4. Процедуры СРД

4.1 Проверка безопасности СРД
4.2 Меры контроля за регистрационными именами
4.3 Меры контроля за паролями
4.4 Меры контроля за конфигурацией

4.1 Проверка безопасности СРД

Многие бизнесмены каждый год выполняют проверку своих финансовых операций в процессе их деловой жизни. Проверка безопасности АС является важной задачей для любой АС. Эта часть СРД должна включать в себя как обзор всех правил, связанных с защитой АС, так и механизмы, реализующие их.

4.1.1 Организуйте плановые тренировки

Плановые тренировки не являются тем мероприятием, которое должно проводиться каждый день, но помогут вам определить, адекватны ли применяемые меры для ожидаемых угроз. Если ваша основная угроза - стихийное бедствие, то тренировка должна быть связана с проверкой механизмов производства архивных копий и восстановления с них. С другой стороны, если угроза исходит от злоумышленников, пытающихся проникнуть в вашу АС, то тренировка может быть связана с реальной попыткой проникновения для наблюдения за эффективностью СРД.

Тренировки являются важным способом проверки эффективности ваших ПРД и СРД. С другой стороны, тренировки могут требовать времени для своего проведения и мешать нормальной работе. Важно сопоставить выгоды тренировок с возможными потерями времени, связанными в ними.

4.1.2 Проверьте действие мер безопасности

Если было принято решение не проводить плановые тренировки для проверки всей вашей СРД в комплексе, то важным становится частая проверка отдельных мер безопасности. Проверьте вашу процедуру создания архивных копий, чтобы удостовериться, что вы сможете восстановить данные с лент. Проверьте файлы журналов, чтобы быть уверенным, что информация, которая должна находиться в них, действительно записывается в них, и т.д.

После принятия решения о проверке безопасности АС нужна большая осторожность при определении набора тестов работоспособности ПРД. Важно четко определить, что тестируется, как проводятся эти проверки, и какие результаты вы ожидаете от этих проверок. Все это должно быть документировано и включено в документ о ПРД.

Важно проверить все аспекты ПРД, как организационные,так и автоматизированные, особо обратив внимание на автоматизированные механизмы, используемые для проведения политик в жизнь. Тесты должны быть составлены таким образом, чтобы можно было получить законченное представление обо всех особенностях ПРД, то есть, если проводится проверка того, как пользователь входит в АС, то должно быть явно установлено, что будут использоваться как корректные, так и некорректные имена и пароли пользователей для демонстрации правильной работы программы входа в АС.

Помните, что существуют разумные пределы для тестов. Целью тестирования является проверка того, что ПРД корректно реализуются, а не доказательство того, что ПРД или АС абсолютно защищена. Целью должна быть некоторая уверенность в том, что меры защиты, реализующие ваши ПРД, являются адекватными.