Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Пример документа политики безопасности верхнего уровня

Пример разработки политики безопасности организации

Что нужно для создания политики безопасности

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

  • Уточнение важности информационных и технологических активов предприятия;
  • определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
  • Определение рисков на угрозы активам;
  • Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
  • Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
  • Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

  • указывать на причины и цели создания политики безопасности;
  • осматривать, какие границы и ресурсы охватываются политикой безопасности;
  • определить ответственных по политике безопасности;
  • определить условие не выполнение и так званное наказание
  • политики безопасности должны быть реальными и осуществимыми;
  • политики безопасности должны быть доступными, краткими и однозначными для понимания;
  • должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

  • создание адекватной команды для создание политики;
  • решить вопросы об возникающих особенностях при разработки.
  • решить вопросы об области действии и цели создании политики;
  • решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на локальные атаки. Сделав основные шаги нужно проанализировать есть ли выход локальной сети(seti_PDH или seti_dwdm) в интернет. Ведь при выходе сети в интернет возникает вопрос о проблемах защиты информации в сетях. Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и оценки рисков.Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

На этом этапе реализуются следующие шаги:

  • анализ угроз информационной безопасности которые непосредственно обозначены для объекта защиты;
  • оценка и идентификация цены информационных и технологических активов;
  • осмотр вероятности реализации угроз на практике;
  • осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

  • Вход, допустим это пользователь делает запрос на создания нового пароля;
  • механизм, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора;
  • Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
  • Выход, это результат процесса. Получение пароля.

Компоненты архитектуры безопасности

Физическая безопасность, важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

  • открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
  • контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
  • особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и тд). также должен быть обозначен метод обнаружения ошибок при передачи информации. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Ресурсы делят на две категории, которые подвержены угрозам:

  • Ресурсы ОС;
  • Ресурсы пользователя.
  • Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру спутниковые системы;

Определение полномочий администратору, должны быть четко обозначены и также все их действие должны логироватся и мониториться. Также есть администраторы которые следят за контролем удаленного доступа к ресурсам.

  • должны определить полномочия для каждой системы и платформы;
  • проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

  • каждое нарушение безопасности должно давать сигнал события;
  • Одно событие не есть поводом для утверждения, они должны накапливаться;
  • должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

  • Анализ информационных предприятия, который могут нанести максимальный ущерб.
  • Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия.
  • Разработать планы действий при ЧС для уменьшения ущерба.
  • Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

  • Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
  • Осмотр бизнес-стратегии предприятия.
  • Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рекомендуемая структура руководящих документов для реализации информационной безопасности показана на рис.4.

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

  • анализа информационных угроз и методов их уменьшения
  • создание норм и правил безопасности разных уровней предприятия
  • уточнение методов защиты, которые будут реализованы на предприятии
  • конкретное определение процедур безопасности
  • анализ ожиданий относительно результатов от сотрудников и компании в целом
  • реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Срок действия — с 1 января по 31 декабря … года.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз, сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

  • управление бизнесом
  • отдел защиты информации
  • техническое управление
  • департамент управления рисками
  • отдел системного/сетевого администрирования
  • юридический отдел
  • департамент системных операций
  • отдел кадров
  • служба внутреннего качества и аудита
Читать еще:  Политика сетевой безопасности

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

  • назначения ценности информационных активов
  • управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
  • управление информационной безопасностью
  • обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

  • Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
  • Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
  • Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
  • Комплексность — должны учитываться все направления безопасности.
  • Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
  • Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
  • Своевременность — все противодействия угрозам должны быть своевременны.
  • Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
  • Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
  • Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Менеджмент информационной безопасности на уровне предприятия: основные направления и структура политики безопасности

Формирование политики информационной безопасности на предприятии

Структура политики информационной безопасности и процесс ее разработки

Политика информационной безопасности представляет собой комплекс документов, отражающих все основные требования к обеспечению защиты информации и направления работы предприятия в этой сфере. При построении политики безопасности можно условно выделить три ее основных уровня: верхний, средний и нижний.

Верхний уровень политики информационной безопасности предприятия служит:

  • для формулирования и демонстрации отношения руководства предприятия к вопросам информационной безопасности и отражения общих целей всего предприятия в этой области;
  • основой для разработки индивидуальных политик безопасности (на более низких уровнях), правил и инструкций, регулирующих отдельные вопросы;
  • средством информирования персонала предприятия об основных задачах и приоритетах предприятия в сфере информационной безопасности.

Политики информационной безопасности среднего уровня определяют отношение предприятия (руководства предприятия) к определенным аспектам его деятельности и функционирования информационных систем:

  • отношение и требования (более детально по сравнению с политикой верхнего уровня) предприятия к отдельным информационным потокам и информационным системам, обслуживающим различные сферы деятельности, степень их важности и конфиденциальности, а также требования к надежности (например, в отношении финансовой информации, а также информационных систем и персонала, которые относятся к ней);
  • отношение и требования к определенным информационным и телекоммуникационным технологиям, методам и подходам к обработке информации и построения информационных систем;
  • отношение и требования к сотрудникам предприятия как к участникам процессов обработки информации, от которых напрямую зависит эффективность многих процессов и защищенность информационных ресурсов, а также основные направления и методы воздействия на персонал с целью повышения информационной безопасности.

Политики безопасности на самом низком уровне относятся к отдельным элементам информационных систем и участкам обработки и хранения информации и описывают конкретные процедуры и документы, связанные с обеспечением информационной безопасности.

Разработка политики безопасности предполагает осуществление ряда предварительных шагов:

  • оценку личного (субъективного) отношения к рискам предприятия его собственников и менеджеров, ответственных за функционирование и результативность работы предприятия в целом или отдельные направления его деятельности;
  • анализ потенциально уязвимых информационных объектов;
  • выявление угроз для значимых информационных объектов (сведений, информационных систем, процессов обработки информации) и оценку соответствующих рисков.

Осуществление предварительных шагов (анализа) позволяет определить, насколько информационная безопасность в целом важна для устойчивого осуществления основной деятельности предприятия, его экономической безопасности. На основе этого анализа с учетом оценок менеджеров и собственников определяются конкретные направления работы по обеспечению информационной безопасности. При этом в некоторых случаях личное мнение отдельных руководителей может и не иметь решающего значения. Например, в том случае, когда в распоряжении компании имеются сведения, содержащие государственную, врачебную, банковскую или военную тайну, основные процедуры обращения информации определяются федеральным законодательством, а также директивами и инструкциями тех федеральных органов, в чьей компетенции находятся вопросы обращения такой информации. Таким образом, политика информационной безопасности (практически на всех уровнях) в части работы с такими данными будет основана на общих строго формализованных правилах, процедурах и требованиях (таких, как использование сертифицированного оборудования и программного обеспечения, прохождение процедур допуска, оборудование специальных помещений для хранения информации и т.п.).

При разработке политик безопасности всех уровней необходимо придерживаться следующих основных правил.

  • Политики безопасности на более низких уровнях должны полностью подчиняться соответствующей политике верхнего уровня, а также действующему законодательству и требованиям государственных органов.
  • Текст политики безопасности должен содержать только четкие и однозначные формулировки, не допускающие двойного толкования.
  • Текст политики безопасности должен быть доступен для понимания тех сотрудников, которым он адресован.

В целом политика информационной безопасности должна давать ясное представление о требуемом поведении пользователей, администраторов и других специалистов при внедрении и использовании информационных систем и средств защиты информации, а также при осуществлении информационного обмена и выполнении операций по обработке информации. Кроме того, из политики безопасности, если она относится к определенной технологии и/или методологии защиты информации, должны быть понятны основные принципы работы этой технологии. Важной функцией политики безопасности является четкое разграничение ответственностей в процедурах информационного обмена: все заинтересованные лица должны ясно осознавать границы как своей ответственности, так и ответственности других участников соответствующих процедур и процессов. Также одной из задач политики безопасности является защита не только информации и информационных систем, но и защита самих пользователей (сотрудников предприятия и его клиентов и контрагентов).

Общий жизненный цикл политики информационной безопасности включает в себя ряд основных шагов.

  1. Проведение предварительного исследования состояния информационной безопасности.
  2. Собственно разработку политики безопасности.
  3. Внедрение разработанных политик безопасности.
  4. Анализ соблюдения требований внедренной политики безопасности и формулирование требований по ее дальнейшему совершенствованию (возврат к первому этапу, на новый цикл совершенствования).

Этот цикл (см. рис. 7.3) может повторяться несколько раз с целью совершенствования организационных мер в сфере защиты информации и устранения выявляемых недоработок.

Политика информационной безопасности предприятия: верхний уровень

Политика информационной безопасности верхнего уровня фактически является декларацией руководителей и/или собственников предприятия о необходимости вести целенаправленную работу по защите информационных ресурсов, что должно стать основой для более успешного функционирования предприятия в основном направлении его деятельности, а также устранить различные риски, которые могут привести к финансовым потерям, ущербу для репутации предприятия, административному и уголовному преследованию руководителей и другим негативным последствиям.

Политика информационной безопасности на этом уровне может определять и описывать:

  • собственно решение об осуществлении целенаправленной систематической деятельности по обеспечению информационной безопасности предприятия;
  • перечень основных информационных ресурсов, таких как информационные системы, массивы данных, информация об отдельных фактах и явлениях (конструкторских разработках, коммерческих сделках, результатах НИОКР и т.п.), защита которых имеет наибольший приоритет для всего предприятия;
  • общий подход к распределению ответственности за обеспечение информационной безопасности внутри организации;
  • указание на необходимость для всего персонала соблюдать определенные меры предосторожности при работе с информацией и информационными системами, повышать свою квалификацию в данной области и осознавать меру ответственности за возможные нарушения;
  • отношение руководства предприятия к фактам нарушения требований по обеспечению информационной безопасности и лицам, совершающим такие нарушения, а также общий подход к их преследованию в случае выявления таких фактов.
Читать еще:  Политика безопасности автоматизированной системы

Одной из задач политики верхнего уровня является формулирование и демонстрация того, что защита информации является одним из ключевых механизмов обеспечения конкурентоспособности предприятия и обуславливает как его способность достигать поставленные цели, так иногда и способность выживания и сохранения возможности продолжать деятельность. Для этого могут быть обозначены приоритетные направления хозяйственной деятельности и соответствующие им информационные системы и потоки информации, описана причинно-следственная связь между возможными нарушениями конфиденциальности и/или нарушениями в стабильной работе информационных систем, с одной стороны, и нарушениями нормального хода текущих хозяйственных операций, с другой стороны. На основе этого могут быть определены приоритетные направления деятельности по обеспечению информационной безопасности. В наибольшей степени зависимость общей эффективности деятельности от информационной безопасности характерна для таких компаний, которые:

  • занимаются т.н. электронной коммерцией или работают в смежных сферах (электронные платежи, Интернет-реклама и т.п.);
  • непосредственно связаны с оборотом (созданием, куплей-продажей, охраной, оценкой) объектов интеллектуальной собственности и, в частности, наукоемких технологий;
  • непосредственно связаны с обращением больших объемов информации, составляющей тайну других лиц (банки, медицинские учреждения, аудиторские компании и т.п.).

При этом работа над политикой информационной безопасности должна включать в себя не только ее начальную разработку, но и постоянный мониторинг угроз, изменений во внешней среде для последующего уточнения (или даже полной переработки) политики в соответствии с изменившимися условиями работы.

Основные понятия политики безопасности

Управленческие меры обеспечения информационной безопасности

Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.
С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний.

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.
Такие решения могут включать в себя следующие элементы:
• формулировку целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
• формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
• обеспечение материальной базы для соблюдения законов и правил;
• формулировку управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, т. е. о ее защите от НСД.
На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко определять сферу своего влияния. В нее могут быть включены не только все компьютерные системы организации, но и домашние компьютеры сотрудников, если политика регламентирует некоторые аспекты их использования. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, т. е. политика может служить основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией. Примеры таких вопросов — отношение к доступу в Internet (проблема сочетания свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т. д.
Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:
• описание аспекта — позиция организации может быть сформулирована в достаточно общем виде, а именно как набор целей, которые преследует организация в данном аспекте;
• область применения — следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;
• роли и обязанности — документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;
• санкции — политика должна содержать общее описание запрещенных действий и наказаний за них;
• точки контакта — должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит должностное лицо.

Нижний уровень политики безопасности относится к конкретным сервисам. Она включает два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной, т. е. при следовании политике безопасности нижнего уровня необходимо дать ответ, например, на такие вопросы:
• кто имеет право доступа к объектам, поддерживаемым сервисом;
• при каких условиях можно читать и модифицировать данные;
• как организован удаленный доступ к сервису.
Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддерживать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

Эта статья была опубликована Воскресенье, 9 августа, 2009 at 15:43 в рубрике Политика безопасности. Вы можете следить за ответами через RSS 2.0 feed.

Содержание политики безопасности верхнего уровня.

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Примерный список подобных решений может включать в себя следующие эле­менты:

1. формулировка целей, которые преследует организация в области информа­ционной безопасности, определение общих направлений в достижении этих целей;

2. формирование или пересмотр комплексной программы обеспечения инфор­мационной безопасности, определение ответственных лиц за продвижение программы;

3. обеспечение материальной базы для соблюдения законов и правил;

4. формулировка управленческих решений по тем вопросам реализации про­граммы безопасности, которые должны рассматриваться на уровне органи­зации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять целостность данных, опреде­ляемая числом случаев потерь, повреждений или искажений данных. Для орга­низации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному чис­лу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанк­ционированного доступа.

Читать еще:  Как отключить проверку безопасности в edge

Для банковских систем характерна триада информационной безопасности – конфиденциальность, целостность и доступность.

На верхний уровень выносится управление ресурсами безопасности и коорди­нация использования этих ресурсов, выделение специального персонала для за­щиты критически важных систем, поддержание контактов с другими организаци­ями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если поли­тика регламентирует некоторые аспекты использования сотрудниками своих до­машних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влия­ния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выра­ботке программы безопасности и по претворению ее в жизнь. В этом смысле по­литика является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать су­ществующие законы. Во-вторых, следует контролировать действия лиц, ответ­ственных за выработку программы безопасности. Наконец, необходимо обеспе­чить определенную степень законопослушности персонала, а для этого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить только те вопросы, решение которых может дать значительную эконо­мию средств или если поступить иначе просто невозможно.

Содержание политики безопасности среднего уровня.

Средний уровень политики безопасности определяет решение вопросов, касаю­щихся отдельных аспектов информационной безопасности, но важных для раз­личных систем, эксплуатируемых организацией.

Примеры таких вопросов — отношение к доступу в Internet (как сочетать сво­боду получения информации с защитой от внешних угроз), использование до­машних компьютеров и т.д. Политика безопасности среднего уровня должна определять для каждого ас­пекта информационной безопасности следующие моменты:

§ описание аспекта. Позиция организации может быть сформулирована в до­статочно общем виде как набор целей, которые преследует организация в дан­ном аспекте;

§ область применения. Следует специфицировать, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности;

§ роли и обязанности. В документ необходимо включить информацию о долж­ностных лицах, отвечающих за претворение политики безопасности в жизнь;

§ санкции. Политика должна содержать общее описание запрещенных дей­ствий и наказаний за них;

§ точки контакта. Должно быть известно, куда следует обращаться за разъяс­нениями, помощью и дополнительной информацией. Обычно «точкой кон­такта» служит определенное должностное лицо.

Дата добавления: 2018-06-01 ; просмотров: 262 ;

Содержание политики безопасности

Политика безопасности — это документ «верхнего» уровня, в котором должно быть указано:

  • ответственные лица за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

два фундаментальных принципа, на которых строится распределение ролей и ответственности.
1. Распределение ответственности. Этот принцип означает, что в системе не должно быть субъекта, который мог бы самостоятельно от начала до конца выполнить операцию, которая может нанести ущерб безопасности. Например, если пользователь А выполняет некую транзакцию, имеющую существенное значение для системы, то она должна вступить в силу только после того, как пользователь Б проверит и подтвердит ее корректность. Таким образом, ни А, ни Б не могут по отдельности произвести данную транзакцию, один может только формировать данные для нее, другой — только авторизовать ее (то есть в данном случае отправить на выполнение), — без этих двух процедур транзакция не будет иметь результата.
Если конкретная операция в системе построена таким образом, что она не может быть разделена между двумя пользователями, значит, при ее критической важности, она должна быть выполнена одним пользователем только в присутствии другого. Это может быть достигнуто, например, разделением пароля на аутентификацию пользователя, от имени которого запускается функция, на две (или более) части. Иногда можно встретить другое определение такого принципа — «в четыре глаза».
Если же объективно ряд значимых операций должен выполняться только одним человеком, то результаты его действий должны регистрироваться в журналах, к которым он не имеет доступа на корректировку. Эти журналы должны регулярно анализироваться другим человеком.
Набор прав и обязанностей, который можно применить к тому или иному сотруднику в зависимости от его функций, называется ролью. Цельполитики ролей на предприятии — унифицировать и упростить делегирование прав сотрудникам. После разработки подобной схемы исчезает необходимость составлять ради каждого вновь прибывшего работника набор его прав и обязанностей и настраивать сотни учетных записей. Достаточно указать принадлежность сотрудника той или иной роли, и, возможно, произвести минимальное редактирование профиля.

2. Минимизация привилегий (англ. least privelegies). Этот принцип означает, что пользователю предоставляется ровно столько прав, сколько ему необходимо для выполнения работы, т. е. если в обязанности пользователя входит формирование отчетов по всей базе данных, то он должен иметь доступ ко всем данным, но только на чтение. Если пользователь должен выполнять транзакции, изменяющие состояние двух групп объектов, то он должен иметь доступ на модификацию (в зависимости от конкретной задачи, возможно, на создание и/или удаление) только к этим двум объектам.

Можно возразить, что объективно в информационном пространстве должен присутствовать субъект, имеющий полный доступ ко всем ресурсам, хотя бы для того, чтобы добавлять новых пользователей и наделять их правами на доступ (а значит, и имеющий возможность установить себе полный доступ ко всем информационным объектам) — например, администратор локальной сети. Возможно, это будет верно для небольших предприятий, однако там, где есть возможность содержать в штате более одного администратора, необходимо разделять их права, например, с помощью выделения доменов ответственности, на ресурсном принципе или по какой-либо другой схеме.

Политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений.

1. Основные положения информационной безопасности.

2. Область применения.

3. Цели и задачи обеспечения информационной безопасности.

Ссылка на основную публикацию
Adblock
detector