Политика информационной безопасности

РАЗДЕЛ 2

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которой реализуется деятельность в компьютерной информационной системе организации.

Политика безопасности устанавливает, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, четко предписывающие, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. В большой корпоративной системе может применяться широкий диапазон разных политик: от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

 

Основные понятия политики безопасности

 

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы конкретной организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего следующие разделы:

¨ описание проблемы;

¨ область применения;

¨ позиция организации;

¨ распределение ролей и обязанностей;

¨ санкции;

¨ дополнительная информация;

¨ управленческие меры обеспечения информационной безопасностью.

Описание проблемы. Локальная сеть позволяет сотрудникам совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ имеет следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.

 

Область применения. В сферу действия политики безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

 

Позиция организации. В этом разделе описываются цели организации по обеспечению целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. К ним относят:

à обеспечение уровня безопасности, соответствующего нормативным документам;

à следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);

à обеспечение безопасности в каждой функциональной области локальной сети;

à обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

à обеспечение анализа регистрационной информации;

à предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

à выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

à обеспечение соответствия с имеющимися законами и общей политикой безопасности организации.

 

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

 

Санкции. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.

 

Дополнительная информация. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть довольно краткими – объемом в одну-две страницы.

 

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний.

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят от руководства организации. Такие решения могут включать в себя следующие элементы:

¨ формулировку целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

¨ формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение лиц, ответственных за продвижение программы;

¨ обеспечение материальной базы для соблюдения законов и правил;

¨ формулировку управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня имеет четко определенную сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике определяются обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, то есть политика может служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:

¨ организация должна соблюдать существующие законы;

¨ следует контролировать действия лиц, ответственных за выработку программы безопасности;

¨ необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.

 

Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, которые эксплуатируются организацией (отношение к доступу в Интернет – проблема сочетания свободы получения информации с защитой от внешних угроз; использование домашних компьютеров и т.д.)

Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:

¨ описание аспекта – позиция организации может быть сформулирована в достаточно общем виде, как набор целей, которые преследует организация в данном аспекте;

¨ область применения – следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;

¨ роли и обязанности – документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;

¨ санкции – политика должна содержать общее описание запрещенных действий и наказаний за них;

¨ точки контакта – должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно точкой контакта служит должностное лицо.

 

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта – цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Рассматриваемая политика должна быть более детальной. Нижний уровень дает ответ на следующие вопросы для каждого должностного лица (руководитель подразделения, администратор локальной сети, администраторы сервисов, пользователи):

¨ кто имеет право доступа к объектам, поддерживаемым сервисом;

¨ при каких условиях можно читать и модифицировать данные;

¨ как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

 

Управленческие меры обеспечения информационной безопасности. Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.

 

 

Процедуры безопасности

 

Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют как реализовываются политики безопасности.

Процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила создания паролей, правила о том, как защитить пароль и как часто заменять пароли. Процедура управления паролями описывает процессы создания новых паролей, распределения их, а также гарантированной смены паролей на критичных устройствах.

Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования его логина и пароля, применяемые сразу, как только данный пользователь увольняется из организации.

 

Процедура реагирования на события. Процедура является необходимым средством безопасности для большинства организаций и вступает в действие, когда обнаруживается вторжение в защищенную сеть организации или когда она сталкивается со стихийным бедствием.

Процедуру реагирования на события также называют процедурой обработки событий или процедурой реагирования на инциденты. К основным нарушениям безопасности относят: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, несанкционированный доступ и др.

Данная процедура определяет:

à каковы обязанности членов команды реагирования;

à какую информацию следует регистрировать и прослеживать;

à как обрабатывать исследование отклонений от нормы и попытки вторжения;

à кого уведомлять и когда;

à кто может публиковать информацию и какова процедура ее выпуска;

à как должен выполняться последующий анализ и кто будет в этом участвовать.

В команду реагирования могут быть включены должностные лица компании, менеджер отдела маркетинга (для связи с прессой), системный и сетевой администраторы и представитель соответствующих правоохранительных органов. Процедура должна указать, когда и в каком порядке они вызываются.

 

Процедура управления конфигурацией. Процедура определяется на корпоративном уровне или уровне подразделения. Она определяет процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений.

Процедура управления конфигурацией определяет:

à кто имеет полномочия выполнять изменения конфигурации аппаратного и программного обеспечения;

à как тестируется и инсталлируется новое аппаратное и программное обеспечение;

à как документируются изменения в аппаратном и программном обеспечении;

à кто должен быть проинформирован, когда вносятся изменения в аппаратном и программном обеспечении.

Процесс управления конфигурацией важен по нескольким причинам:

à он документирует внесенные изменения и обеспечивает возможность аудита;

à он документирует возможный простой системы;

à он дает способ координировать изменения так, чтобы одно изменение не помешало другому.

 

РАЗДЕЛ 2

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которой реализуется деятельность в компьютерной информационной системе организации.

Политика безопасности устанавливает, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, четко предписывающие, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. В большой корпоративной системе может применяться широкий диапазон разных политик: от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

 

Основные понятия политики безопасности

 

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы конкретной организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего следующие разделы:

¨ описание проблемы;

¨ область применения;

¨ позиция организации;

¨ распределение ролей и обязанностей;

¨ санкции;

¨ дополнительная информация;

¨ управленческие меры обеспечения информационной безопасностью.

Описание проблемы. Локальная сеть позволяет сотрудникам совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ имеет следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.

 

Область применения. В сферу действия политики безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

 

Позиция организации. В этом разделе описываются цели организации по обеспечению целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. К ним относят:

à обеспечение уровня безопасности, соответствующего нормативным документам;

à следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);

à обеспечение безопасности в каждой функциональной области локальной сети;

à обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

à обеспечение анализа регистрационной информации;

à предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

à выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

à обеспечение соответствия с имеющимися законами и общей политикой безопасности организации.

 

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

 

Санкции. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.

 

Дополнительная информация. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть довольно краткими – объемом в одну-две страницы.

 

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний.

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят от руководства организации. Такие решения могут включать в себя следующие элементы:

¨ формулировку целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

¨ формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение лиц, ответственных за продвижение программы;

¨ обеспечение материальной базы для соблюдения законов и правил;

¨ формулировку управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня имеет четко определенную сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике определяются обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, то есть политика может служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:

¨ организация должна соблюдать существующие законы;

¨ следует контролировать действия лиц, ответственных за выработку программы безопасности;

¨ необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.

 

Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, которые эксплуатируются организацией (отношение к доступу в Интернет – проблема сочетания свободы получения информации с защитой от внешних угроз; использование домашних компьютеров и т.д.)

Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:

¨ описание аспекта – позиция организации может быть сформулирована в достаточно общем виде, как набор целей, которые преследует организация в данном аспекте;

¨ область применения – следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;

¨ роли и обязанности – документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;

¨ санкции – политика должна содержать общее описание запрещенных действий и наказаний за них;

¨ точки контакта – должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно точкой контакта служит должностное лицо.

 

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта – цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Рассматриваемая политика должна быть более детальной. Нижний уровень дает ответ на следующие вопросы для каждого должностного лица (руководитель подразделения, администратор локальной сети, администраторы сервисов, пользователи):

¨ кто имеет право доступа к объектам, поддерживаемым сервисом;

¨ при каких условиях можно читать и модифицировать данные;

¨ как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

 

Управленческие меры обеспечения информационной безопасности. Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.