|
Читайте также: |
Когда вся необходимая предварительная работа завершена, реальный обзор можно начинать в установленное время. Это влечет за собой постоянную работу с мерами безопасности, содержащимися в каждом модуле, за что несут ответственность опрошенные персоны.
Следующие утверждения можно использовать в качестве ответов на состояние внедрения отдельных мер безопасности.
| "Необязательно" | - | Внедрение рекомендуемых мер безопасности не обязательно в предлагаемой форме, т.к. другие меры (напр., меры безопасности, не содержащиеся в IT-Grundschutz, но добивающиеся того же результата) уже обеспечивают достаточную защиту от соответствующих угроз, или же рекомендуемые меры безопасности не подходят (напр., из-за определенные сервисы не внедрены) |
| "Да" | - | Все рекомендации по мерам безопасности внедрены эффективно и в полной мере |
| "Частично" | - | Некоторые рекомендации были внедрены, в то время как другие еще не внедрены или внедрены частично |
| "Нет" | - | Большинство рекомендаций, содержащихся в мерах безопасности, еще не внедрены |
Зачитывание текста рекомендаций, содержащихся в данных мерах безопасности, во время опросов не рекомендуется, т.к. руководство не разрабатывалось для этого. Следовательно, интервьюер должен быть заранее ознакомлен с содержанием модуля. При необходимости удобный опросник с ключевыми словами должен быть заранее подготовлен. Чтобы иметь возможность прояснить любые разногласия в спорных случаях, все-таки полезно иметь на руках полный текст мер безопасности. Прямой ввод ответов в ПК во время опросов также не советуется, т.к. это отвлекает участников опроса и вызывает нежелательное прерывание общения.
Если опрос начинается с нескольких вступительных слов и кратко представляется цель основной проверки безопасности, это может помочь создать расслабленную, открытую и продуктивную атмосферу. Продолжать следует перечислением и кратким объяснением мер безопасности. Вместо монолога лучше давать возможность опрашиаваемым обсуждать те части мер безопасности, которые уже внедрены, и затем обсуждать любые элементы, которые еще рассматриваются.
Задаваемые вопросы всегда должны быть направлены на уровень стандартных мер безопасности, и только после завершения основной проверки безопасности следует рассматривать более далеко идущие аспекты для более важных приложений. Если необходимо проверить утверждения опрашиваемых, то это может быть достигнуто, напр., рассматривая примеры соответствующих процедур и концепций, или в случае инфраструктуры – посещая исследуемые объекты с контактным лицом, и/или проверяя клиентские и/или серверные настройки в выбранных ИТ-системах.
Чтобы завершить меры безопасности, опрашиваемому следует сообщить об оценке результатов (т.е. статус внедрения меры безопасности = Необязательно/Да/Частично/Нет), и это решение следует пояснить.
Выполненные действия:
• Заблаговременная подготовка опросного листа для каждой специальной области;
• Пояснение цели основной проверки безопасности опрашиваемым;
• Осведомление о состоянии внедрения отдельных мер безопасности;
• Проверка ответов, используя примеры;
• Сообщение результатов опрашиваемым.
Дата добавления: 2015-11-14; просмотров: 36 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Организационная предварительная работа | | | Запись результатов |