Всегда хорошо иметь план действий на случай того или иного события. В компании должен быть специальный сотрудник или сотрудники, которые отвечали бы за исследование вопросов, имеющих отношение к обеспечению безопасности. Кроме того, наличие документа, в котором расписаны процедуры на случай тех или иных нарушений системы защиты, покажет пользователям, насколько важна безопасность сети и насколько тщательно нужно выполнять меры по ее соблюдению.
В документе, содержащем описание процедур по устранению последствий вторжения, следует дать определение того, что считается брешью в защите. Это может быть следующее:
Некоторые из этих ситуаций кажутся вполне очевидными. Однако было бы наивным рассчитывать справиться с подобными проблемами без заранее написанных инструкций. Например, пользователи часто разрешают другим использовать свою учетную запись. Ведь гораздо проще пустить другого сотрудника за свой компьютер, если его машина не работает, чем получать соответствующие полномочия у руководства. Однако при этом не следует забывать, что пароль, сообщенный кому-то однажды, нередко становится всеобщим достоянием.
Что делать, если возникло подозрение, что в сеть проник кто-то извне? Отключить маршрутизаторы? Сменить все пароли? Это следует продумать заранее и составить документ, где будет описана последовательность действий. В эту последовательность должны входить методы определения источника вторжения, а также процедуры по наказанию злоумышленника и восстановлению собственности на всю похищенную информацию.
Например, какие меры вы предпримете в случае утечки конфиденциальной информации, чтобы уведомить того, кого она касается? Существуют ли юридические аспекты, которые определяют, кому принадлежат данные в сети, и которые вам следует знать?
Наверное, одним из самых сложных моментов для менеджера является увольнение сотрудника. Хорошо еще, если сотрудник покидает компанию добровольно и сохраняет дружеские отношения с руководством. Тогда достаточно отключить его учетную запись и убедиться, что все двери доступа закрыты. Но если отношения испорчены, необходимо принять все меры, чтобы гарантированно заблокировать уволенному работнику все способы доступа к сети, которые он имел прежде. Если работник был уволен за намеренное причинение ущерба сети, не оставил ли он после себя "мину замедленного действия"? Какие меры нужно предпринять, чтобы изолировать ресурсы, которые были доступны этому работнику, пока будет идти дальнейшее расследование? Нужно ли менять пароли и учетные записи других пользователей - например, тестовые учетные записи или локальные учетные записи компьютеров, к которым работник мог иметь доступ?
Как видим, нарушение безопасности компьютерной сети имеет далеко идущие последствия. Знание того, что именно следует делать в каждой конкретной ситуации, в случае нарушения системы защиты значительно упростит жизнь.