Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Для чего нужна политика безопасности

Что такое политика информационной безопасности предприятия?

Политика информационной безопасности — набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.

Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.

Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.

Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.

Политика безопасности — это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности :

  • определение какие данные и насколько серьезно необходимо защищать,
  • определение кто и какой ущерб может нанести фирме в информационном аспекте,
  • вычисление рисков и определение схемы уменьшения их до приемлимой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз». Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия ?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки».

Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:

  • концепция безопасности информации;
  • определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
  • сопоставление угроз с объектами защиты;
  • оценка рисков;
  • оценка величины возможных убытков, связанных с реализацией угроз;
  • оценка расходов на построение системы информационной безопасности;
  • определение требований к методам и средствам обеспечения информационной безопасности;
  • выбор основных решений обеспечения информационной безопасности;
  • организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
  • правила разграничения доступа.

Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений.

Для чего нужна политика безопасности

Данное Руководство призвано помочь в выработке политики безопасности и соответствующих процедур для организаций, имеющих выход в Интернет. В Руководстве перечисляются вопросы и факторы, которые следует проанализировать при формировании собственной политики безопасности предприятия. Даются некоторые рекомендации, обсуждается ряд смежных тем.

Руководство содержит лишь основные элементы, необходимые для выработки политики и процедур безопасности. Чтобы получить эффективный набор защитных средств, ответственным лицам придется принять много решений, заключить многочисленные соглашения, после чего настанет черед доведения политики безопасности до сотрудников и ее реализации.

Данная работа рассчитана на руководителей и системных администраторов. Она не предназначается для программистов и разработчиков защищенных программ и систем. Основной упор делается на политику и процедуры, необходимые для поддержки технических средств, выбранных организацией.

В первую очередь Руководство предназначено для организаций, подключенных к Интернет. В то же время мы надеемся, что оно будет полезным для всех предприятий, имеющих сетевые контакты любого рода. Как введение в политику безопасности, данный документ поможет и организациям с изолированными компьютерными системами.

В Руководстве слова «организация» и «предприятие» трактуются как синонимы, обозначающие собственника компьютеров и иных сетевых ресурсов. В число сетевых ресурсов входят хосты, на которых работают пользователи, а также маршрутизаторы, терминальные серверы, ПК и другие устройства, имеющие связь с Интернет. Организация может быть конечным пользователем сервисов Интернет или поставщиком соответствующих услуг. Тем не менее, Руководство в основном рассчитано на конечных пользователей.

Предполагается, что организация может вырабатывать собственные политику и процедуры безопасности при согласии и поддержке реальных владельцев ресурсов.

Интернет — это совокупность сетей и машин, использующих семейство протоколов TCP/IP, соединенных шлюзами и разделяющих общие пространства имен и адресов [1] .

Термин «системный администратор» относится ко всем тем, кто отвечает за повседневную работу ресурсов. Администрирование может выполнять группа людей или независимая компания.

Понятие «руководитель» обозначает сотрудника организации, вырабатывающего или одобряющего политику безопасности. Часто (но не всегда) руководитель одновременно является собственником ресурсов.

Рабочая группа IETF по политике безопасности (Security Policy Working Group, SPWG) стремится выработать рекомендации для политики безопасности в рамках Интернет [23] . Эти рекомендации могут быть одобрены владельцами региональных сетей или иных ресурсов. Данное Руководство, возможно, окажется полезным инструментом реализации предлагаемой политики. Тем не менее, для обеспечения безопасности мало реализовать рекомендуемую политику, поскольку она затрагивает лишь сетевые аспекты и ничего не говорит о локальной защите.

Данный документ отвечает на вопросы о том, что входит в политику безопасности, какие процедуры необходимы для обеспечения безопасности, что нужно делать в ситуациях, угрожающих безопасности. При выработке политики следует помнить не только о защите локальной сети, но также о нуждах и требованиях других подсоединенных сетей.

Руководство не является собранием рецептов по информационной безопасности. У каждой организации свои нужды; разница между корпорацией и академическим институтом весьма значительна. В то же время план защитных мероприятий, чтобы быть реальным, должен соответствовать потребностям и традициям конкретной организации.

В Руководстве не рассматриваются детали оценки рисков, планирования аварийных мероприятий, физической безопасности. Эти вещи необходимы для выработки и проведения в жизнь эффективной политики безопасности, но мы полагаемся в упомянутых вопросах на другие документы. Нами будут даны лишь общие указания.

Вопросы проектирования и реализации защищенных систем или программ также не будут нами рассматриваться.

