Политики безопасности компании при работе в Интернет
Шрифт:
Область действия. Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки класса «отказ в обслуживании».
Политика. Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения аудита безопасности (технические проекты, карта сети, положения и инструкции и пр.).
Доступ к информационной системе включает:
• доступ на уровне пользователя или системный доступ к любому оборудованию системы;
• доступ к данным (в электронном виде, в виде бумажных копий
• доступ в помещения (лаборатории, офисы, серверные и т. д.);
• доступ к сетевому трафику.Управление сетью. Если в компании доступ из корпоративной сети в Интернет обеспечивается сторонней организацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.
Уменьшение производительности и/или недоступность сервиса. Компания освобождает аудиторов от любой ответственности, связанной с уменьшением сетевой производительности или недоступностью сервисов, вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.
Контактные лица компании при проведении аудита. Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам, возникающим во время проведения аудита безопасности.
Период сканирования. Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.
Процесс оценки рисков. Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.
Ответственность. К любому сотруднику компании, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.Глава 3 РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО СОЗДАНИЮ ПОЛИТИК БЕЗОПАСНОСТИ
В последнее время в разных странах появилось новое поколение стандартов в области информационной безопасности, посвященных практическим вопросам обеспечения информационной безопасности в компаниях и организациях. Это, прежде всего, международные стандарты ISO/IEC 17799:2005 (BS 7799-1:2002), ISO/IEC 15408, ISO/IEC TR 13335, германский стандарт BSI IT Protection Manual, стандарты NIST США серии 800, стандарты и библиотеки CobiT, ITIL, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. В соответствии с названными стандартами политики безопасности компании должны явно определять следующее:
• предмет политики безопасности, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании по отношению к выполнению политики безопасности и организации режима информационной безопасности компании в целом;
• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;
• порядок действий в чрезвычайных ситуациях в случае нарушения политики безопасности.
В этой главе нам предстоит рассмотреть, насколько рекомендации перечисленных стандартов безопасности могут быть полезны для разработки политик безопасности в отечественных компаниях.
3.1. Стандарты ISO/IEC 17799:2005 (BS 7799-1:2002)
В настоящее время международный стандарт ISO/IEC 17799:2005 (BS 7799-1:2002) «Управление информационной безопасностью – Информационные технологии» («Information Technology – Information Security Management») является наиболее известным стандартом в области защиты информации (см. рис. 3.1). Алгоритм применения стандарта ISO 17799 представлен на рис. 3.2. Данный стандарт был разработан на основе первой части британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» («Information Security Management – Part 1: Code of Practice for Information Security Management») и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2005 (BS 7799-1:2002) рассматривает следующие актуальные вопросы
обеспечения информационной безопасности организаций и предприятий (см. рис. 3.3):• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• вопросы безопасности, связанные с персоналом;
Рис. 3.1. Характеристика современных стандартов безопасности
Рис. 3.2. Алгоритм применения стандарта ISO 17799
Рис. 3.3. Основные области применения стандарта ISO 17799
• физическая безопасность;
• администрирование безопасности корпоративных информационных систем;
• управление доступом;
• требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения информационной безопасности;
• внутренний аудит информационной безопасности компании;
• обеспечение непрерывности бизнеса;
• соответствие требованиям.
Вторая часть стандарта BS 7799-2:2002 «Спецификации систем управления информационной безопасностью» («Information Security Management – Part 2: Specification for Information Security Management Systems») определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта (см. рис. 3.4).
Рис. 3.4. Состав рабочей документации для сертификации по требованиям стандарта BS 7799-2
В соответствии с положениями этого стандарта также регламентируется процедура аудита безопасности информационных корпоративных систем (рис. 3.5).
Рис. 3.5. Рекомендуемые этапы проверки режима информационной безопасности компании
Стандарт ISO 17799 (BS 7799) позволяет задать правила безопасности и определить политики безопасности компании. Так, например, в табл. 3.1 представлены контрольные вопросы согласно стандарта BS 7799-2, позволяющие оценить систему управления информационной безопасностью компании и задать правила безопасности.
Дополнительные рекомендации по разработке корпоративных политик безопасности содержат руководства Британского института стандартов (British Standards Institution, BSI) (www.bsi-global.com). изданные в период 1995–2005 годов в виде следующей серии:
• «Введение в проблему управления информационной безопасностью» («Information Security Management: An Introduction»);
• «Возможности сертификации на соответствие требованиям стандарта BS 7799» («Preparing for BS 7799 Certification»);
• Подготовка к сертификации по требованиям стандарта BS 7799-2 («Preparing for BS 7799-2 Certification (PD3001:2002)»);
• «Руководство по оценке и управлению рисками в соответствии с требованиями BS 7799» («Guide to BS 7799 Risk Assessment and Risk Management»);