2014-02-17
353
| Защититься и продолжить | Выследить и осудить |
| s АС недостаточно защищены s Продолжительность вторжения сопряжена с финансовым риском s Неизвестен круг пользователей s Пользователи могут привлечь к ответственности за нанесенный ущерб и др. | s АС хорошо защищена, используются надежные средства резервирования s Имеют место повторяющиеся и частые атаки s Действия злоумышленника можно контролировать s Организация обладает положительным опытом работы с правоохранительными и правозащитными органами и др. |
Политика безопасности затрагивает всех пользователей компьютеров в организации. Поэтому важно решить вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями. Для этого определяется круг лиц, имеющих доступ к подсистемам и сервисам АС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов – что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей. Следует указать, какое из правил умолчания на использование ресурсов принято в организации, а именно: 1) что явно не запрещено, то разрешено или 2) что явно не разрешено, то запрещено.
|
|
|
Одним из самых уязвимых мест в ОБИ является распределение прав доступа. В политике безопасности должна быть утверждена схема управления распределением прав доступа к сервисам – централизованная, децентрализованная или иная. Должно быть четко определено, кто распоряжается правами доступа к сервисам и какими именно правами. Целесообразно детально описать практические процедуры наделения пользователей правами. Здесь следует указать должностных лиц, имеющих административные привилегии и пароли для определенных сервисов. Права и обязанности пользователей определяются применительно к безопасному применению подсистем и сервисов АС. При определении прав и обязанностей администраторов следует стремиться к некоторому балансу между правом пользователей на тайну и обязанностью администратора контролировать нарушения безопасности.
Важным элементом политики является распределение ответственности. Политика не может предусмотреть всего, однако она должна для каждого вида проблем найти ответственного. Обычно выделяется несколько уровней ответственности. На первом уровне каждый пользователь обязан работать в соответствии с политикой безопасности (защищать свой счет), подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Системные администраторы отвечают за защиту соответствующих информационно-вычислительных подсистем. Администраторы ИВС (корпоративной сети) должны обеспечивать реализацию организационно-технических мер, необходимых для проведения в жизнь сетевой политики безопасности АС. Более высокий уровень – руководители подразделений отвечают за доведение и контроль положений политики безопасности.
|
|
|
С практической точки зрения, политику безопасности целесообразно разделить на несколько уровней. Как правило, выделяют два-три уровня.
Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области информационной безопасности; вопросам выделения и распределения ресурсов; принципам технической политики в области выбора методов и средств защиты информации; координированию мер безопасности; стратегическому планированию и контролю; внешним взаимодействиям и другим вопросам, имеющим общеорганизационный характер. На указанном уровне формулируются главные цели в области информационной безопасности (определяемые сферой деятельности предприятия): обеспечение конфиденциальности, целостности и (или) доступности.
Средний уровень политики безопасности выделяют в случае структурной сложности организации или при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых сервисов Internet, организация связи и обработка информации на домашних и портативных компьютерах, степень соблюдения положений компьютерного права и др. Кроме того, на среднем уровне политики безопасности могут быть выделены особо значимые контуры АС организации, например обрабатывающие секретную или критически важную информацию.
За разработку и реализацию политики безопасности верхнего и среднего уровней отвечают руководитель службы безопасности, администраторы безопасности АС, администратор ИВС.
Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. Этот уровень необходим, когда вопросы безопасности конкретных подсистем требуют решения на управленческом, а не только на техническом уровне. На данном уровне определяются конкретные цели, частные критерии и показатели информационной безопасности, задаются права конкретных групп пользователей, формулируются соответствующие условия доступа к информации и т.п. Здесь из конкретных целей выводятся (обычно формальные) правила безопасности, описывающие, кто, что и при каких условиях может или не может делать. Более детальные и формальные правила упростят внедрение системы и настройку средств ОБИ. На нижнем уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации.
За политику безопасности нижнего уровня отвечают системные администраторы.
В ходе разработки политики безопасности с целью минимизации затрат на ОБИ проводится анализ рисков. Основной принцип безопасности – затраты на средства защиты не должны превышать стоимости защищаемых объектов. При этом, если политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию, то анализ рисков (как приложение) оформляется в виде списка активов, нуждающихся в защите. Рассмотрим этап анализа риска подробнее.