Как правило, интерес к информационной безопасности пропорционален имеющемуся в организации ощущению таящихся вокруг рисков и угроз.

За последние двадцать пять лет компьютерный мир претерпел радикальные изменения. Тогда, двадцать пять лет назад, большинство компьютеров находилось в ведении вычислительных центров. Они содержались в запертых помещениях, а обслуживающий персонал отвечал за тщательность администрирования и физическую безопасность. Связи с внешним миром были явлением редким. Редко возникали и угрозы информационной безопасности, исходившие в подавляющем большинстве случаев от штатных сотрудников. Угрозы состояли в неправильном использовании полномочий со стороны авторизованных пользователей, в подделке электронных документов, в вандализме и т.п. Для предотвращения подобных угроз было вполне достаточно стандартных мер: замков на дверях и учета использования всех ресурсов.

Вычислительная среда 1990-х совершенно иная. Многие системы размещены в частных офисах и небольших лабораториях и администрируются людьми, не состоящими в штате данной организации. Немало компьютеров подключено к Интернет; тем самым они оказываются связанными со всем миром, от Австралии до Америки.

Читать еще:  Назначение политики безопасности

Изменились и угрозы безопасности. Традиционный совет гласит: «Не записывайте пароли на листке и не кладите этот листок в стол, где его может кто-нибудь найти». С общемировыми связями через Интернет, злоумышленник, находящийся на противоположной стороне Земли, может среди ночи проникнуть в Вашу систему и выкрасть пароль, несмотря на то, что здание Вашей организации закрыто на все замки. Вирусы и черви могут передаваться от машины к машине. По Интернет’у могут разгуливать «электронные воры», высматривающие незакрытые окна и двери. Теперь злоумышленник может за несколько часов проверить наличие слабых мест в защите сотен компьютеров.

Системные администраторы и руководители должны знать современные угрозы, связанные с ними риски, размер возможного ущерба, а также набор доступных мер для предотвращения и отражения нападений.

В качестве иллюстрации некоторых проблем, связанных с информационной безопасностью, рассмотрим, вслед за [2] , следующие сценарии. (Их автор — Russell Brand, которому мы выражаем признательность.)

Системный программист получает сообщение о том, что главный подпольный бюллетень крэкеров распространяется с административной машины, находящейся в его ведении, и попадает в пять тысяч американских и западноевропейских компьютеров.

Спустя восемь недель тот же программист получил официальное уведомление, что информация из одного бюллетеня была использована для выведения из строя на пять часов службы «911» в одном большом городе.

Пользователь звонит и сообщает, что он не может войти в систему под своим именем в 3 часа утра субботы. Администратор также не смог войти в систему. После перезагрузки и входа в однопользовательский режим он обнаруживает, что файл паролей пуст. К утру понедельника выясняется, что между данной машиной и местным университетом в привилегированном режиме было передано несколько файлов.

Во вторник утром на университетском компьютере была найдена копия стертого файла паролей вместе с аналогичными файлами с дюжины других машин.

Спустя неделю программист обнаруживает, что файлы инициализации системы изменены враждебным образом.

Программист получает сообщение о том, что в компьютер правительственной лаборатории было совершено вторжение с подведомственной ему машины. Программисту предлагают предоставить регистрационную информацию для отслеживания нападавшего.

Спустя неделю программист получает список подведомственных компьютеров, подвергшихся успешным атакам крэкеров.

Программисту звонит репортер и интересуется подробностями проникновения на компьютеры организации. Программист отвечает, что ничего не слышал о таких проникновениях.

Через три дня выясняется, что случай проникновения имел-таки место. Глава организации использовал в качестве пароля имя жены.

Обнаруживаются модификации системных бинарных файлов.

После восстановления файлы в тот же день вновь оказываются модифицированными. Так повторяется несколько недель.

С подобными проблемами может столкнуться любая организация, имеющая выход в Интернет. Вы должны иметь заранее заготовленные ответы по крайней мере на следующие вопросы:

  • Если Вы обнаруживаете в своей системе присутствие злоумышленника, должны ли Вы оставить систему открытой и попытаться проследить за ним, или компьютер следует немедленно выключить и залатать обнаруженные дыры?
  • Если злоумышленник использует компьютеры Вашей организации, должны ли Вы обращаться в правоохранительные органы? Кто принимает решение об обращении в органы? Если представитель властей предложит оставить системы открытыми, кто ответит за это решение?
  • Какие шаги следует предпринять, если Вам звонят из другой организации и сообщают о подозрительных действиях со стороны одного из Ваших пользователей? Что, если этим пользователем оказывается местный системный администратор?

Формирование политики и процедур безопасности на самом деле означает выработку плана действий по информационной защите. Один из возможных подходов к решению данной задачи предложил Fites с коллегами (см. [3] ):

  • Выясните, что Вы собираетесь защищать.
  • Выясните, от чего Вы собираетесь защищаться.
  • Определите вероятность угроз.
  • Реализуйте меры, которые позволят защитить Ваши активы экономически оправданным образом.
  • Постоянно возвращайтесь к предыдущим этапам и улучшайте защиту после выявления новых уязвимых мест.

В настоящем Руководстве основной упор делается на два последних этапа, однако следует помнить и о критической важности первых трех этапов для принятия эффективных решений в области безопасности. Давно известна истина, гласящая, что стоимость защиты не должна превосходить ущерб от осуществления угрозы. Без реалистичного представления о том, что защищается и каковы вероятные угрозы, следовать старому совету будет очень трудно.

Данный документ, кроме вводной, содержит еще шесть частей.

По форме каждая часть представляет собой обсуждение вопросов, которые организация должна рассмотреть при выработке политики безопасности и формировании процедур, реализующих эту политику. В некоторых случаях анализируются имеющиеся альтернативы и аргументы в пользу выбора какой-либо из них. Мы старались по возможности избегать диктата, поскольку многое зависит от местных условий. Не все из рассматриваемых вопросов важны для всех организаций, но организации должны хотя бы бегло ознакомиться с каждым из них, чтобы не упустить ничего существенного.

В плане общей структуры обсуждение политики безопасности предшествует рассмотрению процедур, реализующих политику.

Разд. Выработка официальной политики предприятия в области информационной безопасности посвящен выработке официальной политики предприятия, касающейся доступа к вычислительным ресурсам. Рассматриваются также вопросы нарушения политики. Политика определяет набор необходимых процедур, поэтому руководителю следует сначала определиться по политическим вопросам, и только после этого переходить к процедурным. Ключевым компонентом формирования политики безопасности является производимая в той или иной форме оценка рисков, позволяющая определить, что необходимо защищать и каков объем ресурсов, которые разумно выделить на защиту.

Когда политика выработана, можно приступать к созданию процедур, решающих проблемы безопасности. В Разд. Выработка процедур для предупреждения нарушений безопасности определяются и предлагаются действия, которые необходимо предпринять при возникновении подозрений по поводу совершения неавторизованных операций. Анализируются также ресурсы, необходимые для предотвращения нарушений режима безопасности.

В Разд. Типы процедур безопасности перечисляются типы процедур, служащих для предотвращения нападений. Профилактика — основа безопасности. По данным группы реагирования на нарушения безопасности и ее координационного центра (Computer Emergency Response Team/Coordination Center, CERT/CC), не менее 80% инцидентов, которые им довелось наблюдать, объяснялись плохим выбором паролей.

Разд. Реакция на нарушения безопасности посвящен реагированию на нарушения безопасности, то есть кругу вопросов, с которыми организация сталкивается, когда кто-то отступает от политики безопасности. Когда такое случается, приходится принимать целый комплекс решений, но многие из них можно продумать заранее. По крайней мере, следует договориться о распределении обязанностей и способах взаимодействия. И здесь определяющую роль играет политика безопасности, рассматриваемая в Разд. Выработка официальной политики предприятия в области информационной безопасности .

Тема Разд. Выработка мер, предпринимаемых после нарушения — меры, предпринимаемые после ликвидации нарушения безопасности. Планирование защитных действий — это непрерывный циклический процесс. Очередной инцидент — прекрасный повод для пересмотра и улучшения политики и процедур.

Цели и задачи корпоративной политики безопасности

Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.

Для чего нужна политика безопасности

Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.

При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.

Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.

Что должно содержаться в корпоративной политике безопасности

Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.

В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.

Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.

Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.

Контроль соблюдения политики безопасности

Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.

Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.

Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.

Основные причины создания политик безопасности

Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.

Любую отечественную компанию можно сравнить с небольшим государством. И если в каждом государстве существует законодательство, регламентирующее деятельность граждан, то в компании роль законов выполняют политики безопасности. За нарушение законов государства граждане несут ответственность, нарушение политик безопасности сотрудниками компании также влечет за собой ответственность.

Политики информационной безопасности определяют стратегию и тактику построения корпоративной системы защиты информации. В российской терминологии документ, определяющий стратегию, часто называют концепцией, а документ определяющий тактику, -политикой. На Западе принято создавать единый документ, включающий в себя стратегию и тактику защиты. Политики безопасности компании являются основой для разработки целого ряда документов по обеспечению безопасности: стандартов, руководств, процедур, практик, регламентов, должностных инструкций и пр.

