Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Содержание политики безопасности

Понятие политики безопасности

Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy». Здесь имеются в виду не отдельные правила или их наборы, а стратегия организации в области информационной безопасности.

Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности — набор законов, правил практического опыта, на основе которого строится управление, защита и распределение конфиденциальной информации в системе.

Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.

Наиболее часто рассматривается политика безопасности связанная с понятием доступа.

Доступ — категория субъектно-объектной модели, описывающей процесс выполнения операций субъектов (активный компонент компьютерной системы) над объектами (пассивный компонент компьютерной системы). [2]

Существуют различные уровни защиты информации.

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации к обеспечению защиты информации. Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Политика безопасности административного уровня — это совокупность документированных решений, принимаемых руководством организации и на правленых на защиту информации и ассоциированных с ней ресурсов.

Выработку политики безопасности и ее содержания рассматривают на трех горизонтальных уровнях детализации:

· Верхний уровень — вопросы, относящиеся к организации в целом;

· Средний уровень — вопросы, касающиеся отдельных аспектов информационной безопасности;

· Нижний уровень — вопросы, относящиеся к конкретным сервисам;

Более подробно эти уровни рассмотрим ниже.

После формулирования политики безопасности составляется программа обеспечения информационной безопасности. Она так же структурируется по уровням:

· Верхний уровень (центральный) — охватывает всю организацию;

· Нижний уровень (служебный) — относится к отдельным услугам или группам однородных сервисов.

Разработка и реализация политики безопасности.

Разработка политики информационной безопасности в общем случае является итерационной процедурой, состоящей из выполнения следующих шагов:

Первый шаг — разработка гипотетически идеальной для организации политики, куда закладываются те требования, которые идеально подходят для данной организации — формулируется некий идеальный профиль защиты.

Второй шаг- выбор (или разработка) системы защиты, максимально обеспечивающей выполнение требований гипотетически идеальной политики информационной безопасности.

Третий шаг — определение требований политики информационной безопасности, которые не выполняются системой защиты.

Политика безопасности верхнего уровня, затрагивающая всю организацию в целом, включает в себя:

а) решение сформировать или изменить комплексную программу обеспечения информационной безопасности;

б) формулирование целей организации в области информационной безопасности, определение общих направлений в достижении данных целей;

в) обеспечение нормативной базы для соблюдения законов и правил;

г) формулирование административных решений по вопросам, затрагивающих организацию в целом.

На данном уровне решаются следующие вопросы:

а) управление ресурсами защиты и координация использования данных ресурсов;

б) выделение персонала для защиты конфиденциально важных систем;

в) определение взаимодействия с внешними организациями, обеспечивающими или контролирующими режим безопасности;

г) определение правил соблюдения законодательных и нормативных правил, контроля за действием сотрудников, выработка системы поощрений и наказаний.

К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО.

Политика среднего уровня для каждого аспекта должна освещать: описание объекта; область применения; позицию организации по данному вопросу; роли и обязанности персонала; точки контакта различные подразделений.

Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Она включает в себя два аспекта:

2) Правила достижения поставленных целей

Политика безопасности нижнего уровня должна быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными.

Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами. Для разработки целей безопасности создается комитет по информационной безопасности.

Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17 799).

В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Microsoft, Symantec и пр.

Папиллярные узоры пальцев рук — маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.

Содержание политики безопасности

Политика безопасности — это документ «верхнего» уровня, в котором должно быть указано:

  • ответственные лица за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

два фундаментальных принципа, на которых строится распределение ролей и ответственности.
1. Распределение ответственности. Этот принцип означает, что в системе не должно быть субъекта, который мог бы самостоятельно от начала до конца выполнить операцию, которая может нанести ущерб безопасности. Например, если пользователь А выполняет некую транзакцию, имеющую существенное значение для системы, то она должна вступить в силу только после того, как пользователь Б проверит и подтвердит ее корректность. Таким образом, ни А, ни Б не могут по отдельности произвести данную транзакцию, один может только формировать данные для нее, другой — только авторизовать ее (то есть в данном случае отправить на выполнение), — без этих двух процедур транзакция не будет иметь результата.
Если конкретная операция в системе построена таким образом, что она не может быть разделена между двумя пользователями, значит, при ее критической важности, она должна быть выполнена одним пользователем только в присутствии другого. Это может быть достигнуто, например, разделением пароля на аутентификацию пользователя, от имени которого запускается функция, на две (или более) части. Иногда можно встретить другое определение такого принципа — «в четыре глаза».
Если же объективно ряд значимых операций должен выполняться только одним человеком, то результаты его действий должны регистрироваться в журналах, к которым он не имеет доступа на корректировку. Эти журналы должны регулярно анализироваться другим человеком.
Набор прав и обязанностей, который можно применить к тому или иному сотруднику в зависимости от его функций, называется ролью. Цельполитики ролей на предприятии — унифицировать и упростить делегирование прав сотрудникам. После разработки подобной схемы исчезает необходимость составлять ради каждого вновь прибывшего работника набор его прав и обязанностей и настраивать сотни учетных записей. Достаточно указать принадлежность сотрудника той или иной роли, и, возможно, произвести минимальное редактирование профиля.

Читать еще:  Как обойти политику безопасности

2. Минимизация привилегий (англ. least privelegies). Этот принцип означает, что пользователю предоставляется ровно столько прав, сколько ему необходимо для выполнения работы, т. е. если в обязанности пользователя входит формирование отчетов по всей базе данных, то он должен иметь доступ ко всем данным, но только на чтение. Если пользователь должен выполнять транзакции, изменяющие состояние двух групп объектов, то он должен иметь доступ на модификацию (в зависимости от конкретной задачи, возможно, на создание и/или удаление) только к этим двум объектам.

Можно возразить, что объективно в информационном пространстве должен присутствовать субъект, имеющий полный доступ ко всем ресурсам, хотя бы для того, чтобы добавлять новых пользователей и наделять их правами на доступ (а значит, и имеющий возможность установить себе полный доступ ко всем информационным объектам) — например, администратор локальной сети. Возможно, это будет верно для небольших предприятий, однако там, где есть возможность содержать в штате более одного администратора, необходимо разделять их права, например, с помощью выделения доменов ответственности, на ресурсном принципе или по какой-либо другой схеме.

Политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений.

1. Основные положения информационной безопасности.

2. Область применения.

3. Цели и задачи обеспечения информационной безопасности.

Политика безопасности: разработка и реализация

Политика безопасности: разработка и реализация

Политика безопасности: разработка и реализация


В.Г. Грибунин, эксперт, к.т.н.

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать — вольно или невольно — сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого следует приступать к разработке политики безопасности.

Содержание политики безопасности

Политика безопасности — документ «верхнего» уровня, в котором должны быть указаны:

  • лица, ответственные за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При его составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Этот принцип означает, что затраты на обеспечение безопасности информации должны быть не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать их по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности следует уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности. Ему подчинялись бы обе службы.

В политике безопасности не стоит детализировать должностные обязанности сотрудников (хотя приходилось видеть и такое). Они должны разрабатываться на основе политики, но не внутри нее.

Обеспечение безопасности компьютерной информации

Серьезное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, определить порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

Приведем по этому поводу следующие общие рекомендации:

  • в системе должен быть администратор безопасности;
  • должен быть назначен ответственный за эксплуатацию каждого устройства;
  • системный блок компьютера надо защищать печатями ответственного и работника IT-службы (или службы безопасности);
  • жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
  • если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
  • установка любого программного обеспечения должна производиться только работником IT-службы;
  • для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли генерируются администратором безопасности, выдаются пользователю под роспись и хранятся им также как и другая конфиденциальная информация;
  • следует запретить использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

Безусловно, внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек станет игнорировать правила.

Крайне внимательно следует отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос предлагается выделить в отдельный раздел. Подключение к Глобальной сети обычно преследует следующие цели:

  • получение информации;
  • размещение своей информации о предоставляемых услугах, продаваемых товарах и т.д.
  • организация совместной работы удаленных офисов или работников на дому.

