Что понимается под политикой безопасности

Основные понятия политики безопасности

Политика информационной безопасности

Под политикой безопасности организации понимают совокупность документиро­ванных управленческих решений, направленных на защиту информации и ассоции­рованных с ней ресурсов. Политика безопасности является тем средством, с помо­щью которой реализуется деятельность в компьютерной информационной системе организации. Вообще политики безопасности определяются используемой компь­ютерной средой и отражают специфические потребности организации.

Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты обычно обладают соб­ственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика безопасности в качестве согласованной плат­формы по обеспечению безопасности корпоративной системы. По мере роста ком­пьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.

Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, ко­торые четко предписывают, как должны выполняться конкретные задачи безопас­ности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, ме­неджер по персоналу может иметь доступ к частной информации любого сотруд­ника, в то время как специалист по отчетности может иметь доступ только к фи­нансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.

Политика безопасности определяет позицию организации по рациональному ис­пользованию компьютеров и сети, а также процедуры по предотвращению и реаги­рованию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик от бизнес-политик до специфич­ных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

Основные понятия политики безопасности

Политика безопасности определяет стратегию управления в области информаци­онной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признают­ся реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация кото­рой должна обеспечить информационную безопасность. Под эту программу выде­ляются ресурсы, назначаются ответственные, определяется порядок контроля вы­полнения программы и т.п.

Для того чтобы ознакомиться с основными понятиями политик безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, при­надлежащую некоей организации, и связанную с ней политику безопасности [6, 63].

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом бо­лее конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматри­ваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно не­зависимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы.Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важ­ность защиты сетевой среды, описать их роль в обеспечении безопасности, а так­же распределить конкретные обязанности по защите информации, циркулирую­щей в сети.

Область применения.В сферу действия данной политики попадают все аппарат­ные, программные и информационные ресурсы, входящие в локальную сеть предприя­тия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации.Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

· обеспечение уровня безопасности, соответствующего нормативным докумен­там;

· следование экономической целесообразности в выборе защитных мер (рас­ходы на защиту не должны превосходить предполагаемый ущерб от наруше­ния информационной безопасности);

· обеспечение безопасности в каждой функциональной области локальной сети;

· обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

· обеспечение анализа регистрационной информации;

· предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

· выработка планов восстановления после аварий и иных критических ситуа­ций для всех функциональных областей с целью обеспечения непрерывности работы сети;

· обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей.За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделенийотвечают за доведение положений политики безо­пасности до пользователей и за контакты с ними.

Администраторы локальной сетиобеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности.

Администраторы сервисовотвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователиобязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты бе­зопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Более подробные сведения о ролях и обязанностях должностных лиц и пользо­вателей сети приведены ниже.

Санкции.Нарушение политики безопасности может подвергнуть локальную сетьи циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руковод­ством для принятия дисциплинарных мер вплоть до увольнения.

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний [6, 9].

Верхний уровеньполитики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Такие решения могут включать в себя следующие элементы:

· формулировка целей, которые преследует организация в области информа­ционной безопасности, определение общих направлений в достижении этих целей;

· формирование или пересмотр комплексной программы обеспечения инфор­мационной безопасности, определение ответственных лиц за продвижение программы;

· обеспечение материальной базы для соблюдения законов и правил;

· формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в об­ласти информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важ­ных баз данных, на первом плане должна стоятьцелостностьданных. Для организа­ции, занимающейся продажами, важна актуальность информации о предоставляе­мых услугах и ценах, а также еедоступностьмаксимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться оконфиден­циальностиинформации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и коорди­нация использования этих ресурсов, выделение специального персонала для защи­ты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если поли­тика регламентирует некоторые аспекты использования сотрудниками своих до­машних компьютеров. Возможна и такая ситуация, когда в сферу влияния вклю­чаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выра­ботке программы безопасности и по проведению ее в жизнь, то есть политика мо­жет служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать суще­ствующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполни­тельскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровеньполитики безопасности определяет решение вопросов, касаю­щихся отдельных аспектов информационной безопасности, но важных для различ­ных систем, эксплуатируемых организацией.

Политика безопасности среднего уровня должна определять для каждого аспек­та информационной безопасности следующие моменты:

Нижний уровеньполитики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, — поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Приведем несколько примеров вопросов, на которые следует дать ответ при сле­довании политике безопасности нижнего уровня:

· кто имеет право доступа к объектам, поддерживаемым сервисом;

· при каких условиях можно читать и модифицировать данные;

· как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений цело­стности, доступности и конфиденциальности, но она не должна на них останавли­ваться. В общем случае цели должны связывать между собой объекты сервисаи осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мера­ми. Обычно наиболее формально задаются права доступа к объектам.

Приведем более детальное описание обязанностей каждой категории персонала.

Руководители подразделенийотвечают за доведение положений политики безо­пасности до пользователей. Они обязаны:

· постоянно держать в поле зрения вопросы безопасности. Следить за тем, что­бы то же самое делали их подчиненные;

· проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима бе­зопасности и выбирая эффективные средства защиты;

· организовать обучение персонала мерам безопасности. Обратить особое вни­мание на вопросы, связанные с антивирусным контролем;

· информировать администраторов локальной сети и администраторов серви­сов об изменении статуса каждого из подчиненных (переход на другую рабо­ту, увольнение и т.п.);

· обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающе­го достаточной квалификацией для выполнения этой роли.

Администраторы локальной сетиобеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности. Они обязаны:

· обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

· оперативно и эффективно реагировать на события, таящие угрозу. Инфор­мировать администраторов сервисов о попытках нарушения защиты;

· использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относя­щуюся к сети в целом и к файловым серверам в особенности;

· не злоупотреблять своими большими полномочиями. Пользователи имеют право на тайну;

· разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обна­ружении и ликвидации вредоносного кода;

· регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

· выполнять все изменения сетевой аппаратно-программной конфигурации;

· гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисовотвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопа­сности. Они обязаны:

· управлять правами доступа пользователей к обслуживаемым объектам;

· оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении ин­формации для их наказания;

· регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

· выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· ежедневно анализировать регистрационную информацию, относящуюся к сер­вису. Регулярно контролировать сервис на предмет вредоносного программ­ного обеспечения;

· периодически производить проверку надежности защиты сервиса. Не допус­кать получения привилегий неавторизованными пользователями.

Пользователиобязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуа­циях. Они обязаны:

· знать и соблюдать законы, правила, принятые в данной организации, полити­ку безопасности, процедуры безопасности. Использовать доступные защит­ные механизмы для обеспечения конфиденциальности и целостности своей информации;

· использовать механизм защиты файлов и должным образом задавать права доступа;

· выбирать качественные пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

· информировать администраторов или руководство о нарушениях безопасно­сти и иных подозрительных ситуациях;

· не использовать слабости в защите сервисов и локальной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

· всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

· обеспечивать резервное копирование информации с жесткого диска своего компьютера;

· знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предуп­реждения проникновения вредоносного кода, его обнаружения и уничтоже­ния;

· знать и соблюдать правила поведения в экстренных ситуациях, последова­тельность действий при ликвидации последствий аварий.

Управленческие меры обеспечения информационной безопасности.Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее вы­полнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая по­литика безопасности, отражающая комплексный подход организации к защите сво­их ресурсов и информационных активов

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии:

1. «Исследование сверху вниз»

2. «Исследование снизу вверх».

Метод «сверху вниз» представляет собой, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме, и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Само по себе наличие документа, озаглавленного «Политика информационной безопасности», принесет несущественной пользы предприятию, кроме формального аргумента в споре, присутствует или отсутствует у него данная политика. Нас интересует, в первую очередь эффективная политика безопасности.

Неэффективные политики безопасности можно разделить на хорошо сформулированные, но не практичные и на практичные, но плохо сформулированные.

Политики второй категории обычно появляются в случаях, когда возникает необходимость решить сиюминутные задачи. Например, сетевой администратор, устав бороться с попытками пользователей нарушать работу сети, в течение несколько минут набрасывает список из нескольких «можно» и «нельзя», называет его «Политикой» и убеждает руководство в необходимости его использование. Потом этот документ может годами использоваться на предприятии, создавая порой существенные проблемы, например при внедрении новых систем, и порождая огромное количество исключений для случаев, когда его нарушение допускается.

Далее следует выяснение, насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап называют «вычисление риска». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на простом методе.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №1):

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей (Таблица №2) :

Необходимо отметить, что классификацию ущерба, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Следующим этапом составляется таблица (Таблица №3) рисков предприятия:

Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество погрешностей, которые в сумме не дадут предприятию эффективно работать. С таким случаем из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.

Источник

Важность и значение политики безопасности

«Финансовая газета. Региональный выпуск», 2010, N 25

Стандарты, в том числе и российский ГОСТ 17799-2005, настоятельно рекомендуют начинать формирование правил управления ИБ с документа, в котором отражена четкая позиция высшего руководства в решении вопросов защиты данных. Этот документ должен носить понятийный характер, он должен быть донесен до всех сотрудников и именно на него должны опираться все службы, участвующие в обеспечении информационной безопасности организации.

Выбор методики

Формировать политику безопасности можно как силами собственных служб организации, так и привлекая внешних экспертов, но и в том и в другом случае рекомендуется опираться на проверенные методики. Одним из лучших примеров таких методик является Стандарт 27002 Международной организации по стандартизации и Международной электротехнической комиссии. Стандарт ISO/IEC 27002 содержит практические советы по управлению ИБ. Несомненным достоинством данного Стандарта является то, что каждый квалифицированный специалист в области ИБ должен быть по меньшей мере с ним знаком. Это облегчает взаимодействие между собственными службами и приглашенными экспертами, а в случае внешней проверки на соответствие корпоративным или отраслевым стандартам существенно ее упростит. Именно этого Стандарта ISO/IEC 27002 придерживаются авторы статьи, предлагая рекомендации по созданию политики безопасности.

Определение, принципы, сфера действия

Также в первой части политики важно подчеркнуть значимость обеспечения безопасности для достижения бизнес-целей компании. Стоит отметить, что информационные ресурсы обеспечивают эффективность документооборота, эффективное взаимодействие с клиентами, возможность централизованного управления и т.п., а поднятый на высокий уровень менеджмент ИБ позволит стать конфидентом для своих контрагентов, что для некоторых видов деятельности может являться существенным конкурентным преимуществом.

Цели информационной безопасности

Цели ИБ для различных организаций могут существенно отличаться, однако цель соблюдать законы Российской Федерации должна присутствовать в каждой политике безопасности. Если организация работает с банковской, государственной тайной, обрабатывает персональные данные и т.п., для нее существуют четкие требования, которым нужно соответствовать. Для ведения некоторых видов деятельности, обычно подлежащих лицензированию, существуют отраслевые нормы в области ИБ. Их существование для конкретной организации также нужно учесть, а необходимость их выполнения следует отразить в перечне целей. Цель соответствовать каким-либо публичным стандартам по безопасности может быть обоснована практикой заключения договоров со ссылкой на соответствующий раздел о конфиденциальности. Перечисленные цели можно назвать привнесенными, их влияние на построение системы безопасности трудно преувеличить.

Вместе с тем руководство большинства организаций самостоятельно осознает необходимость стремиться к минимизации вероятного ущерба при нарушениях ИБ или, в терминологии специалистов по безопасности, к снижению рисков реализации угроз. Для многих организаций наибольший ущерб может быть понесен в результате простоя информационной системы или необратимой потери данных. В этом случае стоит отметить как приоритетную цель обеспечение непрерывности бизнеса. Если же во главу угла ставится сохранение конфиденциальности данных, это также следует отметить, не забыв определить приемлемые границы влияния обеспечения безопасности на эффективность деятельности в целом. Если, например, существенными являются не только факт наличия доступа, но и скорость обмена данными, то выполнение этого требования также стоит выделить как цель, являющуюся ключевой.

Принципы информационной безопасности

Необходимым принципом построения системы безопасности является принцип законности. Все организационные мероприятия должны соответствовать российскому законодательству. Отметим, что использование некоторых средств защиты информации регулируется на уровне федеральных служб, например средства криптографической защиты, некоторые средства защиты от прослушивания, системы записи телефонных переговоров.

Принцип специализации подразумевает возможность привлекать для проектирования и внедрения специальных программных и технических средств защиты сторонних специалистов, имеющих высокую квалификацию, или организации, имеющие практический опыт и лицензию на соответствующий вид деятельности.

Принцип своевременности подразумевает упреждающий характер мероприятий по обеспечению безопасности. Не ожидать нарушений, выявляющих уязвимости, а прогнозировать появление угроз на этапе проектирования информационной системы организации и осуществлять модернизацию средств защиты при внесении изменений в ИТ-инфраструктуру.

При необходимости в общей политике безопасности можно декларировать следование таким принципам, как осведомленность сотрудников в вопросах защиты данных, реагирование на инциденты, документирование требований ИБ, персональная ответственность, ограничение полномочий, обязательность контроля.

Наиболее существенные частные политики

Документы, в которых содержатся детальные разъяснения положений общей политики безопасности, называют частными политиками безопасности. В общей политике следует указать, какие из них являются наиболее существенными, и кратко их изложить. Опишем некоторые из них.

Для каждой организации существенной и обязательной является политика классификации информации. В этой политике должны быть определены:

классы защищенности информации, например публичная, служебная, конфиденциальная, секретная;

взаимосвязь требований между собой, например, требования старшего класса наследуют все требования младшего или как может изменяться класс в зависимости от времени.

На основании этой политики классификации должен быть сформирован акт классификации информационных объектов, обрабатываемых в системе предприятия.

В перечне важнейших частных политик отметим также политику соответствия законодательным требованиям, политику определения ответственности за нарушения безопасности, правила пересмотра оценки рисков.

Возвращаясь к составу общей политики безопасности, укажем необходимость наличия разделов «конкретные обязанности сотрудников» и «дополняющие документы». В раздел обязанностей следует включить требования к формированию должностных обязанностей с учетом требований политики безопасности, а раздел «дополняющие документы» должен состоять из полного списка частных политик безопасности и правил, которые должны соблюдать сотрудники. Это могут быть регламенты по обеспечению антивирусной защиты, описание средств и требования к системам авторизации, требования по контролю целостности, формы журналов учета носителей и т.п.

Как видим, общая политика безопасности требует четкого бизнес-подхода, ставит своей целью достижение понимания высшим руководством, а впоследствии и рядовыми сотрудниками важности вопросов ИБ и является опорным документом для специалистов и служб, ее обеспечивающих.

Источник