Что должно мотивировать отечественные предприятия и компании разрабатывать политики информационной безопасности? К таким мотивам относятся: выполнение требований руководства компании;

Как правило, руководство компании проявляет внимание к проблемам информационной безопасности под воздействием «фактора страха» или после нескольких серьезных инцидентов, повлекших за собой остановку или замедление работы компании. Например, в результате вирусной атаки или атаки «отказ в обслуживании», разглашения конфиденциальной информации или кражи компьютеров с ценной информацией.

выполнение требований российской нормативной базы в области защиты информации;

Каждая компания обладает информацией, представляющей некоторую ценность, и по понятным причинам она не желала бы ее разглашения. Политики информационной безопасности позволяют определить правила, в соответствии с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (ст. 139 Гражданского кодекса и Закон о коммерческой тайне). В зависимости от сферы действия компании она должна выполнять требования существующего законодательства, применимого к ее отрасли. Например, банки в соответствии со ст. 857 Гражданского кодекса должны гарантировать защиту банковской тайны клиентов. Страховые компании должны защищать тайну страхования (ст. 946 Гражданского кодекса) и т. д. Кроме этого, в соответствии с Указом

Президента РФ № 188 от 06.03.97 «Об утверждении перечня сведений конфиденциального характера» компании должны обеспечивать защиту персональных данных сотрудников.

В целом автоматизированные системы отечественных компаний должны удовлетворять требованиям российской нормативной базы в области защиты информации, нормативно-правовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативно-техническим документам (государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, отраслевым и ведомственным стандартам). При этом после принятия и вступления в силу Федерального закона «О техническом регулировании», а также ГОСТ Р ИСО/МЭК 15408 статус ряда нормативных документов (государственных стандартов, отраслевых стандартов, стандартов организаций и др.) изменился. Государственные стандарты Российской Федерации из основного инструмента технического регулирования стали трансформироваться в российские национальные стандарты, требования которых стали носить добровольный характер. Обязательные требования стали устанавливаться в технических регламентах. выполнение требований клиентов и партнеров;

Клиенты и партнеры компании часто желают получить некоторые гарантии того, что их конфиденциальная информация защищена надлежащим образом и могут потребовать юридического подтверждения этого в контрактах. В этом случае политики информационной безопасности компании и являются доказательством предоставления подобных гарантий, так как в политиках безопасности декларируются намерения компании относительно качества обеспечения информационной безопасности. Интересно, что партнеров по бизнесу и клиентов компании, как правило, интересуют именно эти «намерения», а не технические средства, с помощью которых они могут быть достигнуты.

подготовка к сертификации по ISO 9001, ISO 15408 и ISO 17799;

Сертификация по одному из вышеперечисленных стандартов подтверждает необходимый уровень обеспечения информационной безопасности компании. В настоящее время фокус создания продуктов и услуг смещается в страны с дешевой рабочей силой, и одним из доказательств того, что компании этих стран смогут адекватно защитить передаваемую информацию производителей, является сертификация на соответствие требованиям стандартов по информационной безопасности, например ISO 17799 (BS 7799-2). На сайте www.xisec.com ведется реестр компаний, подтвердивших свое соответствие требованиям этого стандарта. Список увеличивается примерно на 50-100 компаний ежемесячно, что показывает возросшее внимание к этой теме. устранение замечаний аудиторов;

Любая внешняя аудиторская проверка обращает внимание на необходимость защищенности бизнес-процессов компании, в том числе особое внимание уделяется наличию политик информационной безопасности.

получение конкурентного преимущества на рынке;

Правильно разработанные и реализованные политики безопасности позволяют увеличить время доступности и коэффициент готовности сервисов компании. Таким образом увеличивается общая жизнеспособность компании и обеспечивается непрерывность бизнеса. По словам ведущих аналитиков Gartner Group, «обеспечение информационной безопасности является ключевым моментом устойчивости и непрерывности бизнеса». демонстрация заинтересованности руководства компании;

Вовлечение руководства в организацию режима информационной безопасности компании значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании. Без демонстрации заинтересованности руководства компании сотрудники не станут воспринимать политики информационной безопасности всерьез. Цель любой политики безопасности — разъяснение и доведение позиции руководства в соответствии с принципами безопасности и бизнес-целями компании. создание корпоративной культуры безопасности;

