double arrow

Базовая и специализированные политики безопасности

=1=

Успехом обеспечения сохранности и защиты информации на предприятии зависит, прежде всего, от разработанных политик безопасности на предприятии. Политика информационной безопасности организации -совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Рассмотрим административный уровень информационной безопасности предприятия, то есть меры, предпринимаемые руководством организации. В основе всех мероприятий административного уровня лежит документ, часто называемый политикой информационной безопасности предприятия. Под политикой информационной безопасности понимается совокупность документированных управленческих решений и разработанных превентивных мер, направленных на защиту информационных ресурсов.

Разработка политики информационной безопасности - вопрос отнюдь не тривиальный. От тщательности ее проработки будет зависеть действенность всех остальных уровней обеспечения информационной безопасности - процедурного и программно-технического. Сложность разработки данного документа определяется проблематичностью использования чужого опыта, поскольку политика безопасности основывается на производственных ресурсах и функциональных зависимостях данного предприятия. Кроме того, Россия как государство не имеет подобного типового документа. Наиболее близким по идее можно назвать "Доктрину информационной безопасности РФ", однако, на мой взгляд, она носит слишком общий характер.

В связи с этим для разработки политики информационной безопасности целесообразно использовать зарубежный опыт. Наиболее детально этот аспект проработан в "Общих критериях оценки безопасности информационных технологий", версия 2.0 от 22 мая 1998 г. Британского стандарта BS7799:1995. В нем рекомендуется включать в документ, характеризующий политику информационной безопасности организации, следующие пункты:

- вводный, подтверждающий заинтересованность высшего руководства проблемами информационной безопасности;

- организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

классификационный, описывающий имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты;

- штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения, порядок реагирования на нарушение режима и т.д.);

- раздел, освещающий вопросы физической защиты информации;

- раздел управления, описывающий подход к управлению компьютерами и сетями передачи данных;

- раздел, описывающий правила разграничения доступа к производственной информации;

- раздел, описывающий порядок разработки и внедрения систем;

- раздел, описывающий меры, направленные на обеспечение непрерывной работы организации (доступности информации);

юридический раздел, подтверждающий соответствие политики информационной безопасности текущему законодательству. Рекомендация в качестве основы для построения политики информационной безопасности зарубежных документов может вызвать недоумение. Однако, как видно из рекомендаций стандарта BS 7799:1995, они носят общий характер и одинаково применимы для предприятий в любой точке земного шара. Так же как правила постройки дома одинаковы для всех домов в мире и лишь корректируются действующим законодательством, строительными правилами и нормами и подобными документами. К тому же последний раздел рекомендаций содержит подтверждение соответствия политики безопасности текущему законодательству страны, на основе которого она и должна базироваться.

=2=

Начать составление политики следует с анализа рисков. Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов. Инвентаризация информационных ресурсов поможет в определении степени необходимой защиты, контроле защищенности, а также будет полезна в других областях, как-то охрана труда и техника безопасности, страхование, финансы. В качестве ресурсов, связанных с информационных технологий, могут выступать:

информационные ресурсы: файловые хранилища, базы данных, документация, учебные пособия, документы процедурного уровня (инструкции и т.д.);

- программные ресурсы: прикладное и системное программное обеспечение, утилиты и т.д.;

- физические ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения;

- сервисы: отопление, освещение, энергоснабжение, кондиционирование воздуха;

- человеческие ресурсы.

После инвентаризации производится классификация ресурсов. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.

Приведем пример классификации информационного ресурса. В качестве основной переменной обычно выбирают степень конфиденциальности информации со следующими значениями:

- информация, содержащая государственную тайну;

- информация, содержащую коммерческую тайну;

- конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна);

- свободная информация.

Следующей переменной может быть выбрано отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности. К примеру, база данных телефонов работников предприятия может быть оценена на 8 с точки зрения доступности, на 2 с точки зрения конфиденциальности и на 4 с точки зрения целостности.

Далее производится собственно анализ рисков. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её

применимости к данному ресурсу, вероятности возникновения и возможного ущерба. На основе результатов этого анализа составляется классификационный раздел политики информационной безопасности.

В штатный раздел направлен на уменьшение риска ошибок персонала, краж, мошенничества или незаконного использования ресурсов. В дальнейшем этот раздел используется для составления должностных инструкций пользователей и руководящих документов для отделов и служб информационной безопасности. В документ желательно включить следующие разделы:

- правила проверки принимаемого на работу персонала;

- обязанности и права пользователей по отношению к информационным ресурсам;

- обучение пользователей и порядок допуска к работам с информационными ресурсами;

- права и обязанности администраторов;

- порядок реагирования на события, несущие угрозу информационной безопасности;

- порядок наложения взысканий.

В первый пункт включаются правила подачи заявлений о приеме, необходимые документы, форму резюме, рекомендаций и т.д. Кроме того, определяются необходимость, форма и порядок проведения собеседования с работниками различных категорий. Здесь же описываются различные обязательства о неразглашении.

Во втором пункте описываются обязанности пользователей по обслуживанию своего рабочего места, а также при работе с информационным ресурсами. Этот пункт тесно связан с третьим пунктом, поскольку определяет необходимые знания пользователей.

Третий пункт определяет необходимые знания для различных категорий работников, периодичность и порядок проведения инструктажа по пользованию информационными ресурсами. Необходимо четкое знание пользователями всех процедурных вопросов (идентификация в системе, смена пароля, обновление антивирусных баз, работа с пакетами программ и т.д.). Кроме того, описывается порядок подключения пользователя к информационным ресурсам (необходимые документы, согласующие лица и подразделения).

Для нормального функционирования системы администраторы информационной безопасности должны обладать достаточными правами. Отключение от сети или информационного ресурса рабочей станции, являющейся носителем вируса, - необходимость, а не нарушение технологического процесса.

=3=

Для своевременной реакции на угрозы безопасности системы следует четко определить формальные процедуры уведомления и реагирования на подобные системы. Все пользователи должны быть обязаны сообщать закрепленным лицам об инцидентах и слабых местах в системе безопасности, сбоях в работе программного и аппаратного обеспечения. Необходимо определить и довести до сведения пользователей методы фиксации симптомов сбоев оборудования.

Последний раздел содержит описание процедуры наложения взысканий за нарушения установленных на предприятии правил информационной безопасности. Карательные меры и степень ответственности необходимо закрепить документально.

В зависимости от типа предприятия меры физической защиты могут варьироваться в широком диапазоне. Исходя из анализа рисков для каждого предприятия, необходимо жестко описать типы помещений и необходимые для них меры безопасности. К мерам безопасности относятся установка решеток, замков, порядок допуска в помещения, средства электромагнитной защиты и т.д. Кроме того, необходимо установить правила использования рабочего стола и способы утилизации материалов (различных магнитных носителей, бумажных документов, агрегатов), правила выноса программного и аппаратного обеспечения за пределы организации.

Разделы управления, описывающие подходы к управлению компьютерами и сетями передачи данных и порядок разработки и внедрения систем, описывают порядок выполнения стандартных операционных процедур оперирования данными, правила ввода систем в эксплуатацию (приемка систем), аудита их работы. Кроме того, в данном разделе указывается порядок защиты предприятия от вредоносного программного обеспечения (регламент работы антивирусной системы в частности). Определяются порядок аудита работоспособности систем и резервное копирование. Описываются стандартное программное обеспечение, разрешенное к работе на предприятии. Здесь же описываются системы защиты электронной почты, системы электронной цифровой подписи и другие криптографические системы и системы аутентификации, работающие на предприятии. Это немаловажно, поскольку российское законодательство в области жестко в этом отношении.

Права доступа к системам должны быть документированы, а порядок их предоставления определен нормативными документами. Должны быть указаны должности, производящие согласование заявок на предоставление прав доступа, а также осуществляющие раздачу прав. Кроме того, в организациях с серьезными требованиями к информационной безопасности определяется порядок проверок прав доступа к системам и лица, его осуществляющие. В этом же разделе описываются правила (политика) пользовательских паролей.

Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности. В свою очередь, политика строится на анализе рисков, и чем полнее будет произведен анализ, тем эффективнее будет документ. Анализу подвергаются все основные ресурсы, включая материальную базу и человеческие ресурсы. Политика безопасности строится в соответствии со спецификой предприятия и законодательной базой государства.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: