Политики информационной безопасности среднего уровня непосредственно детализируют требования, задачи и правила, обозначенные в политике верхнего уровня, и отдельно описывают основные сферы, в которых необходимо системное осуществление тех или иных организационных и/или технических мероприятий.
Политика информационной безопасности среднего уровня должна содержать следующие основные разделы.
• Общее описание той сферы деятельности (информационной технологии, аспекта информационной системы, бизнес-процессов предприятия), на которую она распространяется.
• Область применения политики безопасности — перечень всех лиц, организаций, информационных систем, к которым она применяется или которые исключаются из сферы ее применения.
• Непосредственное отношение предприятия к данному аспекту информационных технологий и информационной безопасности — основная часть политики безопасности, определяющая конкретные правила, критерии и требования к процедурам обращения информации, элементам информационной инфраструктуры, программным и аппаратным средствам и т.п.
|
|
• Распределение ролей и функций, необходимых для разрешения конкретных вопросов - закрепление за определенными сотрудниками (специалистами, руководителями) обязанностей по выполнению необходимой работы с целью решения задач в рамках данной политики безопасности.
• Порядок разрешения возникающих вопросов - основные процедуры разрешения появляющихся затруднений в текущей работе и принятия решений о возможных исключениях из общих правил, а также перечень лиц (подразделений), ответственных за непосредственную работу с персоналом предприятия по вопросам, относящимся к данной политике безопасности.
Одной из основ для реализации мероприятий в сфере информационной безопасности и детальной разработки политики безопасности является укрупненная классификация информационных ресурсов, имеющихся у предприятия. Все имеющиеся у предприятия информационные объекты (и соответствующие элементы информационной инфраструктуры), как правило, могут быть разделены на пять или шесть основных групп по уровню своей значимости и конфиденциальности.
1. Критически важная (абсолютно секретная) информация — информация, требующая особых гарантий безопасности.
2. Важная информация (информация, составляющая коммерческую тайну) — информация, используемая только внутри предприятия, нарушение конфиденциальности которой может нанести серьезный ущерб самому предприятию или его партнерам.
3. Значимая (конфиденциальная) информация - информация, предназначенная для использования ограниченным кругом сотрудников и руководителей предприятия.
|
|
4. Персональная информация — информация о сотрудниках, не подлежащая разглашению.
5. Информация для внутреннего использования - информация для использования внутри предприятия, нарушение конфиденциальности которой не может нанести вреда.
6. Прочая информация — открытая информация, конфиденциальность которой не имеет особого значения для деятельности предприятия.
Во всем объеме политик среднего уровня необходимо выделить два их основных вида.
1. Политики, относящиеся к определенным сферам деятельности предприятия и соответствующим информационным потокам (финансам, коммерческой деятельности и т.п.).
2. Политики, относящиеся к определенным аспектам использования информационных технологий, организации информационных потоков и организации работы персонала на всем предприятии — вне зависимости от той сферы, где используются эти технологии или занят персонал.
К политикам первого типа могут относиться:
• политики обращения с информацией, составляющей государственную тайну;
• политики обращения с результатами НИОКР, конструкторской и технологической документацией, составляющей «ноу-хау» предприятия или его партнеров
и другие.
Политики безопасности такого типа уточняют и дополняют общие для всего предприятия правила, распространяющиеся на все остальные информационные системы и объекты, и, соответственно, имеют наибольший приоритет. Они, например, могут содержать:
• специальные требования к резервному копированию информации (такие как более высокая частота резервного копирование и использование более надежных носителей для этого);
• специальные требования к идентификации и аутентификации пользователей (такие как комбинирование биометрической идентификации и идентификации при помощи паролей);
• специальные требования к копировально-множительной технике, используемой для работы с конфиденциальной информацией;
• специальные требования к помещениям, в которых проводятся совещания по секретной тематике и обрабатывается соответствующая информация (толщина и материал стен, расположение помещений в зданиях, защищенность окон, надежность дверей и за- поров, а также охранной и пожарной сигнализации, обследования на предмет выявления подслушивающих устройств и т.п.) и другие.
К политикам второго типа могут относиться:
• политика опубликования открытых информационных материалов, в том числе политика организации веб-сайта предприятия и его внутреннего информационного портала (в части предотвращения возможных утечек и искажений информации);
• политика использования сети Интернет (в части предотвращения возможных утечек информации);
• политики использования отдельных информационных и коммуникационных технологий, в том числе общие для всего предприятия правила использования мобильных компьютеров и КПК, удаленного доступа к корпоративными информационным системам, а также использования личных компьютеров сотрудников предприятия в служебных целях;
• классификации информационных систем, информационных ресурсов и объектов информации с точки зрения их значимости и усилий, которые необходимо предпринимать для их защиты;
• политика приобретения, установки, модификации и обновления программного обеспечения, а также аутсорсинга разработки и проектирования программного обеспечения;
• политика закупки аппаратных средств информационных систем, систем информационной безопасности;
• политика использования пользователями собственного программного обеспечения (т.е. ПО, самостоятельно разрабатываемого предприятием);
• общие для всего предприятия правила использования паролей и других средств персональной идентификации;
|
|
• политика использования электронно-цифровой подписи и инфраструктуры публичных ключей;
• политика (регламент) обеспечения внутриобъектового режима и физической защищенности информационных активов;
• политика доступа к внутренним информационным ресурсам сторонних пользователей (организаций);
• общий для всего предприятия порядок привлечения к ответственности за нарушение определенных правил информационной безопасности.