Vvmebel.com

Новости с мира ПК
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что такое политика безопасности

Понятие политики безопасности

Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy». Здесь имеются в виду не отдельные правила или их наборы, а стратегия организации в области информационной безопасности.

Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности — набор законов, правил практического опыта, на основе которого строится управление, защита и распределение конфиденциальной информации в системе.

Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.

Наиболее часто рассматривается политика безопасности связанная с понятием доступа.

Доступ — категория субъектно-объектной модели, описывающей процесс выполнения операций субъектов (активный компонент компьютерной системы) над объектами (пассивный компонент компьютерной системы). [2]

Существуют различные уровни защиты информации.

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации к обеспечению защиты информации. Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Политика безопасности административного уровня — это совокупность документированных решений, принимаемых руководством организации и на правленых на защиту информации и ассоциированных с ней ресурсов.

Выработку политики безопасности и ее содержания рассматривают на трех горизонтальных уровнях детализации:

· Верхний уровень — вопросы, относящиеся к организации в целом;

· Средний уровень — вопросы, касающиеся отдельных аспектов информационной безопасности;

· Нижний уровень — вопросы, относящиеся к конкретным сервисам;

Более подробно эти уровни рассмотрим ниже.

После формулирования политики безопасности составляется программа обеспечения информационной безопасности. Она так же структурируется по уровням:

· Верхний уровень (центральный) — охватывает всю организацию;

· Нижний уровень (служебный) — относится к отдельным услугам или группам однородных сервисов.

Разработка и реализация политики безопасности.

Разработка политики информационной безопасности в общем случае является итерационной процедурой, состоящей из выполнения следующих шагов:

Первый шаг — разработка гипотетически идеальной для организации политики, куда закладываются те требования, которые идеально подходят для данной организации — формулируется некий идеальный профиль защиты.

Второй шаг- выбор (или разработка) системы защиты, максимально обеспечивающей выполнение требований гипотетически идеальной политики информационной безопасности.

Третий шаг — определение требований политики информационной безопасности, которые не выполняются системой защиты.

Политика безопасности верхнего уровня, затрагивающая всю организацию в целом, включает в себя:

а) решение сформировать или изменить комплексную программу обеспечения информационной безопасности;

б) формулирование целей организации в области информационной безопасности, определение общих направлений в достижении данных целей;

в) обеспечение нормативной базы для соблюдения законов и правил;

г) формулирование административных решений по вопросам, затрагивающих организацию в целом.

На данном уровне решаются следующие вопросы:

а) управление ресурсами защиты и координация использования данных ресурсов;

б) выделение персонала для защиты конфиденциально важных систем;

в) определение взаимодействия с внешними организациями, обеспечивающими или контролирующими режим безопасности;

г) определение правил соблюдения законодательных и нормативных правил, контроля за действием сотрудников, выработка системы поощрений и наказаний.

К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО.

Политика среднего уровня для каждого аспекта должна освещать: описание объекта; область применения; позицию организации по данному вопросу; роли и обязанности персонала; точки контакта различные подразделений.

Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Она включает в себя два аспекта:

2) Правила достижения поставленных целей

Политика безопасности нижнего уровня должна быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными.

Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами. Для разработки целей безопасности создается комитет по информационной безопасности.

Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17 799).

В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Microsoft, Symantec и пр.

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.

Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰).

Папиллярные узоры пальцев рук — маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.

Политика Безопасности

Определение политики безопасности

информация утечка видеонаблюдение программный

Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, процедур, правил и практических приёмов в области безопасности на объекте, которые регулируют управление, распределение и защиту ценной информации.

В общем случае такой набор правил представляют собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то есть набор требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривались присутствие нескольких административных ролей.

Роли: аудитор, оператор системы защиты и администратор.

Такое ролевое управление информационной безопасностью — скорее дань традиции и теоретически позволяет избежать «сговора» администратора и злоумышленника из числа пользователей. Для того чтобы включить данную функциональность продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности.

Политика безопасности зависит:

  • -от конкретной технологии обработки информации;
  • -от используемых технических и программных средств;
  • -от расположения организации.

Главной причиной появления политики безопасности обычно является требование наличия такого документа от регулятора.

Регулятор — это организации, определяющей правила работы предприятий данной отрасли. В этом случае отсутствие политики может повлечь репрессивные действия в отношении предприятия или даже полное прекращение его деятельности.

