Green-sell.info

Новые технологии
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Политика безопасности организации это

Пример разработки политики безопасности организации

Что нужно для создания политики безопасности

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

  • Уточнение важности информационных и технологических активов предприятия;
  • определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
  • Определение рисков на угрозы активам;
  • Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
  • Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
  • Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

  • указывать на причины и цели создания политики безопасности;
  • осматривать, какие границы и ресурсы охватываются политикой безопасности;
  • определить ответственных по политике безопасности;
  • определить условие не выполнение и так званное наказание
  • политики безопасности должны быть реальными и осуществимыми;
  • политики безопасности должны быть доступными, краткими и однозначными для понимания;
  • должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

  • создание адекватной команды для создание политики;
  • решить вопросы об возникающих особенностях при разработки.
  • решить вопросы об области действии и цели создании политики;
  • решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на локальные атаки. Сделав основные шаги нужно проанализировать есть ли выход локальной сети(seti_PDH или seti_dwdm) в интернет. Ведь при выходе сети в интернет возникает вопрос о проблемах защиты информации в сетях. Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и оценки рисков.Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

На этом этапе реализуются следующие шаги:

  • анализ угроз информационной безопасности которые непосредственно обозначены для объекта защиты;
  • оценка и идентификация цены информационных и технологических активов;
  • осмотр вероятности реализации угроз на практике;
  • осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

  • Вход, допустим это пользователь делает запрос на создания нового пароля;
  • механизм, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора;
  • Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
  • Выход, это результат процесса. Получение пароля.

Компоненты архитектуры безопасности

Физическая безопасность, важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

  • открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
  • контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
  • особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и тд). также должен быть обозначен метод обнаружения ошибок при передачи информации. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Ресурсы делят на две категории, которые подвержены угрозам:

  • Ресурсы ОС;
  • Ресурсы пользователя.
  • Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру спутниковые системы;

Определение полномочий администратору, должны быть четко обозначены и также все их действие должны логироватся и мониториться. Также есть администраторы которые следят за контролем удаленного доступа к ресурсам.

  • должны определить полномочия для каждой системы и платформы;
  • проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

  • каждое нарушение безопасности должно давать сигнал события;
  • Одно событие не есть поводом для утверждения, они должны накапливаться;
  • должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

  • Анализ информационных предприятия, который могут нанести максимальный ущерб.
  • Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия.
  • Разработать планы действий при ЧС для уменьшения ущерба.
  • Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

  • Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
  • Осмотр бизнес-стратегии предприятия.
  • Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рекомендуемая структура руководящих документов для реализации информационной безопасности показана на рис.4.

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

  • анализа информационных угроз и методов их уменьшения
  • создание норм и правил безопасности разных уровней предприятия
  • уточнение методов защиты, которые будут реализованы на предприятии
  • конкретное определение процедур безопасности
  • анализ ожиданий относительно результатов от сотрудников и компании в целом
  • реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Срок действия — с 1 января по 31 декабря … года.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз, сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

  • управление бизнесом
  • отдел защиты информации
  • техническое управление
  • департамент управления рисками
  • отдел системного/сетевого администрирования
  • юридический отдел
  • департамент системных операций
  • отдел кадров
  • служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

  • назначения ценности информационных активов
  • управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
  • управление информационной безопасностью
  • обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

  • Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
  • Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
  • Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
  • Комплексность — должны учитываться все направления безопасности.
  • Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
  • Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
  • Своевременность — все противодействия угрозам должны быть своевременны.
  • Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
  • Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
  • Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Политика безопасности

Содержание

Определение политики безопасности

Политика безопасности организации (англ. organizational security policies ) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

  • от конкретной технологии обработки информации;
  • от используемых технических и программных средств;
  • от расположения организации;

Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.

Читать еще:  Транслятор системы программирования это

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Предполагаемые ущербы

Далее следует выяснение насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Риск предприятия

Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :

На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка «Итого»).

Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.

Источники

  • ГОСТ Р ИСО/МЭК 15408
  • [1]

См. также

  • Государственная информационная политика России
  • Информационное право
  • Стандарты информационной безопасности
  • Персональные данные

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое «Политика безопасности» в других словарях:

политика безопасности — Набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение критичной информации. [http://www.rfcmd.ru/glossword/1.8/index.php?a=index&d=4264] Тематики защита информации EN security policy … Справочник технического переводчика

политика безопасности — 2.39 политика безопасности (security policy): Утвержденный план или способ действий по обеспечению информационной безопасности. Источник: ГОСТ Р ИСО/ТС 22600 2 2009: Информатизация здоровья. Управление полномочиями и контроль доступа. Часть … Словарь-справочник терминов нормативно-технической документации

политика безопасности оператора связи — политика безопасности оператора связи: Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи. [ГОСТ Р 52448 2005, пункт … Словарь-справочник терминов нормативно-технической документации

Политика безопасности организации — (organisational security policies): одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. Источник: ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ.… … Официальная терминология

Политика безопасности оператора связи — Политика безопасности оператора связи: совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи. Источник: ЗАЩИТА… … Официальная терминология

политика безопасности (информации в организации) — Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. [ГОСТ Р 50922 2006] Тематики защита информации … Справочник технического переводчика

политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) — 2.12 политика безопасности информационно телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно… … Словарь-справочник терминов нормативно-технической документации

политика безопасности (информации в организации) — 3.3.2 политика безопасности (информации в организации): Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Источник: Р… … Словарь-справочник терминов нормативно-технической документации

Политика безопасности оператора связи — 1. Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи Употребляется в документе: ГОСТ Р 52448 2005 Обеспечение… … Телекоммуникационный словарь

Общая внешняя политика и политика безопасности — Европейский союз Эт … Википедия

Политики информационной безопасности

Грамотная конфигурация и основные требования,
политики DLP-системы

Запишитесь на вебинар

П олитикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.

За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными. Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.

Для чего нужна формализация защиты информации

Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.

Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.

Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.

Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.

В DLP-системах политика безопасностиалгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «СёрчИнформ КИБ» разработано 250+ готовых политик безопасности, которые предназначены компаниям из разных сфер.

Несостоявшиеся политики

Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.

Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.

Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.

К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.

Разработка эффективной системы информационной безопасности

Для создания эффективной системы информационной безопасности должны быть разработаны:

  • концепция информационной безопасности (определяет в целом политику, ее принципы и цели);
  • стандарты (правила и принципы защиты информации по каждому конкретному направлению);
  • процедура (описание конкретных действий для защиты информации при работе с ней: персональных данных, порядка доступа к информационным носителям, системам и ресурсам);
  • инструкции (подробное описание того, что и как делать для организации информационной защиты и обеспечения имеющихся стандартов).

Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.

Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.

Структура концепции защиты

Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.

Основными разделами концепции безопасности являются:

  • определение ИБ;
  • структура безопасности;
  • описание механизма контроля над безопасностью;
  • оценка риска;
  • безопасность информации: принципы и стандарты;
  • обязанности и ответственность каждого отдела, управления или департамента в осуществлении защиты информационных носителей и прочих данных;
  • ссылки на иные нормативы о безопасности.
Читать еще:  Линейное программирование и экономический анализ

Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.

Перечень основных требований к документации по безопасности

Политику безопасности надо формулировать с учетом двух основных аспектов:

  1. Целевая аудитория, на которую рассчитана вся информация по безопасности – руководители среднего звена и рядовые сотрудники не владеют специфической технической терминологией, но должны при ознакомлении с инструкциями понять и усвоить предоставляемую информацию.
  2. Инструкция должна быть лаконичной и при этом содержать всю необходимую информацию о проводимой политике. Объемный «фолиант» никто подробно изучать не будет, а тем более запоминать.

Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:

  • они должны быть составлены простым русским языком, без использования специальных технических терминов;
  • текст по безопасности должен содержать цели, пути их достижения с указанием назначения меры ответственности за несоблюдение ИБ. Все! Никакой технической или иной специфической информации.

Организация и внедрение ИБ

После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:

  • ознакомить коллектив с утвержденной политикой обработки информации;
  • знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения);
  • тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков;
  • активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ;
  • составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.);
  • раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно мониторить и изучать существующие угрозы ИБ.

Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы компании, у которых нет выделенной ИБ-службы, могут воспользоваться аутсорсингом информационной безопасности.

Лица, пытающиеся получить несанкционированный доступ к информации

В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.

Потенциальные внешние нарушители:

  1. Посетители офиса.
  2. Ранее уволенные сотрудники (особенно те, кто ушел со скандалом и знает, как получить доступ к информации).
  3. Хакеры.
  4. Сторонние структуры, в том числе конкуренты, а также криминальные группировки.

Потенциальные внутренние нарушители:

  1. Пользователи компьютерной техники из числа сотрудников.
  2. Программисты, системные администраторы.
  3. Технический персонал.

Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.

При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.

БЕСПЛАТНЫЙ ТЕСТ-ДРАЙВ DLP-СИСТЕМЫ

Мы уверены в своих продуктах и предоставляем для тестирования полнофункциональные версии ПО.

7.6. Разработка и реализация политики безопасности предприятия

7.6. Разработка и реализация политики безопасности предприятия

Подготовительный этап

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Всякой успешной деятельности должен предшествовать этап планирования. Шахматисты знают, что, не создав четкого плана, выиграть партию у сколько-нибудь серьезного соперника невозможно. А соперник – «промышленный шпион» – у нас достаточно серьезный. Планирование обеспечения безопасности заключается в разработке политики безопасности.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к этому делу подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускаются из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Например, обиженный чем-то программист может вставить деструктивную закладку в программное обеспечение, которая сотрет ценную базу данных уже намного позднее времени его увольнения. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После этого становится ясно, что защищать, где защищать и от кого защищать: ведь в подавляющем случае инцидентов в качестве нарушителей будут выступать – вольно или невольно – сами сотрудники фирмы. На самом деле, с этим ничего нельзя поделать: это надо принять как данность. Различным угрозам безопасности можно присвоить вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого можно приступать к разработке политики безопасности.

Содержание политики безопасности.

Политика безопасности – это документ «верхнего» уровня, в котором должно быть указано:

– ответственные лица за безопасность функционирования фирмы;

– полномочия и ответственность отделов и служб в отношении безопасности;

– организация допуска новых сотрудников и их увольнения;

– правила разграничения доступа сотрудников к информационным ресурсам;

– организация пропускного режима, регистрации сотрудников и посетителей;

– использование программно-технических средств защиты;

– другие требования общего характера.

Таким образом, политика безопасности – это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Например, в политике может быть указано, что все прибывающие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконтролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных телефонов сотрудникам фирмы, при условии достаточного количества стационарных телефонов.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

Обеспечение безопасности компьютерной информации.

Дополнительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

Можно привести по этому поводу следующие общие рекомендации:

– в системе должен быть администратор безопасности;

– за каждое устройство должен быть назначен ответственный за его эксплуатацию;

– системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности)

– жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;

– если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;

– установка любого программного обеспечения должна производиться только работником IT-службы;

– для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;

– должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

Еще раз напомним о разумной достаточности и здравом смысле. Внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек будет игнорировать существующие правила. Например, можно потребовать завести журнал пользователя персонального компьютера, в котором он должен отмечать время начала и конца работы, характер выполняемых действий, наименование созданных файлов и т. д. Можно предусмотреть процедуру удаления файлов под две росписи в журнале, да мало ли что еще взбредет в голову! Никто и никогда не будет выполнять такие вздорные требования. Другое дело, если подготовка каких-то важных документов предусмотрена на специальном компьютере в службе безопасности. Здесь журнал учета работы пользователей будет не только уместным, но и необходимым.

Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос должен быть выделен в отдельный раздел.

Подключение к Интернету обычно преследует следующие цели:

– получение информации из Интернета;

– размещение в Интернете своей информации о предоставляемых услугах, продаваемых товарах и т. д.

– организация совместной работы удаленных офисов или работников на дому.

В первых двух случаях идеальным с точки зрения безопасности было бы выделение для Интернета автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль надо уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты. В некоторых организациях вся исходящая почта попадает вначале в руки администратора безопасности, который контролирует ее и пересылает дальше.

Читать еще:  Xml язык программирования

При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением являются виртуальные частные сети (VPN). В настоящее время имеется много отечественных фирм-разработчиков, представляющих также услуги по установке и настройке соответствующего программного обеспечения.

Несмотря на все принятые меры, нарушения информационной безопасности могут произойти. В политике безопасности должны быть обязательно предусмотрены меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.

Аудит безопасности.

Итак, вы разработали политику безопасности, претворили ее положения в жизнь. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены зря? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги, и, по крайней мере, два подхода к оценке.

Первый подход – оценка безопасности на качественном уровне. Проводящий оценку эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. В таком подходе нет ничего предосудительного, однако, субъективизм все же может присутствовать. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

К счастью, почти ничего разрабатывать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, этот стандарт не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.

Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует (и продается в нашей стране) программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет высылается в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке. Этот знак компания может разместить на своем корпоративном сайте. Трудно сказать, насколько эта процедура актуальна для российских фирм, но сам подход любопытен.

В заключении, необходимо особо подчеркнуть, что необходим постоянный и эффективный контроль над реализацией политики безопасности, потому, что все технические ухищрения в области обеспечения безопасности могут оказаться бесполезными без организации должного контроля.

Данный текст является ознакомительным фрагментом.

Политика безопасности: разработка и реализация

Политика безопасности: разработка и реализация

Политика безопасности: разработка и реализация


В.Г. Грибунин, эксперт, к.т.н.

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать — вольно или невольно — сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого следует приступать к разработке политики безопасности.

Содержание политики безопасности

Политика безопасности — документ «верхнего» уровня, в котором должны быть указаны:

  • лица, ответственные за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При его составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Этот принцип означает, что затраты на обеспечение безопасности информации должны быть не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать их по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности следует уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности. Ему подчинялись бы обе службы.

В политике безопасности не стоит детализировать должностные обязанности сотрудников (хотя приходилось видеть и такое). Они должны разрабатываться на основе политики, но не внутри нее.

Обеспечение безопасности компьютерной информации

Серьезное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, определить порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

Приведем по этому поводу следующие общие рекомендации:

  • в системе должен быть администратор безопасности;
  • должен быть назначен ответственный за эксплуатацию каждого устройства;
  • системный блок компьютера надо защищать печатями ответственного и работника IT-службы (или службы безопасности);
  • жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
  • если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
  • установка любого программного обеспечения должна производиться только работником IT-службы;
  • для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли генерируются администратором безопасности, выдаются пользователю под роспись и хранятся им также как и другая конфиденциальная информация;
  • следует запретить использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

Безусловно, внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек станет игнорировать правила.

Крайне внимательно следует отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос предлагается выделить в отдельный раздел. Подключение к Глобальной сети обычно преследует следующие цели:

  • получение информации;
  • размещение своей информации о предоставляемых услугах, продаваемых товарах и т.д.
  • организация совместной работы удаленных офисов или работников на дому.

В двух первых случаях идеальным с точки зрения безопасности было бы использование для работы во Всемирной паутине автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На нем обязательно устанавливаются антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль стоит уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты.

При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением считаются виртуальные частные сети (VPN). В настоящее время известно множество отечественных фирм-разработчиков, представляющих услуги по установке и настройке соответствующего программного обеспечения.

Несмотря на все принятые меры, нарушения информационной безопасности могут иметь место. В политике безопасности следует обязательно предусмотреть меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.

Итак, вы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.

Первый — оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода — его субъективизм. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы — ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

К счастью, почти ничего создавать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, он не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.

Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет отправляется в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector