Green-sell.info

Новые технологии
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Разработка политики безопасности

Разработка политики безопасности

s продолжительность вторжения сопряжена с финансовым риском;

s неизвестен круг пользователей;

s пользователи могут привлечь к ответственности организацию ИВС за нанесенный ущерб и др.

s ИВС хорошо защищена, имеются надежные средства резервирования;

s наблюдаются повторяющиеся и частые атаки;

s действия злоумышленника можно контролировать;

s организация имеет положительный опыт работы с правоохранительными и правозащитными органами и др.

Политика безопасности затрагивает всех пользователей компьютеров в организации. Поэтому важно решить так называемые политические вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями.

Для этого определяется круг лиц, имеющий доступ к подсистемам и сервисам АС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов – что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей. Следует указать, какое из правил умолчания на использование ресурсов принято в организации, а именно:

— что явно не запрещено, то разрешено;

— что явно не разрешено, то запрещено.

Одним из самых уязвимых мест в ОБИ является распределение прав доступа. В политике безопасности должна быть утверждена схема управления распределением прав доступа к сервисам – централизованная или децентрализованная, или иная. Должно быть четко определено, кто распоряжается правами доступа к сервисам и какими именно правами. Целесообразно детально описать практические процедуры наделения пользователей правами. Здесь следует указать должностных лиц, имеющих административные привилегии и пароли для определенных сервисов.

Права и обязанности пользователей определяются применительно к безопасному использованию подсистем и сервисов АС. При определении прав и обязанностей администраторов следует стремиться к некоторому балансу между правом пользователей на тайну и обязанностью администратора контролировать нарушения безопасности.

Важным элементом политики является распределение ответственности. Политика не может предусмотреть всего, однако, она должна для каждого вида проблем найти ответственного.

Обычно выделяются несколько уровней ответственности. На первом уровне каждый пользователь обязан работать в соответствии с политикой безопасности (защищать свой счет), подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Системные администраторы отвечают за защиту соответствующих информационно-вычислительных подсистем. Администраторы сетей должны обеспечивать реализацию организационно-технических мер, необходимых для проведения в жизнь политики безопасности АС. Руководители подразделений отвечают за доведение и контроль положений политики безопасности.

С практической точки зрения, политику безопасности целесообразно разделить на несколько уровней. Как правило, выделяют два-три уровня.

Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области информационной безопасности; вопросам выделения и распределения ресурсов; принципам технической политики в области выбора методов и средств защиты информации; координированию мер безопасности; стратегическому планированию и контролю; внешним взаимодействиям и другим вопросам, имеющим общеорганизационный характер.

На указанном уровне формулируются главные цели в области информационной безопасности (определяются сферой деятельности предприятия): обеспечение конфиденциальности, целостности и/или доступности.

Средний уровень политики безопасности выделяют в случае структурной сложности организации либо при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых сервисов Internet, организация связи и обработка информации на домашних и портативных компьютерах, степень соблюдения положений компьютерного права и др. Кроме того, на среднем уровне политики безопасности могут быть выделены особо значимые контуры АС организации, например, обрабатывающие секретную или критически важную информацию.

За разработку и реализацию политики безопасности верхнего и среднего уровней отвечают руководитель службы безопасности, администраторы безопасности АС, администратор корпоративной сети.

Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. Данный уровень необходим, когда вопросы безопасности конкретных подсистем требуют решения на управленческом, а не только на техническом уровне.

Понятно, что на данном уровне определяются конкретные цели, частные критерии и показатели информационной безопасности, определяются права конкретных групп пользователей, формулируются соответствующие условия доступа к информации и т. п. Здесь из конкретных целей выводятся (обычно формальные) правила безопасности, описывающие, кто, что и при каких условиях может делать или не может. Более детальные и формальные правила упростят внедрение системы и настройку средств ОБИ.

На этом уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации (в рамках, конечно, управленческого уровня, но не технического).

За политику безопасности нижнего уровня отвечают системные администраторы.

В рамках разработки политики безопасности проводится анализ рисков (risk analysis). Это делается с целью минимизации затрат на ОБИ. Напомним, что основной принцип безопасности – затраты на средства защиты не должны превышать стоимости защищаемых объектов. При этом если политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию, то анализ рисков (как приложение) оформляется в виде списка активов, нуждающихся в защите. Рассмотрим этап анализа риска подробнее.

Пример разработки политики безопасности организации

Что нужно для создания политики безопасности

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

  • Уточнение важности информационных и технологических активов предприятия;
  • определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
  • Определение рисков на угрозы активам;
  • Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
  • Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
  • Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

  • указывать на причины и цели создания политики безопасности;
  • осматривать, какие границы и ресурсы охватываются политикой безопасности;
  • определить ответственных по политике безопасности;
  • определить условие не выполнение и так званное наказание
  • политики безопасности должны быть реальными и осуществимыми;
  • политики безопасности должны быть доступными, краткими и однозначными для понимания;
  • должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

  • создание адекватной команды для создание политики;
  • решить вопросы об возникающих особенностях при разработки.
  • решить вопросы об области действии и цели создании политики;
  • решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на локальные атаки. Сделав основные шаги нужно проанализировать есть ли выход локальной сети(seti_PDH или seti_dwdm) в интернет. Ведь при выходе сети в интернет возникает вопрос о проблемах защиты информации в сетях. Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и оценки рисков.Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

На этом этапе реализуются следующие шаги:

  • анализ угроз информационной безопасности которые непосредственно обозначены для объекта защиты;
  • оценка и идентификация цены информационных и технологических активов;
  • осмотр вероятности реализации угроз на практике;
  • осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

  • Вход, допустим это пользователь делает запрос на создания нового пароля;
  • механизм, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора;
  • Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
  • Выход, это результат процесса. Получение пароля.

Компоненты архитектуры безопасности

Физическая безопасность, важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

  • открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
  • контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
  • особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и тд). также должен быть обозначен метод обнаружения ошибок при передачи информации. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Ресурсы делят на две категории, которые подвержены угрозам:

  • Ресурсы ОС;
  • Ресурсы пользователя.
  • Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру спутниковые системы;

Определение полномочий администратору, должны быть четко обозначены и также все их действие должны логироватся и мониториться. Также есть администраторы которые следят за контролем удаленного доступа к ресурсам.

  • должны определить полномочия для каждой системы и платформы;
  • проверять назначение прав авторизованным пользователям.
Читать еще:  Gmail безопасность и вход

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

  • каждое нарушение безопасности должно давать сигнал события;
  • Одно событие не есть поводом для утверждения, они должны накапливаться;
  • должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

  • Анализ информационных предприятия, который могут нанести максимальный ущерб.
  • Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия.
  • Разработать планы действий при ЧС для уменьшения ущерба.
  • Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

  • Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
  • Осмотр бизнес-стратегии предприятия.
  • Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рекомендуемая структура руководящих документов для реализации информационной безопасности показана на рис.4.

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

  • анализа информационных угроз и методов их уменьшения
  • создание норм и правил безопасности разных уровней предприятия
  • уточнение методов защиты, которые будут реализованы на предприятии
  • конкретное определение процедур безопасности
  • анализ ожиданий относительно результатов от сотрудников и компании в целом
  • реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Срок действия — с 1 января по 31 декабря … года.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз, сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

  • управление бизнесом
  • отдел защиты информации
  • техническое управление
  • департамент управления рисками
  • отдел системного/сетевого администрирования
  • юридический отдел
  • департамент системных операций
  • отдел кадров
  • служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

  • назначения ценности информационных активов
  • управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
  • управление информационной безопасностью
  • обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

  • Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
  • Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
  • Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
  • Комплексность — должны учитываться все направления безопасности.
  • Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
  • Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
  • Своевременность — все противодействия угрозам должны быть своевременны.
  • Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
  • Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
  • Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Разработка политики безопасности и регламента безопасности предприятия

Всякой успешной деятельности должен предшествовать этап планирования. Шахматисты знают, что, не создав четкого плана, выиграть партию у сколько-нибудь серьезного соперника невоз­можно. А соперник — «промышленный шпион» — у «защитника информации» достаточно серьезный. Планирование обеспечения безопасности заключается в разработке политики безопасности.

Вначале необходимо провести аудит информационных процес­сов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к этому делу подходят однобоко, полагая, что защита заключается в обеспечении конфиденциаль­ности информации. При этом упускаются из виду необходимость обеспечения зашиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. На­пример, обиженный чем-то программист может вставить деструк­тивную закладку в программное обеспечение, которая сотрет цен­ную базу данных уже намного позднее времени его увольнения. Аудит информационных процессов должен заканчиваться опре­делением перечня конфиденциальной информации предприятия, участков, где данная информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) информации. Пос­ле этого становится ясно, что защищать, где защищать и от кого защищать: ведь в подавляющем случае инцидентов в качестве нарушителей будут выступать — вольно или невольно — сами сотрудники фирмы. На самом деле с этим ничего нельзя поделать: это надо принять как данность. Различным угрозам безопасности можно присвоить вероятноятность их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого можно приступать к разработке политики безопасности.

Политика безопасности — это документ верхнего уровня, в котором указаны:

• ответственные лица за безопасность функционирования фир­мы;

• полномочия и ответственность отделов и служб в отношении безопасности;

•организация допуска новых сотрудников и их увольнения;

• правила разграничения доступа сотрудников к информаци­онным ресурсам;

• организация пропускного режима, регистрации сотрудников и посетителей;

•использование программно-технических средств зашиты;

• другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточ­ности и не терять здравого смысла.

Например, в политике может быть указано, что все прибываю­щие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконт­ролировать? К чему это приведет с точки зрения имиджа фирмы? Явно, что это требование нежизнеспособное. Другое дело, что моано запретить использование на территории мобильных теле­фонов сотрудникам фирмы при условии достаточного количества шшшонарных телефонов.

Принцип разумной достаточности означает, что затраты на опесиечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать ни риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную ин­формацию участки. Если в качестве ограничений выступает сум­марный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как услов­ную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить раз-фаничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы без­опасности в силу низкой технической грамотности не осознают важности защиты компьютерной информации. С другой сторо­ны, IT-сотрудники, являясь «творческими» личностями, как пра­вило, стараются игнорировать требования службы безопасности.

Кардинально решить эту проблему можно было бы, введя дол­жность директора по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должност­ные обязанности каких бы то ни было сотрудников (хотя прихо­дилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

Значительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обра­ботке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как дол­жны быть защищены серверы, маршрутизаторы и другие устрой­ства сети, порядок использования сменных носителей информа­ции, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

Можно привести по этому поводу следующие общие рекомен­дации:

• в системе должен быть администратор безопасности;

• за эксплуатацию каждого устройства должен быть назначен ответственный;

• системный блок компьютера опечатывают ответственный и работник IT-службы (или службы безопасности);

Читать еще:  Загрузка в безопасном

• предпочтительнее использовать съемные жесткие диски, а по окончании рабочего дня убирать их в сейф;

• если нет необходимости в эксплуатации CD-ROM, дисковод дов, их следует снять с компьютеров;

• осуществление контроля за использованием USB-портов, вплоть до полного запрета;

• установка любого программного обеспечения производится только работником IТ-службы;

• для разграничения доступа сотрудников лучше всего исполь­зовать сочетание паролей и смарт-карт (токенов); пароли должны генерироваться администратором безопасности, выдаваться пользо­вателю под роспись и храниться им так же, как и другая конфи­денциальная информация;

• запрещается использование неучтенных носителей информа­ции; на учтенных носителях выполняется маркировка, например, указываются гриф, номер, должность и фамилия сотрудника.

Еще раз напомним о разумной достаточности и здравом смыс­ле. Внедрение любой защиты приводит к определенным неудоб­ствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек будет игнорировать существующие пришла. Например, можно потребовать завести журнал пользователя персонального компьютера, в котором следует отмечать время начала и конца работы, характер выполняемых действий, it.(именование созданных файлов и т.д. Можно предусмотреть процедуру удаления файлов под две росписи в журнале (и пр.), но вряд ли кто-нибудь и когда-нибудь будет выполнять столь вздорные требования. Другое дело, если подготовка каких-то важных документов предусмотрена на специальном компьютере в службе безопасности. Здесь журнал учета работы пользователей будет не было уместным, но и необходимым.

Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос должен быть выделен в отдельный раздел. Подключение к Интернету обычно преследует следующие цели:

• получение информации из Интернета;

• размещение в Интернете своей информации о предоставляе­мых услугах, продаваемых товарах и т.д.;

• организация электронного магазина и т.п.;

• организация совместной работы удаленных офисов или ра-Гни пиков на дому.

В первых трех случаях идеальным с точки зрения безопасности шло бы выделение для Интернета автономного компьютера, на втором ни в коем случае нельзя хранить конфиденциальную информацию. На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенный межсетевой экран. Особый контроль надо установить за компьютером со сменными носителями информа­ции, а также за перлюстрацией исходящей почты. В некоторых оркшизациях вся исходящая почта попадает вначале в руки адми­нистратора безопасности, который контролирует ее и пересылает дальше.

При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением являются виртулльные частные сети (VPN). В настоящее время имеется много шечественных фирм-разработчиков, предоставляющих также услуги по установке и настройке соответствующего программного обес­печения.

Нарушения информационной безопасности могут произойти, неемотря на все принятые меры, поэтому в политике безопасности должны быть обязательно предусмотрены меры по ликвида­ции таких последствий, восстановлению нормальной работоспо­собности фирмы и минимизации причиненного ущерба. Большое нтчение здесь имеет применение средств резервирования элект­ропитания, вычислительных средств, данных, а также правильная оринизация документооборота.

Политика безопасности является документом верхнего уровня. Более детальные требования излагаются в регламенте безопасно­сти — совокупности документов, регламентирующих правила об­ращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.

В этих документах должен быть определен комплекс мето­дических, административных и технических мер, включающих:

• создание подразделения, ответственного за обеспечение кон­фиденциальности информации (СОК);

• определение порядка допуска сотрудников к конфиденци­альной информации;

• определение обязанностей, ограничений и условий, накла­дываемых на сотрудников, допущенных к конфиденциальной ин­формации;

• установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых заказчиком, и информации, содержащейся в рабочих документах; порядок изменения категории конфиденциальности работ и ин­формации;

. требования к помещениям, в которых проводятся конфиден­циальные работы и обрабатывается конфиденциальная информа­ция, по категориям;

• требования к конфиденциальному делопроизводству;

• требования к учету, хранению и обращению с конфиденциальными документами;

• меры по контролю за обеспечением конфиденциальности ра­бот и информации;

• план мероприятий по противодействию атаке на конфиден­циальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);

• план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пре­сечения процесса разглашения/утечки информации);

•определение ответственности за разглашение конфиденциаль­ной информации.

Для регламента обеспечения безопасности должны быть разра­ботаны следующие документы:

• инструкция по обеспечению режима конфиденциальности на предприятии;

• требования к пропускному и внутриобъектовому режиму;

• общие требования к системе разграничения доступа в помещения;

• инструкция по работе с кадрами, подлежащими допуску к конфиденциальной информации;

• требования к лицам, оформляемым на должность, требую­щую допуска к конфиденциальной информации;

• режим конфиденциальности при обработке конфиденциальность информации с применением СВТ;

• концепция безопасности АС;

Все разработанные документы должны определять работу КСЗИ:

• в штатном режиме;

• при изменениях в штатном режиме;

• в нештатном режиме (аварийных ситуациях). Изложенное выше показывает, что КСЗИ является сложной

чгювеко-машинной системой, поэтому для ее анализа можно иоспользоваться положениями теории систем. Приведем некото­рые основные моменты этой теории.

Политика безопасности: разработка и реализация

Политика безопасности: разработка и реализация

Политика безопасности: разработка и реализация


В.Г. Грибунин, эксперт, к.т.н.

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать — вольно или невольно — сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого следует приступать к разработке политики безопасности.

Содержание политики безопасности

Политика безопасности — документ «верхнего» уровня, в котором должны быть указаны:

  • лица, ответственные за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При его составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Этот принцип означает, что затраты на обеспечение безопасности информации должны быть не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать их по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности следует уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности. Ему подчинялись бы обе службы.

В политике безопасности не стоит детализировать должностные обязанности сотрудников (хотя приходилось видеть и такое). Они должны разрабатываться на основе политики, но не внутри нее.

Обеспечение безопасности компьютерной информации

Серьезное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, определить порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

Приведем по этому поводу следующие общие рекомендации:

  • в системе должен быть администратор безопасности;
  • должен быть назначен ответственный за эксплуатацию каждого устройства;
  • системный блок компьютера надо защищать печатями ответственного и работника IT-службы (или службы безопасности);
  • жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
  • если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
  • установка любого программного обеспечения должна производиться только работником IT-службы;
  • для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли генерируются администратором безопасности, выдаются пользователю под роспись и хранятся им также как и другая конфиденциальная информация;
  • следует запретить использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

Безусловно, внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек станет игнорировать правила.

Крайне внимательно следует отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос предлагается выделить в отдельный раздел. Подключение к Глобальной сети обычно преследует следующие цели:

  • получение информации;
  • размещение своей информации о предоставляемых услугах, продаваемых товарах и т.д.
  • организация совместной работы удаленных офисов или работников на дому.
Читать еще:  Профиль безопасности 1с

В двух первых случаях идеальным с точки зрения безопасности было бы использование для работы во Всемирной паутине автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На нем обязательно устанавливаются антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль стоит уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты.

При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением считаются виртуальные частные сети (VPN). В настоящее время известно множество отечественных фирм-разработчиков, представляющих услуги по установке и настройке соответствующего программного обеспечения.

Несмотря на все принятые меры, нарушения информационной безопасности могут иметь место. В политике безопасности следует обязательно предусмотреть меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.

Итак, вы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.

Первый — оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода — его субъективизм. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы — ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.

К счастью, почти ничего создавать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, он не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.

Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет отправляется в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке.

Разработка политики безопасности организации

Разработка политики безопасности является ключевым этапом построения защищенной информационной системы или сети. Составление политики или политик безопасности является началом осуществления общей программы обеспечения безопасности организации. На основе разработанной политики безопасности создается детальная программа обеспечения безопасности, которая необходима для создания эффективной системы безопасности организации.

Основные этапы программы обеспечения безопасности включают в себя:

¨ определение ценности технологических и информационных активов организации;

¨ оценка рисков этих активов (сначала путем идентификации тех угроз, для которых каждый актив является целевым объектом, а затем оценкой вероятности того, что эти угрозы будут реализованы на практике);

¨ установление уровня безопасности, определяющего защиту каждого актива, то есть мер безопасности, которые можно считать рентабельными для применения;

¨ формирование на базе предыдущих этапов политики безопасности организации;

¨ привлечение необходимых финансовых ресурсов для реализации политики безопасности, приобретение и установка требуемых средств безопасности;

¨ проведение разъяснительных мероприятий и обучения персонала для поддержки сотрудниками и руководством требуемых мер безопасности;

¨ регулярный контроль пошаговой реализации плана безопасности с целью выявления текущих проблем, учета изменения внешнего окружения и внесение необходимых изменений в состав персонала.

К политикам безопасности предъявляются следующие основные требования:

¨ политики безопасности должны:

· указывать цели и причины, по которым нужна политика;

· описывать, что именно охватывается этими политиками;

· определить роли, обязанности и контакты;

· определить, как будут обрабатываться нарушения безопасности;

¨ политики безопасности должны быть:

· реальными и осуществимыми;

· краткими и доступными для понимания;

· сбалансированными по защите и производительности.

Первыми шагами по разработке политики безопасности являются следующие:

¨ создание команды по разработке политики;

¨ принятие решения об области действия и целях политики;

¨ принятие решения об особенностях разрабатываемой политики;

¨ определение лица или органа для работы в качестве официального интерпретатора политики.

Процесс проектирования политики безопасности целесообразно унифицировать. Унифицированный процесс проектирование политик безопасности состоит из следующих этапов.

Создание команды по разработке политики безопасности организации. Команда создается руководством организации, которое должно осознавать важность информационной безопасности и полностью реализовать свою позитивную роль в успешной разработке, принятии и внедрении этой политики.

В состав команды включают квалифицированных специалистов, хорошо разбирающихся в требованиях бизнеса, информационных технологиях и безопасности, юриста и члена руководства, который сможет проводить в жизнь эту политику безопасности. К работе этой команды должны быть также привлечены администраторы безопасности и системные администраторы, представитель от сообщества пользователей.

Размер команды по разработке политики зависит от масштаба и области действия политики. Крупномасштабные политики могут потребовать команды из 5÷10 человек, в то время как для политики небольшого масштаба достаточно только одного или двух человек.

Анализ требований бизнеса. Члены команды с различными позициями и точками зрения должны проанализировать требования бизнеса к использованию компьютерных и сетевых сервисов. Когда мнения некоторых членов этой команды не совпадают, столкновения их интересов и пересечения разных отраслей знания при обсуждении требований бизнеса позволяют получить более полную и объективную картину, чем при обычном опросе людей, работающих в области маркетинга, продаж или разработки.

На этом этапе анализируются и решаются следующие вопросы:

à какие компьютерные и сетевые сервисы требуются для бизнеса и как эти требования могут быть удовлетворены при условии обеспечения безопасности?

à скольким сотрудникам необходимы доступ в Интернет, использование электронной почты и интранет-сервисов?

à зависят ли компьютерные и сетевые сервисы от удаленного доступа к внутренней сети?

à имеются ли требования по веб-доступу?

à требуются ли клиентам данные технической поддержки через Интернет?

Анализ рисков. Использование информационных систем и сетей связано с определенной совокупностью рисков. Этот этап является важнейшим этапом формирования политики безопасности (рис. 2.2).

На этапе анализа рисков осуществляются следующие действия:

à идентификация и оценка стоимости технологических и информационных активов;

à анализ тех угроз, для которых данный актив является целевым объектом;

à оценка вероятности того, что угроза будет реализована на практике;

à оценка рисков этих активов.

Оценка риска выявляет как самые ценные, так и наиболее уязвимые активы, она позволяет точно установить, на какие проблемы нужно обратить особое внимание. Отчет об оценке рисков является инструментом при формировании политики сетевой безопасности.

Установление уровня безопасности. Здесь определяется защита каждого актива, то есть меры безопасности, которые можно считать рентабельными для применения. Стоимость защиты конкретного актива не должна превышать стоимости самого актива.

Рис. 2.2. Схема разработки политики безопасности

С этой целью составляется подробный перечень всех активов, который включает такие материальные объекты, как серверы и рабочие станции, и такие нематериальные объекты, как данные и программное обеспечение. Идентифицируются каталоги, которые содержат конфиденциальные файлы или файлы целевого назначения. После идентификации этих активов проводится определение стоимости замены каждого актива с целью назначения приоритетов в перечне активов.

Переоценка рисков. Производится с целью контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

После проведения описанной выше работы переходят к непосредственному составлению политики безопасности. В политике безопасности орга­низации должны быть определены используемые стандарты, правила и процессы безопасности.

Стандарты указывают, каким критериям должно следовать управление безопасностью. Правила подробно описывают принципы и способы управления безопасностью. Процессы должны осуществлять точную реализацию правил в соответствии с принятыми стандартами.

Кроме того, политика безопасности должна определить значимые для безопасности роли и указать ответственности этих ролей. Роли устанавливаются во время формирования процессов.

Обычно процесс состоит из одного или более действий, где каждое действие включает четыре компонента (рис. 2.3):

Рис. 2.3. Графическое представление действия в рамках процесса

1. Вход, например запрос пользователем нового пароля.

2. Механизм, реализующий данное действие и указывающий средства или роли, с помощью которых это действие выполняется. Он определяет, какие роли вовлечены в это конкретное действие (например, пользователь, запрашивающий новый пароль, и администратор безопасности).

3. Управление – описывает алгоритм или условия, которые управляют этим действием (например, при запросе нового пароля инициатор запроса должен успешно пройти аутентификацию).

4. Выход – является результатом этого действия (например, сообщение пользователю нового пароля).

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.

Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ — конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой.

Папиллярные узоры пальцев рук — маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.

Ссылка на основную публикацию
Adblock
detector