Кроме того, определенные требования (рекомендации) предъявляют отраслевые или общие, местные или международные стандарты. Обычно это выражается в виде замечаний внешних аудиторов, проводящих проверки деятельности предприятия. Отсутствие политики вызывает негативную оценку, которая в свою очередь влияет на публичные показатели предприятия — позиции в рейтинге, уровень надежности и т.д.

Ещё одной причиной можно назвать внутреннее осознание руководством предприятия необходимости структурированного подхода к обеспечению определенного уровня безопасности. Часто такое осознание наступает после внедрения ряда технических решений по безопасности, когда возникают проблемы управление такими решениями. Иногда сюда добавляют вопросы обеспечения безопасности персонала, юридические аспекты и подобные факторы, приводящие руководство предприятия к пониманию того, что обеспечение информационной безопасности выходит за рамки чисто технических мероприятий, проводимых ИТ-подразделением или другими специалистами.

Согласно исследованию по безопасности, проведенному компанией Deloitte в 2006 году, предприятия, которые имеют формализованные политики информационной безопасности, значительно меньше подвергаются взлому. Это свидетельствует о том, что наличие политики является признаком зрелости предприятия в вопросах информационной безопасности. То, что предприятие внятно сформулировало свои принципы и подходы к обеспечению информационной безопасности, означает, что в этом направлении была проделана серьезная и качественная работа.

Читать еще:  Светло код безопасности

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии:

  • 1. «Исследование сверху вниз»
  • 2. «Исследование снизу вверх».

Метод «сверху вниз» представляет собой, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме, и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Второй же метод («снизу вверх») достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.

Само по себе наличие документа, озаглавленного «Политика информационной безопасности», принесет несущественной пользы предприятию, кроме формального аргумента в споре, присутствует или отсутствует у него данная политика. Нас интересует, в первую очередь эффективная политика безопасности.

Неэффективные политики безопасности можно разделить на хорошо сформулированные, но не практичные и на практичные, но плохо сформулированные.

Первая категория чаще всего встречается в случаях, когда специалисты, по безопасности предприятия недолго думая берут готовую политику (скажем, уже давно проверенную или устаревшую) и, проведя минимальные изменения, утверждают ее для своего предприятия. Поскольку общие принципы безопасности у разных предприятий, даже различных отраслей, могут быть весьма схожи, такой подход широко распространен. Однако его использование может привести к проблемам, если от политики верхнего уровня понадобится спуститься к документам нижнего уровня — стандартам, процедурам, методикам и т.д. Поскольку логика, структура и идеи исходной политики были сформулированы для другого предприятия, возможно возникновение серьезных затруднений (Например: противоречие с новым объектом).

Политики второй категории обычно появляются в случаях, когда возникает необходимость решить сиюминутные задачи. Например, сетевой администратор, устав бороться с попытками пользователей нарушать работу сети, в течение несколько минут набрасывает список из нескольких «можно» и «нельзя», называет его «Политикой» и убеждает руководство в необходимости его использование. Потом этот документ может годами использоваться на предприятии, создавая порой существенные проблемы, например при внедрении новых систем, и порождая огромное количество исключений для случаев, когда его нарушение допускается.

Далее следует выяснение, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап называют «вычисление риска». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на простом методе.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №1):

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №2) :

Необходимо отметить, что классификацию ущерба, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Следующим этапом составляется таблица (Таблица №3) рисков предприятия:

На этапе анализа таблицы рисков (Таблица №3) задаются некоторым максимально допустимым риском, например значением 9. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка — это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 9*2=18) с интегральным риском (ячейка «Итого»).

Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество погрешностей, которые в сумме не дадут предприятию эффективно работать. С таким случаем из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.

Содержание политики безопасности

Политика безопасности — это документ «верхнего» уровня, в котором должно быть указано:

  • ответственные лица за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

два фундаментальных принципа, на которых строится распределение ролей и ответственности.
1. Распределение ответственности. Этот принцип означает, что в системе не должно быть субъекта, который мог бы самостоятельно от начала до конца выполнить операцию, которая может нанести ущерб безопасности. Например, если пользователь А выполняет некую транзакцию, имеющую существенное значение для системы, то она должна вступить в силу только после того, как пользователь Б проверит и подтвердит ее корректность. Таким образом, ни А, ни Б не могут по отдельности произвести данную транзакцию, один может только формировать данные для нее, другой — только авторизовать ее (то есть в данном случае отправить на выполнение), — без этих двух процедур транзакция не будет иметь результата.
Если конкретная операция в системе построена таким образом, что она не может быть разделена между двумя пользователями, значит, при ее критической важности, она должна быть выполнена одним пользователем только в присутствии другого. Это может быть достигнуто, например, разделением пароля на аутентификацию пользователя, от имени которого запускается функция, на две (или более) части. Иногда можно встретить другое определение такого принципа — «в четыре глаза».
Если же объективно ряд значимых операций должен выполняться только одним человеком, то результаты его действий должны регистрироваться в журналах, к которым он не имеет доступа на корректировку. Эти журналы должны регулярно анализироваться другим человеком.
Набор прав и обязанностей, который можно применить к тому или иному сотруднику в зависимости от его функций, называется ролью. Цельполитики ролей на предприятии — унифицировать и упростить делегирование прав сотрудникам. После разработки подобной схемы исчезает необходимость составлять ради каждого вновь прибывшего работника набор его прав и обязанностей и настраивать сотни учетных записей. Достаточно указать принадлежность сотрудника той или иной роли, и, возможно, произвести минимальное редактирование профиля.

