (стандарт, создания и систем менеджмента информационной безопасности).
Перед началом работы с аудитором стоит потратить немного времени на самостоятельный сбор информации — с кем уже работала команда, насколько довольны клиенты, не было ли новостей о серьезных инцидентах ИБ в этих компаниях. Также многое можно понять и просто по стилю общения, так что точно стоит договориться о предварительных созвонах со специалистами.
Отчет по аудиту
Подразделение: | Дата: | Аудит провели (должность, ФИО): | ||
Время: | ||||
Объект: | Продолжительность аудита: | |||
Наблюдали чел.: | ||||
Реакция работника | ||||
Положение / поза работника | ||||
Спецодежда и СИЗ | ||||
Инструменты, оборудование | ||||
Инструкции и правила | ||||
Порядок на рабочем месте | ||||
Безопасные условия | ||||
Опасные условия | ||||
Безопасные действия | ||||
Опасные действия | ||||
Потенциал травматизма (степень тяжести) | ||||
Потенциально смертельный случай | ||||
Потенциально тяжелая травма | ||||
Потенциально легкая травма | ||||
№№ п./п. | описание наблюдения и корректирующих действий | Тяжесть | ||
Ответственные за устранение нарушений (должность, ФИО и сроки): | ||||
Итоговые документы
Структуру отчетов для руководства нужно прописать подробно, чтобы их действительно можно было использовать как источник полезной информации. Ведь они послужат основой для конкретных решений об улучшении защиты сети. Озвучим обязательные пункты для отчета.
- Топология сети и используемое оборудование с разбивкой по помещениям. Следует описать назначение и функцию каждого устройства. Здесь же фиксируется состояние компонентов, а также способы подключения к интернету.
- Серверы. Описываются их физическое расположение и характеристики, используемая система защиты информации, сетевое оборудование, источники бесперебойного питания.
- Пользовательские места. Сколько помещений, где и как они расположены, сколько в них рабочих мест, сколько человек имеет к ним доступ, имеют ли к ним доступ сотрудники других компаний? Если имеют, то насколько эти компании имеют к вам отношение? Ответы на эти вопросы помогут понять, насколько защищена ваша инфраструктура.
- Рекомендации по улучшению ситуации. Самый важный пункт, который состоит из конкретных советов — где, что и как можно улучшить, чтобы обезопасить себя от проблем. Причем заполнять его нужно без установки «на это точно не дадут денег».