В двух первых случаях идеальным с точки зрения безопасности было бы использование для работы во Всемирной паутине автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На нем обязательно устанавливаются антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль стоит уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты.

Читать еще:  Локальных код безопасности

При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением считаются виртуальные частные сети (VPN). В настоящее время известно множество отечественных фирм-разработчиков, представляющих услуги по установке и настройке соответствующего программного обеспечения.

Несмотря на все принятые меры, нарушения информационной безопасности могут иметь место. В политике безопасности следует обязательно предусмотреть меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.

Итак, вы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.

Первый — оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода — его субъективизм. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы — ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

К счастью, почти ничего создавать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, он не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.

Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет отправляется в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке.

Содержание политики безопасности верхнего уровня.

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Примерный список подобных решений может включать в себя следующие эле­менты:

1. формулировка целей, которые преследует организация в области информа­ционной безопасности, определение общих направлений в достижении этих целей;

2. формирование или пересмотр комплексной программы обеспечения инфор­мационной безопасности, определение ответственных лиц за продвижение программы;

3. обеспечение материальной базы для соблюдения законов и правил;

4. формулировка управленческих решений по тем вопросам реализации про­граммы безопасности, которые должны рассматриваться на уровне органи­зации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять целостность данных, опреде­ляемая числом случаев потерь, повреждений или искажений данных. Для орга­низации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному чис­лу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанк­ционированного доступа.

Для банковских систем характерна триада информационной безопасности – конфиденциальность, целостность и доступность.

На верхний уровень выносится управление ресурсами безопасности и коорди­нация использования этих ресурсов, выделение специального персонала для за­щиты критически важных систем, поддержание контактов с другими организаци­ями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если поли­тика регламентирует некоторые аспекты использования сотрудниками своих до­машних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влия­ния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выра­ботке программы безопасности и по претворению ее в жизнь. В этом смысле по­литика является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать су­ществующие законы. Во-вторых, следует контролировать действия лиц, ответ­ственных за выработку программы безопасности. Наконец, необходимо обеспе­чить определенную степень законопослушности персонала, а для этого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить только те вопросы, решение которых может дать значительную эконо­мию средств или если поступить иначе просто невозможно.

Содержание политики безопасности среднего уровня.

Средний уровень политики безопасности определяет решение вопросов, касаю­щихся отдельных аспектов информационной безопасности, но важных для раз­личных систем, эксплуатируемых организацией.

Примеры таких вопросов — отношение к доступу в Internet (как сочетать сво­боду получения информации с защитой от внешних угроз), использование до­машних компьютеров и т.д. Политика безопасности среднего уровня должна определять для каждого ас­пекта информационной безопасности следующие моменты:

§ описание аспекта. Позиция организации может быть сформулирована в до­статочно общем виде как набор целей, которые преследует организация в дан­ном аспекте;

§ область применения. Следует специфицировать, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности;

§ роли и обязанности. В документ необходимо включить информацию о долж­ностных лицах, отвечающих за претворение политики безопасности в жизнь;

§ санкции. Политика должна содержать общее описание запрещенных дей­ствий и наказаний за них;

§ точки контакта. Должно быть известно, куда следует обращаться за разъяс­нениями, помощью и дополнительной информацией. Обычно «точкой кон­такта» служит определенное должностное лицо.

Дата добавления: 2018-06-01 ; просмотров: 261 ;

7.6. Разработка и реализация политики безопасности предприятия

7.6. Разработка и реализация политики безопасности предприятия

Подготовительный этап

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Всякой успешной деятельности должен предшествовать этап планирования. Шахматисты знают, что, не создав четкого плана, выиграть партию у сколько-нибудь серьезного соперника невозможно. А соперник – «промышленный шпион» – у нас достаточно серьезный. Планирование обеспечения безопасности заключается в разработке политики безопасности.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к этому делу подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускаются из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Например, обиженный чем-то программист может вставить деструктивную закладку в программное обеспечение, которая сотрет ценную базу данных уже намного позднее времени его увольнения. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После этого становится ясно, что защищать, где защищать и от кого защищать: ведь в подавляющем случае инцидентов в качестве нарушителей будут выступать – вольно или невольно – сами сотрудники фирмы. На самом деле, с этим ничего нельзя поделать: это надо принять как данность. Различным угрозам безопасности можно присвоить вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого можно приступать к разработке политики безопасности.

Содержание политики безопасности.

Политика безопасности – это документ «верхнего» уровня, в котором должно быть указано:

– ответственные лица за безопасность функционирования фирмы;

– полномочия и ответственность отделов и служб в отношении безопасности;

Читать еще:  Реализация политики безопасности

– организация допуска новых сотрудников и их увольнения;

– правила разграничения доступа сотрудников к информационным ресурсам;

– организация пропускного режима, регистрации сотрудников и посетителей;

– использование программно-технических средств защиты;

– другие требования общего характера.

Таким образом, политика безопасности – это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Например, в политике может быть указано, что все прибывающие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконтролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных телефонов сотрудникам фирмы, при условии достаточного количества стационарных телефонов.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

Обеспечение безопасности компьютерной информации.

Дополнительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

Можно привести по этому поводу следующие общие рекомендации:

– в системе должен быть администратор безопасности;

– за каждое устройство должен быть назначен ответственный за его эксплуатацию;

– системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности)

– жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;

– если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;

– установка любого программного обеспечения должна производиться только работником IT-службы;

– для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;

– должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

Еще раз напомним о разумной достаточности и здравом смысле. Внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек будет игнорировать существующие правила. Например, можно потребовать завести журнал пользователя персонального компьютера, в котором он должен отмечать время начала и конца работы, характер выполняемых действий, наименование созданных файлов и т. д. Можно предусмотреть процедуру удаления файлов под две росписи в журнале, да мало ли что еще взбредет в голову! Никто и никогда не будет выполнять такие вздорные требования. Другое дело, если подготовка каких-то важных документов предусмотрена на специальном компьютере в службе безопасности. Здесь журнал учета работы пользователей будет не только уместным, но и необходимым.

Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос должен быть выделен в отдельный раздел.

Подключение к Интернету обычно преследует следующие цели:

– получение информации из Интернета;

– размещение в Интернете своей информации о предоставляемых услугах, продаваемых товарах и т. д.

– организация совместной работы удаленных офисов или работников на дому.

В первых двух случаях идеальным с точки зрения безопасности было бы выделение для Интернета автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль надо уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты. В некоторых организациях вся исходящая почта попадает вначале в руки администратора безопасности, который контролирует ее и пересылает дальше.

При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением являются виртуальные частные сети (VPN). В настоящее время имеется много отечественных фирм-разработчиков, представляющих также услуги по установке и настройке соответствующего программного обеспечения.

Несмотря на все принятые меры, нарушения информационной безопасности могут произойти. В политике безопасности должны быть обязательно предусмотрены меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.

Аудит безопасности.

Итак, вы разработали политику безопасности, претворили ее положения в жизнь. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены зря? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги, и, по крайней мере, два подхода к оценке.

Первый подход – оценка безопасности на качественном уровне. Проводящий оценку эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. В таком подходе нет ничего предосудительного, однако, субъективизм все же может присутствовать. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

К счастью, почти ничего разрабатывать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, этот стандарт не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.

Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует (и продается в нашей стране) программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет высылается в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке. Этот знак компания может разместить на своем корпоративном сайте. Трудно сказать, насколько эта процедура актуальна для российских фирм, но сам подход любопытен.

В заключении, необходимо особо подчеркнуть, что необходим постоянный и эффективный контроль над реализацией политики безопасности, потому, что все технические ухищрения в области обеспечения безопасности могут оказаться бесполезными без организации должного контроля.

Данный текст является ознакомительным фрагментом.

Ссылка на основную публикацию
Adblock
detector