Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации:

Верхний уровень, к которому относятся решения, затрагивающие организацию в целом

Средний уровень, к которому относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для разных видов систем обработки данных, используемых в организации

Нижний уровень, вопросы которого касаются отдельных информационных сервисов, отдельных систем и подсистем обработки данных, используемых в организации.

Рассмотрим эти уровни подробно:

Верхний уровень.

К верхнему уровню относятся решения, затрагивающие организации в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

К таким решениям, в частности, может относиться:

Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности; назначение ответственных за выполнение программы.

Формулировка целей в области информационной безопасности; определение общих направлений в достижении этих целей. Цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности.

Например, если организации отвечает за поддержание критически важных баз данных, то на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.

Для организации, занимающейся продажами или складским хозяйством, наиболее важным может оказаться актуальность информации (т. е. отражение текущих цен и состояния дел), а также доступность этой информации максимальному числу потенциальных клиентов.

Для предприятия, занимающегося разработкой военной техники, наибольшее значение может иметь обеспечение конфиденциальности информации.

Формулировка решений по управлению различными ресурсами обеспечения информационной безопасности, координации использования этих ресурсов различными подразделениями фирмы.

Выделение специального персонала для обеспечения информационной безопасности; вопросы организации взаимодействия с другими организациями, обеспечивающими или контролирующими режим безопасности.

Определение обязанностей должностных лиц по выработке и реализации программ безопасности; вопросы выработки системы поощрений (и наказаний) за обеспечение (нарушение) информационной безопасности.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Основные положения политики безопасности предприятия (организации, фирмы) должны быть зафиксированы в документе, который подписывается, как правило, руководителем предприятия (организации). Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности, следующие разделы:

вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

организационный, содержащий описание структурных подразделений, отвечающих за работы в области информационной безопасности;

штатный, характеризующий применяемые к персоналу меры безопасности;

раздел, посвященный вопросам физической защиты информации;

раздел, описывающий подход к управлению компьютерами и компьютерными сетями; раздел, описывающий правила доступа к производственной информации;

раздел, характеризующий порядок разработки и сопровождения систем; раздел, описывающий меры, направление на обеспечение непрерывной работы организации;

юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Средний уровень

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важных для различных систем обработки данных, используемых в организации.

К таким вопросам могут быть отнесены, например следующие:

– следует ли внедрять передовые, но недостаточно проверенные (в том числе точки зрения информационной безопасности) технологии?

– следует ли обеспечить доступ в Интернет с рабочих мест сотрудников?; следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие, и наоборот?; следует ли допускать использование неофициального программного обеспечения?.

В документах, характеризующих политику безопасности среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы:

· описание аспекта (например, для вопроса, касающегося применения неофициального программного обеспечения, необходимо определить, что именно понимается под неофициальным программным обеспечением (это может быть ПО, которое не было одобрено и/или закуплено на уровне организаций);

· область применения – объясняет, где, когда, как, по отношению к кому и к чему применяется данная политика безопасности (например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций–субподрядчиков).

Позиция организации по данному вопросу

Например, в вопросе использования неофициального программного обеспечения позиция организации может быть сформулирована как полный запрет, либо как допущение использования такого ПО только после специальной приемки, и т. д. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте;

· роли и обязанности – информация о должностных лицах, ответственных за реализацию политики безопасности (например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить; если же неофициальное программное обеспечение использовать нельзя, следует указать, кто следит за выполнением данного правила);

· законопослушность – общее описание запрещенных действий, и наказаний за них;

· точки контакта – информация о том, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Нижний уровень.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам, отдельным системам или подсистемам обработки данных.

Например, могут определяться общие правила доступа к информации, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, и т. д.

Вопросы политики безопасности нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. В то же время они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

Программа безопасности.

После того, как сформулирована политика безопасности, можно приступать к составлению программы безопасности, т. е. выработке конкретных мер по реализации политики безопасности.

Обычно программа безопасности разделяется на 2 уровня:

· верхний, или центральный уровень, который охватывает всю организацию;

· нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.

Основными целями и задачами программы верхнего уровня являются следующие:

– управление рисками, включая оценку рисков и выбор эффективных средств защиты (этот вопрос подробнее рассмотрен далее);

– координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

– стратегическое планирование.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств, контроль деятельности в области информационной безопасности.

Такой контроль имеет двустороннюю направленность.

Во-первых, необходимо гарантировать, что действия организации не противоречат законам.

При этом следует поддерживать контакты с внешними контролирующими организациями.

Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Некоторые вопросы управления рисками.

Управление рисками актуально только для тех организаций, информационные системы или обрабатываемые данные которых можно считать нестандартными.

Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа риска.

Управление рисками включает в себя два циклически чередующихся вида деятельности

Оценка (измерение) рисков.

Выбор эффективных и экономических средств защиты (нейтрализация рисков).

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей уязвимые места системы), а также величины возможного ущерба.

Для оценки вероятности реализации угрозы исходят из соображений здравого смысла. При этом следует учитывать, что угрозы могут носить не только информационно – технологический характер.

Ущерб информационной безопасности могут нанести пожары, прорывы водопроводов, обрыв кабелей электропитания, и даже захват здания террористами.

Для каждой угрозы необходимо оценить вероятность ее осуществления (например, 1 – низкая, 2 – средняя, 3 – высокая). Далее для каждой угрозы необходимо оценить размер ущерба от нее, можно тоже по трехбалльной шкале.

Для оценки риска можно просто перемножить вероятность осуществления угрозы на предполагаемый ущерб – получим 9 возможных значений рисков.

Если какие-либо риски оказались недопустимо высокими, необходимо принять дополнительные меры защиты.

Стоимость предполагаемых мер защиты также можно оценить по девятибалльной шкале, а затем сравнить с разницей между вычисленным и допустимым риском. Как правило, для уменьшения риска можно использовать различные меры, и необходимо выбрать наиболее эффективные.

Программа нижнего уровня

Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы сервисов.

На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т. д. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Следует особо отметить, что вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах жизненного цикла информационного сервиса (информационной системы, программы обработки данных).

Так, например, прежде, чем приобретать новую программу, необходимо определить, каковы возможные последствия нарушения защиты информации, обрабатываемой данной программой; каким угрозам может подвергаться данная системы, оценить требования к средствам защиты.

Следует также сформулировать требования к квалификации персонала, который будет обслуживать данную систему.

После закупки, при установке и конфигурировании нового продукта, необходимо включить и должным образом настроить встроенные средства безопасности.

В процессе эксплуатации следует проводить периодические проверки безопасности, так как если безопасность не поддерживать, она ослабевает.

Основные классы мер процедурного уровня.

Процедурные меры безопасности ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой. Поэтому «человеческий фактор» заслуживает особого внимания.

На процедурном уровне можно выделить следующие классы мер:

Управление персоналом.

Физическая защита.

Поддержание работоспособности системы.

Реагирование на нарушения режима безопасности.

Планирование восстановительных работ.

Управление персоналом.

Учет требований информационной безопасности начинается еще до приема на работу нового сотрудника – с составления описания должности. При этом следует придерживаться двух общих принципов при определении компьютерных привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.

Например, можно искусственно «расщепить» пароль суперпользователя, сообщив одну его часть одному сотруднику, а вторую – другому. Тогда важные действия по администрированию ИС они смогут выполнить только вдвоем, что снизит вероятность ошибок и злоупотреблений.

Принцип минимизации привилегий требует, чтобы пользователям давались только те права, которые необходимы им для выполнения служебных обязанностей. Цель этого – уменьшить ущерб от случайных или умышленных некорректных действий.

Предварительное описание должности помогает оценить ее критичность с точки зрения информационной безопасности и определить, какие процедуры должны выполняться для проверки кандидата на должность, какое обучение должен пройти кандидат.

С того момента, когда новый сотрудник получает доступ к информационной системе, необходимо проводить администрирование его системного счета, протоколировать и анализировать выполняемые действия с целью выявления подозрительных ситуаций.

При увольнении сотрудника, особенно в случае конфликта между ним и администрацией, необходимо максимально оперативно лишить сотрудника его полномочий по доступу к информационной системе, принять его «компьютерное хозяйство».

Важной проблемой для обеспечения информационной безопасности является квалификация персонала, для поддержания которой необходимо регулярное обучение.

Если сотрудник не знаком с политикой безопасности своей организации, он не может стремиться к достижению сформулированных в ней целей.

Не зная мер безопасности, он не может их соблюдать. Напротив, если сотрудник знает, что его действия контролируются, он, возможно, воздержится от нарушений.

Физическая защита.

Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей информации.

Обычно для этого используются инженерно- технические средства защиты, такие как охрана, замки, сейфы, датчики перемещения, противопожарные средства и т. д.

Поддержание работоспособности.

Для поддержания нормального функционирования информационных систем необходимо проведение ряда рутинных мероприятий:

Поддержка пользователей, т. е. консультирование и оказание помощи при решении различных проблем; при этом важно выявлять проблемы, связанные с информационной безопасностью

Поддержка программного обеспечения – это, в первую очередь, отслеживание того, какое ПО установлено на компьютерах (если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами). В поддержку ПО входит также контроль за отсутствием неавторизованного изменения программы

Резервное копирование необходимо для восстановления программ и данных после аварий. При этом важно четко определить правила, по которым должно осуществляться резервное копирование

Управление носителями подразумевает защиту носителей информации (дисков, дискет) как от несанкционированного доступа, так и от вредных воздействий окружающей среды

Документирование – неотъемлемая часть информационной безопасности. В виде документов оформляется почти все – от политики безопасности до журнала учета носителей. При этом важно, чтобы документация отражала текущее положение дел, чтобы при необходимости ее можно было легко найти, а также чтобы она была защищена от несанкционированного доступа

Регламентные работы (например, ремонтные) – очень серьезная угроза безопасности, так как во время их проведения к системе получают доступ посторонние сотрудники. Здесь очень важна квалификация и добросовестность этих сотрудников.

Реагирование на нарушения режима безопасности

Реакция на нарушения режима безопасности преследует следующие цели:

Локализация инцидента и уменьшение наносимого вреда.

Выявление нарушителя.

Предупреждение повторных нарушений.

В случае обнаружения нарушения режима безопасности действия необходимо предпринимать незамедлительно, поэтому очень важно, чтобы последовательность действий была спланирована заранее и отражена в документах.

Все сотрудники должны знать, как поступать и к кому обращаться в случае выявления того или иного нарушения защиты, а также должны знать, какие последствия ждут их в случае нарушения ими правил информационной безопасности.

Планирование восстановительных работ

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционирования хотя бы в минимальном объёме.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

Выявление наиболее важных функций организации. Следует понимать, что в случае аварии продолжение работ организации в полном объёме будет невозможно. Надо выявить самые важные функции, которые должны выполняться во что бы то ни стало.

Определение ресурсов, необходимых для выполнения важнейших функций. Не все ресурсы связаны с компьютерами. Для выполнения функций организации важны также персонал, документация, здания, инженерные коммуникации.

Определение перечня возможных аварий. При этом важно разработать «сценарий» аварии, понять, к каким последствиям они приведут.

Разработка стратегии восстановительных работ. Стратегия восстановительных работ должна базироваться на наличных ресурсах и быть не слишком накладной для организации; должна предусматривать не только работы по устранению аварий, но и возвращение к нормальному функционированию.

Подготовка к реализации выбранной стратегии, т. е. выработка плана действий в случае аварии, а также меры по обеспечению дополнительными ресурсами, необходимыми в случае аварии.

Проверка стратегии, которая заключается в анализе подготовленного плана, принятых и намеченных мер.

2. КОНЦЕПТУАЛЬНЫЕ ПОЛОЖЕНИЯ ОРГАНИЗАЦИОННОГО
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Доктрина информационной безопасности РФ развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

Концепция национальной безопасности Российской Федерации Утверждена Указом Президента Российской Федерации от 17 декабря 1997 г. № 1300 (в редакции Указа Президента Российской Федерации от 10 января 2000 г. № 24)

Россия в мировом сообществе.

Национальные интересы России.

Угрозы национальной безопасности Российской Федерации.

Обеспечение национальной безопасности Российской Федерации.

Концепция национальной безопасности Российской Федерации (далее именуется – Концепция) – система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В Концепции сформулированы важнейшие направления государственной политики Российской Федерации.

Под национальной безопасностью Российской Федерации понимается безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в Российской Федерации.

Цель Концепции – определение целей, задач и объектов государственной информационной политики (ГИП), основных направлений и механизмов ее реализации, результатов воздействия ГИП на социально-экономическое, политическое и культурное развитие России в конце XX и начале будущего века.

Область применения – конкретизация и уточнение основных направлений деятельности органов государственной власти по становлению информационного общества в России, формированию Единого информационного пространства России и ее вхождению в мировое информационное сообщество.

Исходные данные для разработки Концепции – Конституция Российской Федерации, «Декларация прав и свобод человека и гражданина», Послания Президента Российской Федерации Федеральному Собранию Российской Федерации;

Федеральные законы «Об информации, информатизации и защите информации», «О средствах массовой информации», «Об участии в международном информационном обмене», «О связи»;

«О государственной поддержке средств массовой информации и книгоиздания в Российской Федерации»;

«О государственной тайне», Гражданский кодекс Российской Федерации, а также другие законодательные акты, регулирующие отношения субъектов в информационной сфере, труды отечественных и зарубежных ученых по проблемам построения информационного общества и формирования информационно-телекоммуникационного пространства;

результаты аналитических и прогнозных исследований процессов информатизации в России.

Настоящая Концепция разработана в целях согласования усилий всех субъектов законодательной инициативы, федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации по совершенствованию и развитию правового обеспечения информационной безопасности Российской Федерации.

Правовой основой Концепции являются Конституция Российской Федерации, общепризнанные принципы и нормы международного права и международные договоры Российской Федерации, Концепция безопасности Союза Беларуси и России, Концепция национальной безопасности Российской Федерации и федеральное законодательство, регулирующее вопросы формирования и развития системы обеспечения национальной безопасности Российской Федерации.

Концепция отражает совокупность официально принятых государством взглядов на состояние, цели, задачи, основные направления и первоочередные мероприятия по дальнейшему развитию системы правового регулирования общественных отношений в области обеспечения информационной безопасности Российской Федерации.

Концепция создает методологическую основу согласования деятельности в области совершенствования правового обеспечения, информационной безопасности Российской Федерации всех субъектов законодательной инициативы федерального уровня, уровня субъектов Российской Федерации.

Дата добавления: 2014-01-06; Просмотров: 2257; Нарушение авторских прав?; Мы поможем в написании вашей работы!