Читать еще:  Безопасность почтовых сообщений

2. Минимизация привилегий (англ. least privelegies). Этот принцип означает, что пользователю предоставляется ровно столько прав, сколько ему необходимо для выполнения работы, т. е. если в обязанности пользователя входит формирование отчетов по всей базе данных, то он должен иметь доступ ко всем данным, но только на чтение. Если пользователь должен выполнять транзакции, изменяющие состояние двух групп объектов, то он должен иметь доступ на модификацию (в зависимости от конкретной задачи, возможно, на создание и/или удаление) только к этим двум объектам.

Можно возразить, что объективно в информационном пространстве должен присутствовать субъект, имеющий полный доступ ко всем ресурсам, хотя бы для того, чтобы добавлять новых пользователей и наделять их правами на доступ (а значит, и имеющий возможность установить себе полный доступ ко всем информационным объектам) — например, администратор локальной сети. Возможно, это будет верно для небольших предприятий, однако там, где есть возможность содержать в штате более одного администратора, необходимо разделять их права, например, с помощью выделения доменов ответственности, на ресурсном принципе или по какой-либо другой схеме.

Политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений.

1. Основные положения информационной безопасности.

2. Область применения.

3. Цели и задачи обеспечения информационной безопасности.

Политика безопасности. Краткий обзор защитных политик. (часть первая)

Эта статья — первая из цикла, посвященного обсуждению того, как информационная политика безопасности может использоваться для защиты ценных информационных активов организации. В нашем мире, где, по существу, происходит информационная и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в скорости появления с соответствующими заплатами, где постоянно растущее число различных операционных систем и приложений к ним вскорости превысит все уменьшающееся из-за этого количество волос на голове системного администратора (которые, надеюсь, еще не стали седыми), политика дает нам возможность изменить темп этой гонки, заставить игру идти по нашим собственным правилам.

Вступление

Эта статья — первая из цикла, посвященного обсуждению того, как информационная политика безопасности может использоваться для защиты ценных информационных активов организации. В нашем мире, где, по существу, происходит информационная и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в скорости появления с соответствующими заплатами, где постоянно растущее число различных операционных систем и приложений к ним вскорости превысит все уменьшающееся из-за этого количество волос на голове системного администратора (которые, надеюсь, еще не стали седыми), политика дает нам возможность изменить темп этой гонки, заставить игру идти по нашим собственным правилам. Политика безопасности позволяет организациям установить методы и процедуры для своего конкретного случая, что уменьшает вероятность нападения или другого инцидента и минимизирует ущерб, который такой инцидент, если он все же произойдет, мог бы причинять.

Много людей рассматривают политику, как вкусный, но необязательный десерт, который может быть по желанию добавлен к основным блюдам – межсетевым защитам, вирусным сканерам и VPN, слегка сдобренным IDS. Это неправильно. В этой статье я попытаюсь объяснить, почему, на мой взгляд, именно политика должна служить основой всесторонней стратегии информационной безопасности, и как политика может быть эффективной, практической частью ваших цифровых защитных систем.

Что такое — политика?

Самое близкое по смыслу определение слова ‘политика’, которое можно найти в словаре — это: «план или курс действий, как для правительств, политических партий, или структур бизнеса, предназначенный, чтобы определить или повлиять на решения, действия и другие вопросы» (American Heritage Dictionary of the English language)

В терминах же компьютерной безопасности политику можно определить как изданный документ (или свод документов), в котором рассмотрены вопросы философии, организации, стратегии, методов в отношении конфиденциальности, целостности и пригодности информации и информационных систем.

