Многие бизнесмены каждый год выполняют проверку своих финансовых операций в процессе их деловой жизни. Проверка безопасности АС является важной задачей для любой АС. Эта часть СРД должна включать в себя как обзор всех правил, связанных с защитой АС, так и механизмы, реализующие их.
Плановые тренировки не являются тем мероприятием, которое должно проводиться каждый день, но помогут вам определить, адекватны ли применяемые меры для ожидаемых угроз. Если ваша основная угроза - стихийное бедствие, то тренировка должна быть связана с проверкой механизмов производства архивных копий и восстановления с них. С другой стороны, если угроза исходит от злоумышленников, пытающихся проникнуть в вашу АС, то тренировка может быть связана с реальной попыткой проникновения для наблюдения за эффективностью СРД.
Тренировки являются важным способом проверки эффективности ваших ПРД и СРД. С другой стороны, тренировки могут требовать времени для своего проведения и мешать нормальной работе. Важно сопоставить выгоды тренировок с возможными потерями времени, связанными в ними.
Если было принято решение не проводить плановые тренировки для проверки всей вашей СРД в комплексе, то важным становится частая проверка отдельных мер безопасности. Проверьте вашу процедуру создания архивных копий, чтобы удостовериться, что вы сможете восстановить данные с лент. Проверьте файлы журналов, чтобы быть уверенным, что информация, которая должна находиться в них, действительно записывается в них, и т.д.
После принятия решения о проверке безопасности АС нужна большая осторожность при определении набора тестов работоспособности ПРД. Важно четко определить, что тестируется, как проводятся эти проверки, и какие результаты вы ожидаете от этих проверок. Все это должно быть документировано и включено в документ о ПРД.
Важно проверить все аспекты ПРД, как организационные,так и автоматизированные, особо обратив внимание на автоматизированные механизмы, используемые для проведения политик в жизнь. Тесты должны быть составлены таким образом, чтобы можно было получить законченное представление обо всех особенностях ПРД, то есть, если проводится проверка того, как пользователь входит в АС, то должно быть явно установлено, что будут использоваться как корректные, так и некорректные имена и пароли пользователей для демонстрации правильной работы программы входа в АС.
Помните, что существуют разумные пределы для тестов. Целью тестирования является проверка того, что ПРД корректно реализуются, а не доказательство того, что ПРД или АС абсолютно защищена. Целью должна быть некоторая уверенность в том, что меры защиты, реализующие ваши ПРД, являются адекватными.
Назад | Содержание | Вперед