Vvmebel.com

Новости с мира ПК
10 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Уровни политики безопасности

Понятие политики безопасности

Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy». Здесь имеются в виду не отдельные правила или их наборы, а стратегия организации в области информационной безопасности.

Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности — набор законов, правил практического опыта, на основе которого строится управление, защита и распределение конфиденциальной информации в системе.

Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.

Наиболее часто рассматривается политика безопасности связанная с понятием доступа.

Доступ — категория субъектно-объектной модели, описывающей процесс выполнения операций субъектов (активный компонент компьютерной системы) над объектами (пассивный компонент компьютерной системы). [2]

Существуют различные уровни защиты информации.

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации к обеспечению защиты информации. Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Политика безопасности административного уровня — это совокупность документированных решений, принимаемых руководством организации и на правленых на защиту информации и ассоциированных с ней ресурсов.

Выработку политики безопасности и ее содержания рассматривают на трех горизонтальных уровнях детализации:

· Верхний уровень — вопросы, относящиеся к организации в целом;

· Средний уровень — вопросы, касающиеся отдельных аспектов информационной безопасности;

· Нижний уровень — вопросы, относящиеся к конкретным сервисам;

Более подробно эти уровни рассмотрим ниже.

После формулирования политики безопасности составляется программа обеспечения информационной безопасности. Она так же структурируется по уровням:

· Верхний уровень (центральный) — охватывает всю организацию;

· Нижний уровень (служебный) — относится к отдельным услугам или группам однородных сервисов.

Разработка и реализация политики безопасности.

Разработка политики информационной безопасности в общем случае является итерационной процедурой, состоящей из выполнения следующих шагов:

Первый шаг — разработка гипотетически идеальной для организации политики, куда закладываются те требования, которые идеально подходят для данной организации — формулируется некий идеальный профиль защиты.

Второй шаг- выбор (или разработка) системы защиты, максимально обеспечивающей выполнение требований гипотетически идеальной политики информационной безопасности.

Третий шаг — определение требований политики информационной безопасности, которые не выполняются системой защиты.

Политика безопасности верхнего уровня, затрагивающая всю организацию в целом, включает в себя:

а) решение сформировать или изменить комплексную программу обеспечения информационной безопасности;

б) формулирование целей организации в области информационной безопасности, определение общих направлений в достижении данных целей;

в) обеспечение нормативной базы для соблюдения законов и правил;

г) формулирование административных решений по вопросам, затрагивающих организацию в целом.

На данном уровне решаются следующие вопросы:

а) управление ресурсами защиты и координация использования данных ресурсов;

б) выделение персонала для защиты конфиденциально важных систем;

в) определение взаимодействия с внешними организациями, обеспечивающими или контролирующими режим безопасности;

г) определение правил соблюдения законодательных и нормативных правил, контроля за действием сотрудников, выработка системы поощрений и наказаний.

К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО.

Политика среднего уровня для каждого аспекта должна освещать: описание объекта; область применения; позицию организации по данному вопросу; роли и обязанности персонала; точки контакта различные подразделений.

Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Она включает в себя два аспекта:

2) Правила достижения поставленных целей

Политика безопасности нижнего уровня должна быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными.

Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами. Для разработки целей безопасности создается комитет по информационной безопасности.

Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17 799).

В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Microsoft, Symantec и пр.

Папиллярные узоры пальцев рук — маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.

Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций.

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.

Политики безопасности

ГЛАВА 2. РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ

СРЕДНЕГО УРОВНЯ

Задачи политики информационной безопасности

Под политикой информационной безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Основные задачи разработки политики безопасности

определить какие данные и насколько серьезно необходимо защищать;

определить, кто и какой ущерб может нанести фирме в информационном аспекте;

вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Реализация политики информационной безопасности

Реализация политики безопасности для разрабатываемой программы заключается в Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, определение ответственных за продвижение программы.

Аутентификация систем

Аутентификация систем — это механизм, предназначенный для установления личности пользователей, желающих получить доступ к программе. Механизмы аутентификации — это пароли, смарт-карты и биометрия. Требования к ним должны быть включены в программы профессиональной переподготовки по вопросам безопасности.

Сканирование уязвимых мест

Уязвимые места системы стали очень важной темой в безопасности. Установка операционной системы с параметрами по умолчанию обычно сопровождается запуском ненужных процессов и появлением уязвимых мест.

