Анализ данных защиты

Любые наши действия на компьютерах и в сетях вызывают либо перемещение, либо обработку информации. Каждая компания, организация и правительственное учреждение занимаются сбором и обработкой данных независимо от своих функций. Даже промышленные предприятия учитывают важные аспекты обработки данных в своих операциях, включая ценообразование, автоматизацию рабочих цехов и инвентаризационный контроль. Работа с данными играет настолько важную роль, что при разработке правил инвентаризации ресурсов необходимо, чтобы все лица, принимающие участие в их разработке, четко понимали структуру и характер использования данных (а также условия их хранения).

Обработка данных

Каким образом обрабатывается информация? При разработке правил следует учитывать множество аспектов, касающихся обработки информации. Необходимо определить, каким образом будет осуществляться обработка данных и как будет поддерживаться целостность и конфиденциальность данных. Помимо обработки информации необходимо рассмотреть, каким образом будет осуществляться аудит этой информации. Следует помнить, что данные являются источником жизненной силы организации, так что необходимо иметь средства наблюдения за состоянием этих сил в системе.

Определение целей политики

Теперь, поскольку мы уже знаем, что собой представляют правила информационной безопасности, и располагаем поддержкой руководства, следующим этапом будет выяснение, что именно необходимо защитить. Этот вопрос выходит за рамки аппаратных средств и программного обеспечения, а охватывает всю систему целиком. Очень важно понять суть деловых операций, которые сопровождают технологический процесс. Разработанные нами документы политики безопасности могут остаться на пыльной полке, если они будут препятствовать компании заниматься своим бизнесом.

Соображения резервирования

Почему организация дублирует информацию вне своих компьютеров? Для восстановления системы после выхода из строя? Для сохранения важных данных? Хочет ли организация хранить копию состояния системного программного обеспечения? Как часто выполняется резервирование? Осуществляется ли это ежедневно, еженедельно или же раз в месяц? Каким образом это делается? Как часто происходит сверка и пересмотр этого процесса?

Как ответить на эти вопросы, чтобы резервирование обеспечило быстрое восстановление важных бизнес-процессов после аварийного отказа? В описание всего бизнес-процесса необходимо включать процессы восстановления и обработки информации, необходимой для обеспечения его поддержки. Эти сведения помогут ответить на эти вопросы и установить правила этой работы.

Общепринятая ошибка при разработке правил резервирования заключается в предоставлении специальных опций в пакете программного обеспечения, используемого компанией. Определяя, каким образом резервирование поддерживает бизнес-процесс, разработчики правил должны постараться ограничить документ, описывающий, что должно быть сделано, и не конкретизировать процессы резервирования до уровня предоставления специальных опций. Ниже следует несколько вопросов, на которые стоит обратить внимание при рассмотрении правил резервирования.