«Образно организацию режима информационной безопасности можно сравнить с цепью: рвется там, где самое тонкое звено цепи» (Б. Шнайер). Сотрудники являются как самым сильным, так одновременно и самым слабым звеном в обеспечении информационной безопасности. Необходимо донести до сотрудников мысль о том, что «обеспечение информационной безопасности — обязанность всех сотрудников». Это достигается путем введения процедуры ознакомления с требованиями политик безопасности и подписания соответствующего документа о том, что сотрудник ознакомлен, ему понятны все требования политик и он обязуется их выполнять. Политики безопасности позволяют ввести требования по поддержанию необходимого уровня безопасности в перечень обязанностей каждого сотрудника. В процессе выполнения трудовых обязанностей для сотрудников необходимо периодически проводить ознакомление с вопросами обеспечения информационной безопасности и обучение. Критически важным условием для успеха в области обеспечения информационной безопасности компании становится создание в компании атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности. Чем крупнее компания, тем более важной становится информационная поддержка сотрудников по вопросам безопасности. уменьшение стоимости страхования;

Страхование — важная составляющая управления информационными рисками. Наличие политик информационной безопасности является необходимым и обязательным условием страхования. В России уже появились фирмы, предлагающие страховать информационные риски, например «Ингосстрах» и «РОСНО». Стоимость страхования страховая компания определяет путем проведения аудита информационной безопасности независимой компанией, специализирующейся в этой области. Например, компания «Центр финансовых технологий» (интернет-проект Faktura.ru) заключила договор комплексного страхования информационных рисков с «Ингосстрахом». Сумма ответственности составила 500 тыс. долларов. Аудит проводила компания ОАО «Элвис+». экономическая целесообразность;

По рекомендациям ведущих компаний в области безопасности, от 60 до 80 % всех усилий по обеспечению безопасности должны быть направлены на разработку политик безопасности и сопутствующих документов. Вы спросите, почему?

Как видно из диаграммы (рис. 1.15), разработанной Стивеном Россом (Delloitte & Touche), каждая политика безопасности может являться как самым дешевым, так и одновременно самым эффективным способом обеспечения информационной безопасности. хорошая бизнес-практика.

Рис. 1.15. Оценка эффективности и цены решений в области защиты информации

Наличие политик информационной безопасности является правилом хорошего тона. В опросе, проведенном в Великобритании компанией PriceWaterhouseCoopers в 2002 году, 67 % компаний назвали именно эту причину создания политик информационной безопасности.

Даже такие высокотехнологичные компании, как Cisco, заявляют, что правильно сформулированная политика информационной безопасности лучше технических средств обеспечения информационной безопасности. Подход Cisco к проблемам создания защищенной инфраструктуры (рис. 1.16) показывает, что именно политики информационной безопасности являются краеугольным камнем, вокруг которого строится вся система обеспечения безопасности.

Рис. 1.16. Подход Cisco к созданию политик безопасности

Таким образом, политики обеспечения информационной безопасности необходимы для успешной организации режима информационной безопасности любой отечественной компании. Политики безопасности минимизируют влияние «человеческого фактора» и недостатки существующих технологий защиты информации. Кроме того, политики безопасности дисциплинируют сотрудников компании и позволяют создать корпоративную культуру безопасности.

Политики безопасности

ГЛАВА 2. РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ

СРЕДНЕГО УРОВНЯ

Задачи политики информационной безопасности

Под политикой информационной безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Основные задачи разработки политики безопасности

определить какие данные и насколько серьезно необходимо защищать;

определить, кто и какой ущерб может нанести фирме в информационном аспекте;

вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Реализация политики информационной безопасности

Реализация политики безопасности для разрабатываемой программы заключается в Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, определение ответственных за продвижение программы.

Аутентификация систем

Аутентификация систем — это механизм, предназначенный для установления личности пользователей, желающих получить доступ к программе. Механизмы аутентификации — это пароли, смарт-карты и биометрия. Требования к ним должны быть включены в программы профессиональной переподготовки по вопросам безопасности.

Сканирование уязвимых мест

Уязвимые места системы стали очень важной темой в безопасности. Установка операционной системы с параметрами по умолчанию обычно сопровождается запуском ненужных процессов и появлением уязвимых мест.

Самой распространенной угрозой является DDos-атака.

Практические рекомендации по внедрению

политики безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

— решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

— формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

— обеспечение базы для соблюдения законов и правил;

— формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики безопасности верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Политика безопасности среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

3. Роли и обязанности. В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

4. Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

5. Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

— кто имеет право доступа к объектам, поддерживаемым сервисом?

— при каких условиях можно читать и модифицировать данные?

— как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.

Ссылка на основную публикацию
Adblock
detector
×
×