Таким образом, политика — набор механизмов, посредством которых ваши цели информационной безопасности могут быть определены и достигнуты. Давайте, кратко исследуем каждую из этих концепций. Для начала, рассмотрим цели информационной безопасности:

Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.

Целостность — поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

Эти цели характерны для любой системы безопасности.

Теперь обсудим механизмы, через которые эти цели могут быть достигнуты, а именно:

Философия

Это — подход к организации информационной безопасности, структура, руководящие принципы информационной стратегии безопасности. Философии безопасности можно представить, как большой купол, под которым находятся все другие механизмы безопасности. Философия должна объяснять во всех будущих ситуациях, почему вы делали именно то, что вы делали.

Стратегия

Стратегия – это план или проект в философии безопасности. Детализация этого плана показывает, как организация намеревается достигнуть целей, поставленных (явно или неявно) в пределах структуры философии.

Правила

Правила – они и в Африке правила. Они объясняют, что нам следует делать, а чего не следует делать никогда в нашей политике информационной безопасности.

Методы

Методы определяют, как организована наша политика. Они — практический гид того, что и как делать в каждом конкретном случае.

Преимущества политики: какую выгоду предлагает политика?

В предыдущем разделе мы кратко рассмотрели, что такое политика, и более подробно, что такое политика информационной безопасности. Но даже из этого краткого описания уже должно быть ясно, что, когда мы имеем в виду политику, мы подразумеваем серьезный бизнес. В сфере информационных технологий это обычно означает необходимость серьезных инвестиции – денежных, временных, человеческих ресурсов. В этой области невозможно скупиться на затраты, если мы планируем их возместить, эффективная политика никогда не бывает быстрой для установки. Здесь возникает вопрос, который для себя решают все, кто решил создать качественную политику информационной защиты: «Что она даст такого, чего бы не было у меня, ну скажем для примера, в Snort 1.7 для Bastion Linux?»

Вот — некоторые примеры того, что может быть достигнуто политикой защиты

Босс может сам контролировать это

Традиционно, если в организации нет четкой политики информационной безопасности, вся ответственность, как за принятие решений по безопасности, так и за все сбои и инциденты лежит на системных администраторах. Во многих организациях они не могут нормально уйти в отпуск или на больничный, потому, что оставшиеся сотрудники будут просто не в состоянии решить множество постоянно возникающих вопросов и проблем. С другой стороны, в большинстве стран принято, что всю ответственность за защиту активов компании несет руководство, а не какой-то никому не известный системный администратор. Директор или руководитель отдела, как правило, не является специалистом в области компьютерной безопасности и его попытки вмешиваться в техническую сторону вопроса будут всегда приводить к неприятным последствиям. Если же в организации разработана политика информационной безопасности, в которой четко прописаны обязанности и уровень доступа самых разных сотрудников, то руководство может легко, и что главное, с пользой для общего дела, контролировать выполнение этих правил. Вовлечение руководства компании в дело информационной безопасности приносит огромную вспомогательную выгоду — оно значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании.

Читать еще:  Определение политики безопасности

Обеспечение подтверждения должного усердия в вопросе безопасности

В некоторых отраслях промышленности ваша компания может иметь юридические обязательства относительно целостности и конфиденциальности некоторой информации. В большинстве случаев единственный путь, по которому вы можете доказать должное усердие в этом отношении — издание политики безопасности. Поскольку политика отражает философию и стратегию управления, это – четкое и бесспорное доказательство намерений компании относительно качества информационной безопасности. Что интересно, ваших партнеров, как правило, интересуют именно эти «намерения», а не технические средства, которыми они могут быть достигнуты.

Иллюстрация обязательств по организации безопасности

Поскольку политика, как правило, публикуется, она может служить дополнительным доводом для потенциальных клиентов / инвесторов, специалисты другой компании могут сами оценить уровень компетентности ваших специалистов. Все большее число крупных российских, а тем более, иностранных, компаний требуют доказательства обеспечения достаточного уровня надежности и безопасности, в том числе и информационной, своих инвестиций и ресурсов. Без наличия в вашей организации профессиональной политики безопасности с вами в большинстве случаев просто не будут иметь никаких контактов.

Практические выгоды от политики безопасности

Кто-то может возразить, что приведенные выше параметры обеспечивают скорее маркетинговые и организационные преимущества. Хорошо, специально для них ниже рассмотрим практические выгоды.