Самой распространенной угрозой является DDos-атака.

Практические рекомендации по внедрению

политики безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

— решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

Читать еще:  Определение политики безопасности

— формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

— обеспечение базы для соблюдения законов и правил;

— формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики безопасности верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Политика безопасности среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

3. Роли и обязанности. В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

4. Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

5. Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

— кто имеет право доступа к объектам, поддерживаемым сервисом?

— при каких условиях можно читать и модифицировать данные?

— как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.

Основные понятия политики безопасности

Управленческие меры обеспечения информационной безопасности

Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.
С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний.

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.
Такие решения могут включать в себя следующие элементы:
• формулировку целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
• формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
• обеспечение материальной базы для соблюдения законов и правил;
• формулировку управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, т. е. о ее защите от НСД.
На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко определять сферу своего влияния. В нее могут быть включены не только все компьютерные системы организации, но и домашние компьютеры сотрудников, если политика регламентирует некоторые аспекты их использования. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, т. е. политика может служить основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией. Примеры таких вопросов — отношение к доступу в Internet (проблема сочетания свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т. д.
Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:
• описание аспекта — позиция организации может быть сформулирована в достаточно общем виде, а именно как набор целей, которые преследует организация в данном аспекте;
• область применения — следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;
• роли и обязанности — документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;
• санкции — политика должна содержать общее описание запрещенных действий и наказаний за них;
• точки контакта — должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит должностное лицо.

Читать еще:  Origin код безопасности

Нижний уровень политики безопасности относится к конкретным сервисам. Она включает два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной, т. е. при следовании политике безопасности нижнего уровня необходимо дать ответ, например, на такие вопросы:
• кто имеет право доступа к объектам, поддерживаемым сервисом;
• при каких условиях можно читать и модифицировать данные;
• как организован удаленный доступ к сервису.
Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддерживать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

Эта статья была опубликована Воскресенье, 9 августа, 2009 at 15:43 в рубрике Политика безопасности. Вы можете следить за ответами через RSS 2.0 feed.

Нижний уровень политики безопасности

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

При исследовании данной политики следует ответить на ряд вопросов :

· Кто имеет право доступа к объектам, поддерживаемым сервисом?

· При каких условиях можно читать и модифицировать данные?

· Как организован удаленный доступ к сервису?

При формулировке целей политики безопасности нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

С помощью целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

Обязанности различных категорий персонала:

1.Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:

· Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;

· Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

· Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;

· Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);

· Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.

2.Администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претвор­ния в жизнь политики безопасности. Они обязаны:

· Обеспечить защиту оборудования корпоративной сети, в том числе интерфейсов с другими сетями;

· Оперативно и эффективно реагировать на события, представляющих угрозу;

· Информировать администраторов сервисов о попытках нарушения защиты;

· Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

· Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;

· Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;

· Разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения;

· Оказывать помощь в обнаружении и ликвидации вредоносного кода;

· Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

· Выполнять все изменения сетевой аппаратно-программной конфигурации;

· Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· Периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

3.Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:

· Управлять правами доступа пользователей к обслуживаемым объектам;

· Оперативно и эффективно реагировать на события, таящие угрозу;

· Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставле­нии информации для их наказания;

· Регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· Ежедневно анализировать регистрационную информацию, относящуюся к сервису. Периодически проводить проверку надежности защиты сервиса.

4.Пользователи обязаны работать с корпоративной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситу­ациях. Они обязаны:

· Знать и соблюдать законы и установленные правила, принятые в организации, политику и процедуры безопасности;

· Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

· Использовать механизм защиты файлов и должным образом задавать права доступа;

· Выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

· Информировать администраторов или руководство о нарушениях безопас­ности и иных подозрительных ситуациях;

· Не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

· Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

· Обеспечивать резервное копирование информации с жесткого диска своего компьютера;

· Знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;

· Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • обеспечение базы для соблюдения законов и правил;
  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Читать еще:  Уровень безопасности 2

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  • раздел, освещающий вопросы физической защиты ;
  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  • раздел, описывающий правила разграничения доступа к производственной информации;
  • раздел, характеризующий порядок разработки и сопровождения систем;
  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом?
  • при каких условиях можно читать и модифицировать данные?
  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector