Что означает политика безопасности
Принципы политики безопасности
Политика информационной безопасности (ПИБ) – совокупность законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.
Для конкретной ИС политика безопасности должна быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т.д. При разработке и проведении политики безопасности в жизнь целесообразно соблюдать следующие принципы:
1) невозможность миновать защитные средства;
2) усиление самого слабого звена;
3) недопустимость перехода в открытое состояние;
4) минимизация привилегий;
5) разделение обязанностей;
6) многоуровневая защита;
7) разнообразие защитных средств;
8) простота и управляемость информационной системы;
9) обеспечение всеобщей поддержки мер безопасности.
Поясним смысл перечисленных принципов.
1. Принцип невозможности миновать защитные средства означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через систему защиты информации (СЗИ). Не должно быть “тайных” модемных входов или тестовых линий, идущих в обход экрана.
2. Надежность любой СЗИ определяется самым слабым звеном. Часто таким звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.
3. Принцип недопустимости перехода в открытое состояние означает, что при любых обстоятельствах (в том числе нештатных) СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ.
4. Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
5. Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это имеет особое значение для предотвращения злонамеренных или неквалифицированных действий системного администратора.
6. Принцип многоуровневой защиты предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, – протоколирование и аудит. Эшелонированная оборона способна по крайней мере задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.
7. Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления СЗИ.
8. Принцип простоты и управляемости информационной системы в целом и СЗИ в особенности определяет возможность формального или неформального доказательства корректности реализации механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.
9. Принцип всеобщей поддержки мер безопасности носит нетехнический характер. Рекомендуется с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.
Статьи к прочтению:
Урок 3. Информационная безопасность и кадровая политика на предприятии
Похожие статьи:
Система обеспечения безопасности СОБ представляет собой единую совокупность организационных (административных) мер, правовых и морально-этических норм,…
Принципы хранения звук. и видео информации. Для записи-воспроизведения, а также использования различных данных на машиночитаемые носители данных…
Политика безопасности: разработка и реализация
Политика безопасности: разработка и реализация
Политика безопасности: разработка и реализация
В.Г. Грибунин, эксперт, к.т.н.
Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.
Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.
После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать — вольно или невольно — сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого следует приступать к разработке политики безопасности.
Содержание политики безопасности
Политика безопасности — документ «верхнего» уровня, в котором должны быть указаны:
Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При его составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.
Этот принцип означает, что затраты на обеспечение безопасности информации должны быть не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать их по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.
Особое внимание в политике безопасности следует уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности. Ему подчинялись бы обе службы.
В политике безопасности не стоит детализировать должностные обязанности сотрудников (хотя приходилось видеть и такое). Они должны разрабатываться на основе политики, но не внутри нее.
Обеспечение безопасности компьютерной информации
Серьезное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, определить порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.
Приведем по этому поводу следующие общие рекомендации:
Безусловно, внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек станет игнорировать правила.
Крайне внимательно следует отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос предлагается выделить в отдельный раздел. Подключение к Глобальной сети обычно преследует следующие цели:
В двух первых случаях идеальным с точки зрения безопасности было бы использование для работы во Всемирной паутине автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На нем обязательно устанавливаются антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль стоит уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты.
При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением считаются виртуальные частные сети (VPN). В настоящее время известно множество отечественных фирм-разработчиков, представляющих услуги по установке и настройке соответствующего программного обеспечения.
Несмотря на все принятые меры, нарушения информационной безопасности могут иметь место. В политике безопасности следует обязательно предусмотреть меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.
Итак, вы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.
Первый — оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода — его субъективизм. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы — ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.
К счастью, почти ничего создавать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, он не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.
Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет отправляется в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке.
Основные понятия политики безопасности
Политика информационной безопасности
Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которой реализуется деятельность в компьютерной информационной системе организации. Вообще политики безопасности определяются используемой компьютерной средой и отражают специфические потребности организации.
Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты обычно обладают собственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика безопасности в качестве согласованной платформы по обеспечению безопасности корпоративной системы. По мере роста компьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.
Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, менеджер по персоналу может иметь доступ к частной информации любого сотрудника, в то время как специалист по отчетности может иметь доступ только к финансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.
Политика безопасности определяет позицию организации по рациональному использованию компьютеров и сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.
Основные понятия политики безопасности
Политика безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Для того чтобы ознакомиться с основными понятиями политик безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоей организации, и связанную с ней политику безопасности [6, 63].
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.
Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.
Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы.Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения.В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации.Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:
· обеспечение уровня безопасности, соответствующего нормативным документам;
· следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);
· обеспечение безопасности в каждой функциональной области локальной сети;
· обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
· обеспечение анализа регистрационной информации;
· предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
· выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
· обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.
Распределение ролей и обязанностей.За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.
Руководители подразделенийотвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сетиобеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
Администраторы сервисовотвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
Пользователиобязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Более подробные сведения о ролях и обязанностях должностных лиц и пользователей сети приведены ниже.
Санкции.Нарушение политики безопасности может подвергнуть локальную сетьи циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.
С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний [6, 9].
Верхний уровеньполитики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.
Такие решения могут включать в себя следующие элементы:
· формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
· формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
· обеспечение материальной базы для соблюдения законов и правил;
· формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоятьцелостностьданных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также еедоступностьмаксимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться оконфиденциальностиинформации, то есть о ее защите от несанкционированного доступа.
На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, то есть политика может служить основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.
Средний уровеньполитики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией.
Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:
Нижний уровеньполитики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, — поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.
Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безопасности нижнего уровня:
· кто имеет право доступа к объектам, поддерживаемым сервисом;
· при каких условиях можно читать и модифицировать данные;
· как организован удаленный доступ к сервису.
Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервисаи осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.
Приведем более детальное описание обязанностей каждой категории персонала.
Руководители подразделенийотвечают за доведение положений политики безопасности до пользователей. Они обязаны:
· постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же самое делали их подчиненные;
· проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;
· организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;
· информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);
· обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.
Администраторы локальной сетиобеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности. Они обязаны:
· обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;
· оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты;
· использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;
· не злоупотреблять своими большими полномочиями. Пользователи имеют право на тайну;
· разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обнаружении и ликвидации вредоносного кода;
· регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
· выполнять все изменения сетевой аппаратно-программной конфигурации;
· гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
· периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.
Администраторы сервисовотвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:
· управлять правами доступа пользователей к обслуживаемым объектам;
· оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
· регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
· выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
· ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного программного обеспечения;
· периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.
Пользователиобязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Они обязаны:
· знать и соблюдать законы, правила, принятые в данной организации, политику безопасности, процедуры безопасности. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;
· использовать механизм защиты файлов и должным образом задавать права доступа;
· выбирать качественные пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;
· информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;
· не использовать слабости в защите сервисов и локальной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
· всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;
· обеспечивать резервное копирование информации с жесткого диска своего компьютера;
· знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;
· знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.
Управленческие меры обеспечения информационной безопасности.Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии:
1. «Исследование сверху вниз»
2. «Исследование снизу вверх».
Метод «сверху вниз» представляет собой, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме, и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Само по себе наличие документа, озаглавленного «Политика информационной безопасности», принесет несущественной пользы предприятию, кроме формального аргумента в споре, присутствует или отсутствует у него данная политика. Нас интересует, в первую очередь эффективная политика безопасности.
Неэффективные политики безопасности можно разделить на хорошо сформулированные, но не практичные и на практичные, но плохо сформулированные.
Политики второй категории обычно появляются в случаях, когда возникает необходимость решить сиюминутные задачи. Например, сетевой администратор, устав бороться с попытками пользователей нарушать работу сети, в течение несколько минут набрасывает список из нескольких «можно» и «нельзя», называет его «Политикой» и убеждает руководство в необходимости его использование. Потом этот документ может годами использоваться на предприятии, создавая порой существенные проблемы, например при внедрении новых систем, и порождая огромное количество исключений для случаев, когда его нарушение допускается.
Далее следует выяснение, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап называют «вычисление риска». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на простом методе.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №1):
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №2) :
Необходимо отметить, что классификацию ущерба, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
Следующим этапом составляется таблица (Таблица №3) рисков предприятия:
Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество погрешностей, которые в сумме не дадут предприятию эффективно работать. С таким случаем из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.