Она формируют эталонный тест измерения прогресса в вопросах безопасности

Политика отражает философию и стратегию управления в отношении информационной безопасности. Также это — совершенный стандарт, которым может быть измерена целесообразность и окупаемость затрат на компьютерную защиту. Например, если вы хотите узнать, окупится ли установка, скажем, суперсовременной интеллектуальной межсетевой защиты марки «Ответь хакеру тем же», проверенное космонавтами на МКС, и стоимостью с небольшой Карибский островок, достаточно проверить, какой ущерб и затраты предусмотрены в политике.

Точно так же, для того чтобы определить, эффективно ли расходует бюджет организации новый менеджер IT безопасности, руководителю организации достаточно сравнить предлагаемые выгоды с данными, прописанными в политике безопасности. И еще, если политика правильно сформулирована и связана с трудовыми контрактами служащих, то любые нарушения, типа установки игрушек на рабочем месте или порно-серфинга в сети, могут быть наказаны согласно ранее оговоренным пунктам, подписанным служащими. Даже просто наличие подобного документа в компании значительно улучшает информационную безопасность и улучшает производительность труда сотрудников.

Она помогает гарантировать усердие и последовательность во всех филиалах

Самая большая проблема, с которой сталкиваются руководители службы информационной безопасности крупных корпораций – не новые типы вирусов, не неизвестные эксплоиты и даже не программы взлома и перехвата паролей. Нет, со всем этим можно бороться. Труднее всего гарантировать, что системный администратор в отдаленном филиале фирмы где-нибудь в Крыжополе вовремя появится на своем рабочем месте и установит свежие заплаты, допустим к IIS, а не пойдет на пляж или не засидится дома за телевизором во время матча чемпионата мира по футболу. А ведь от этого может зависеть не только безопасность офиса в Крыжополе, но и безопасность всей корпорации в целом. Хорошо осуществленная политика помогает гарантировать выполнение инструкций, путем создания единой директивы и ясного назначения обязанностей и, что одинаково важно, описания ответственности за последствия неудачи и неисполнение обязанностей.

Она служит гидом для информационной безопасности

Хорошо разработанная политика может стать Библией администратора. Печально, но далеко не каждый сотрудник, чей компьютер подключен в вашу корпоративную сеть, понимает угрозу TCP sequence number guessing атаки на OpenBSD. К счастью, ваша политика безопасности IP сети будет гарантировать, что машины всегда установлены в той части сети, которая предлагает уровень безопасности, соответствующей роли машины и предоставляемой информации.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Политика безопасности

Информационная безопасность обеспечивается политикой безопасности, которая включает в себя совокупность норм и правил, регламентирующих процесс обработки информации. Для ее обеспечения необходимо четко представлять, какая информация требует первоочередной защиты, какой ущерб понесет предприятие при потере тех или данных, какого рода атаки на безопасность системы могут быть предприняты и от каких возможных источников угроз, какие средства использовать для защиты.

При формировании политики безопасности необходимо учитывать несколько базовых принципов:

  • • предоставление каждому сотруднику предприятия (пользователю компьютера, информационной системы, сети) того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения своих должностных обязанностей;
  • • комплексный подход к обеспечению безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппаратуры;
  • • использование средств, которые при отказе переходят в состояние максимальной защиты. Например, при выходе из строя автоматического пропускного пункта в какое-либо помещение он должен переходить в такое состояние, чтобы ни один человек не мог пройти на защищаемую территорию;
  • • принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Например, в некоторых случаях можно отказаться от дорогостоящих аппаратных средств защиты, ужесточив административные меры.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработка политики доступа к сетевым службам Интернета и выработка политики доступа к ресурсам внутренней сети компании.

Модели безопасности и принципы их построения

Основной задачей политики безопасности является защита от несанкционированного доступа к ресурсам информационной системы. Для этого, исходя из принятых норм и правил, строятся формализованные модели безопасности в виде описания, определяющего (задающего) условия, при которых поддерживается определенный уровень конфиденциальности, целостности и доступности ресурсов информационной системы.

Основой для построения моделей безопасности служат следующие принципы:

  • • информационная система представляется в виде множества субъектов и объектов. Система безопасна, если управление доступом субъектов к объектам осуществляется в соответствии с принятым набором правил и ограничений;
  • • все взаимодействия в системе регламентируются заданным набором операций, которые субъекты могут производить над объектами;
  • • все операции между субъектами и объектами контролируются и, исходя из принятых норм и правил, либо запрещаются, либо разрешаются;
  • • совокупность множеств субъектов, объектов и отношений между ними образуют пространство состояния системы. Каждое состояние системы является безопасным либо небезопасным в соответствии с принятым в модели критерием безопасности. При соблюдении всех установленных правил и ограничений система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние.
Ссылка на основную публикацию
Adblock
detector