Чтение онлайн

• оценка информационных рисков – представляет собой один из самых сложных этапов процесса разработки политики безопасности. На этом этапе необходимо определить вероятность реализации угроз и выделить те из них, что нанесут наибольший ущерб. Ущерб выражается не только количественно, например в денежном эквиваленте, но и качественно, для отражения ущерба, вызванного потерей имиджа компании, потерей конфиденциальности взаимоотношений с определенными стратегически важными клиентами и партнерами;

• определение ответственности – выбор команды разработчиков, способной определить потенциальные угрозы во всех областях деятельности компании. В идеале в процессе разработки политики безопасности должны принимать участие представители всех ключевых подразделений компании. Ключевые члены команды – представители руководства, отдела кадров, юридического отдела, отдела по связям с общественностью, сетевые администраторы, эксперты

в области информационной безопасности;

• создание комплексного документа – создание политики со ссылками на такие дополнительные документы, как процедуры, руководства, стандарты и контракты сотрудников. Эти документы должны содержать требования к конкретным информационным системам, технологиям, а также определять степень ответственности сотрудников. В результате становится возможным производить изменения в документах, не затрагивая саму политику информационной безопасности. Политика информационной безопасности подписывается руководителем компании;

• реализация – политика безопасности должна четко определять ответственность за обеспечение информационной безопасности и ответственных за информационные системы и защиту информации. Компания может потребовать от сотрудников подписи в том, что они ознакомлены с политикой безопасности и обязуются соблюдать ее требования. Ответственность реализуется с помощью определения:

– процедуры соответствия – для определения ответственности за выполнение требований политики безопасности;

– состава и структуры подразделения офицеров безопасности – определяет сотрудников, которые несут ответственность за обеспечение режима информационной безопасности. Здесь необходимо предусмотреть проблемы, связанные с конфликтом интересов;

– процедуры выделения необходимых ресурсов – гарантирует выделение необходимых ресурсов для соответствия требованиям политики информационной безопасности;

• управление программой безопасности – определяет внутренние процедуры для реализации требований политики.

Рекомендуемый состав политики безопасности. Ключевыми аспектами политики информационной безопасности являются:

• область применения,

• необходимость строгого соблюдения политики,

• основная часть политики,

• ответственность,

• последствия за несоответствие требованиям политики. Существенными утверждениями политики безопасности являются следующие:

• компания является собственником всех данных и систем;

• сотрудник обязуется не делать копий данных и программного обеспечения без получения соответствующего разрешения;

• сотрудник обязуется выполнять требования по парольной защите;

• сотрудник обязуется получать доступ к системам и информации только легальным способом, после авторизации;

• сотрудник подтверждает право компании осуществлять мониторинг его деятельности.

Рекомендуемый объем политики информационной безопасности не должен превышать двух страниц.

Реализация политики достигается использованием стандартов, процедур, руководств.

Что принимается во внимание? Для эффективности политики безопасности необходимо, чтобы политика:

• была простой для понимания,

• основывалась на требованиях бизнеса,

• была реализуемой,

• поддерживала баланс между безопасностью и производительностью,

• была доступна всем сотрудникам для ознакомления,

• не противоречила другим политикам компании,

• не противоречила требованиям законодательства,

• ясно определяла ответственность сотрудников за ее нарушение,

• была регулярно обновляемой.

Стандарты. Требования к стандартам:

• каждый стандарт должен поддерживать выполнение бизнес-целей компании, соответствовать требованиям существующего законодательства и действующим в компании политикам;

• стандарт должен быть разработан для защиты информации, в то же время он не должен затруднять получение доступа к информации сотрудникам компании;

• стандарт должен разрабатываться совместными усилиями бизнес-менеджеров и технических экспертов;

• стандарт не должен противоречить требованиям политики информационной безопасности.

За основу при разработке стандартов компания Symantec рекомендует использовать стандарт ISO 17799:2005.

Процедуры. Следующим уровнем документов являются процедуры. Роль процедуры – определить, как реализуются и администрируются средства безопасности. Процедуры являются своего рода «библией» для сотрудников компании, их ежедневным руководством к действию. Процедуры, в отличие от политики и стандартов, являются часто изменяющимися документами, поэтому важно иметь в компании хорошую процедуру управления изменениями документов. Каждая процедура должна быть написана в соответствии с общим шаблоном, разработанным для процедур, быть доступной сотрудникам как в электронном, так и в бумажном виде. Так как некоторые процедуры могут содержать конфиденциальную информацию, то доступ к ним может быть ограничен, что регулируется

отдельным стандартом.

Рекомендуемыми элементами процедур безопасности являются:

 цель процедуры:

– для соответствия какому стандарту она разработана;

– для чего нужна процедура;

 область действия процедуры:

– к каким системам, сетям, приложениям, категориям персонала, помещениям применима процедура;

– какая роль необходима для выполнения процесса;

– что нужно знать для выполнения процесса;

 определение процесса:

– введение в процесс(описание);

– детальное описание процесса (как, когда, что, критерии успеха, виды отчетов, взаимодействие с другими процессами);

 контрольный список процесса;

• проблемы процесса (действия при возникновении проблем).

2.6.1. Описание политики безопасности

Организация SANS выработала свой подход в понимании политики информационной безопасности и ее составляющих. В терминологии SANS политика информационной безопасности – многоуровневый документированный план обеспечения информационной безопасности компании:

• верхний уровень – политики;

• средний уровень – стандарты и руководства;

• низший уровень – процедуры.

Далее документы разбиваются на следующие основные категории:

• утверждение руководства о поддержке политики информационной безопасности;

• основные политики компании;

• функциональные политики;

• обязательные стандарты (базовые);

• рекомендуемые руководства;

• детализированные процедуры.

Стандарты детализируют различия по настройке безопасности в отдельных операционных системах, приложениях и базах данных.

Руководства представляют из себя рекомендуемые, необязательные к выполнению действия по предупреждению проблем, связанных с различными аспектами информационной безопасности.

Процедуры – детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять.

При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип «знать только то, что необходимо для выполнения служебных обязанностей» и использовать разделение обязанностей на критичных системах.

Различают следующие типы политик безопасности:

• направленные на решение конкретной проблемы – примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Интернета;

• программные – высокоуровневые политики, определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов;

• применяемые к конкретной среде – например, каждая операционная система требует отдельного стандарта по ее настройке.

Рекомендуемые компоненты политики безопасности:

• цель,

• область действия,

• утверждение политики,

• история документа,

• необходимость политики,

• какие политики отменяет,

• действия по выполнению политики,

• ответственность,

• исключения,

• порядок и периодичность пересмотра.

Организация SANS разработала ряд шаблонов политик безопасности:

• политика допустимого шифрования,

• политика допустимого использования,

• руководство по антивирусной защите,

• политика аудита уязвимостей,

• политика хранения электронной почты,

• политика использования электронной почты компании,

• политика использования паролей,

• политика оценки рисков,

• политика безопасности маршрутизатора,

• политика обеспечения безопасности серверов,

• политика виртуальных частных сетей,

• политика беспроводного доступа в сеть компании,

• политика автоматического перенаправления электронной почты компании,

• политика классификации информации,

• политика в отношении паролей для доступа к базам данных,

• политика безопасности лаборатории демилитаризованной зоны,

• политика безопасности внутренней лаборатории,

• политика экстранет,

• политика этики,

• политика лаборатории антивирусной защиты.

2.6.2. Пример политики аудита безопасности [11]

Цель. Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых других компонент информационных систем компании.

Аудит может быть проведен для:

• гарантии целостности, конфиденциальности и доступности информационных ресурсов компании;

• расследования возможных инцидентов в области безопасности компании;

• мониторинга деятельности сотрудников и активности информационной системы в целом.