Чтение онлайн

 уменьшение стоимости страхования;

Страхование – важная составляющая управления информационными рисками. Наличие политик информационной безопасности является необходимым и обязательным условием страхования. В России уже появились фирмы, предлагающие страховать информационные риски, например «Ингосстрах» и «РОСНО». Стоимость страхования страховая компания определяет путем проведения аудита информационной безопасности независимой компанией, специализирующейся в этой области. Например, компания «Центр финансовых технологий» (интернет-проект Faktura.ru) заключила договор комплексного страхования информационных рисков с «Ингосстрахом». Сумма ответственности составила 500 тыс. долларов. Аудит проводила компания ОАО «Элвис+».

 экономическая целесообразность;

По рекомендациям ведущих компаний в области безопасности, от 60 до 80 % всех усилий по обеспечению безопасности должны быть направлены на разработку политик безопасности и сопутствующих документов. Вы спросите, почему?

Как видно из диаграммы (рис. 1.15), разработанной Стивеном Россом (Delloitte & Touche), каждая политика безопасности может являться как самым дешевым, так и одновременно самым эффективным способом обеспечения информационной безопасности.

 хорошая

бизнес-практика.

Наличие политик информационной безопасности является правилом хорошего тона. В опросе, проведенном в Великобритании компанией PriceWaterhouseCoopers в 2002 году, 67 % компаний назвали именно эту причину создания политик информационной безопасности.

Даже такие высокотехнологичные компании, как Cisco, заявляют, что правильно сформулированная политика информационной безопасности лучше технических средств обеспечения информационной безопасности. Подход Cisco к проблемам создания защищенной инфраструктуры (рис. 1.16) показывает, что именно политики информационной безопасности являются краеугольным камнем, вокруг которого строится вся система обеспечения безопасности.

Таким образом, политики обеспечения информационной безопасности необходимы для успешной организации режима информационной безопасности любой отечественной компании. Политики безопасности минимизируют влияние «человеческого фактора» и недостатки существующих технологий защиты информации. Кроме того, политики безопасности дисциплинируют сотрудников компании и позволяют создать корпоративную культуру безопасности.

Прежде чем мы начнем искать ответ на поставленный вопрос, поговорим немного о проблеме доверия.

1.4.1. Кому и что доверять

От правильного выбора уровня доверия к сотрудникам зависит успех или неудача реализации политики безопасности компании. При этом слишком большой уровень доверия может привести к возникновению проблем в области безопасности, а слишком малый – заметно затруднить работу сотрудника, вызвать у него недоверие и даже привести к увольнению. Насколько можно доверять сотрудникам компании? Обычно используют следующие модели доверия:

• доверять всем и всегда – самая простая модель доверия, но, к сожалению, непрактичная;

• не доверять никому и никогда – самая ограниченная модель доверия и также непрактичная;

• доверять избранным на время – модель доверия подразумевает определение разного уровня доверия на определенное время. При этом доступ к информационным ресурсам компании предоставляется по необходимости для выполнения служебных обязанностей, а средства контроля доступа используются для проверки уровня доверия к сотрудникам компании.

Вряд ли существует компания, в которой следуют модели доверия «доверять всем и всегда». В сегодняшнем мире это нереально. То же самое относится и ко второй модели – «не доверять никому и никогда». Поэтому самая реалистичная модель доверия – «доверять некоторым из сотрудников компании на время».

1.4.2. Трудности внедрения политик безопасности

Опыт создания политик безопасности авторами показывает, что внедрение политики безопасности часто приводит к возникновению напряженности во взаимоотношениях между сотрудниками компании. Это в основном связано с тем, что сотрудники часто стараются не следовать каким-либо правилам безопасности, так как не хотят себя ограничивать в своих действиях. Другая причина в том, что каждый сотрудник имеет свое представление (не обязательно солидарное с принятой в компании политикой безопасности) о необходимости и способах организации режима информационной безопасности в компании. Например, сотрудники контура сбыта заинтересованы в оперативном исполнении своих обязанностей без каких-либо задержек, связанных с применением средств защиты информации. Персонал службы поддержки часто заинтересован только в простоте эксплуатации администрируемых ими информационных систем. ТОР-менеджмент компании заинтересован прежде всего в оптимизации затрат и уменьшении общей стоимости владения (ТСО) корпоративной системы защиты информации. Получить одобрение всех положений политики безопасности у перечисленных групп сотрудников компании – трудная и практически неосуществимая задача. Поэтому лучше всего попробовать достигнуть некоторого компромисса.

1.4.3. Кто заинтересован в политиках безопасности?

Политики безопасности затрагивают практически каждого сотрудника компании. Сотрудники службы поддержки будут осуществлять и поддерживать правила безопасности компании. Менеджеры заинтересованы в обеспечении безопасности информации для достижения своих целей. Юристы компании и аудиторы заинтересованы в поддержании репутации компании и предоставлении определенных гарантий безопасности клиентам и партнерам компании. Рядовых сотрудников компании политики безопасности затрагивают больше всего, поскольку правила безопасности накладывают ряд ограничений на поведение сотрудников и затрудняют выполнение работы.

1.4.4. Состав группы по разработке политик безопасности

Буклет SAGE «А Guide to Developing Computing Policy Documents» рекомендует следующий состав рабочей группы по разработке политик безопасности:

• член совета директоров;

• представитель руководства компании (СЕО, финансовый директор, директор по развитию);

• СЮ (директор службы автоматизации);

• CISO (директор по информационной безопасности);

• аналитик службы безопасности;

• аналитик ИТ-службы;

• представитель юридического отдела;

• представитель от пользователей;

• технический писатель.

Численность группы по разработке политик безопасности будет зависеть от широты и глубины проработки политик безопасности. Например, разработка политик безопасности для офисной сети в 40–50

узлов может занять один человекомесяц.

1.4.5. Процесс разработки политик безопасности

Если это возможно, то о том, что разрабатывается новая политика информационной безопасности компании, необходимо уведомить сотрудников заранее. До начала внедрения новой политики безопасности желательно предоставить сотрудникам текст политики на одну-две недели для ознакомления и внесения поправок и комментариев. Также надо учитывать, что без прав нет обязанностей, то есть сотрудники, на которых распространяются правила безопасности, должны обладать всеми необходимыми полномочиями для того, чтобы выполнять эти правила.

1.4.6. Основные требования к политике безопасности

В идеале политика безопасности должна быть реалистичной и выполнимой, краткой и понятной, а также не приводить к существенному снижению общей производительности бизнес-подразделений компании. Политика безопасности должна содержать основные цели и задачи организации режима информационной безопасности, четкое описание области действия, а также указывать на ответственных и их обязанности. Например, по мнению специалистов Cisco, желательно, чтобы описание политики безопасности занимало не более двух (максимум пяти) страниц текста. При этом важно учитывать, как политика безопасности будет влиять на уже существующие информационные системы компании. Как только политика утверждена, она должна быть представлена сотрудникам компании для ознакомления. Наконец, политику безопасности необходимо пересматривать ежегодно, чтобы отражать текущие изменения в развитии бизнеса компании.

1.4.7. Уровень средств безопасности

Хорошо написанные политики безопасности компании должны позволять балансировать между достигаемым уровнем безопасности и получаемым уровнем производительности корпоративных информационных систем компании. Одна из основных целей политики безопасности состоит в том, чтобы обосновать и внедрить средства защиты информации, адекватные целям и задачам бизнеса. Выбор необходимых средств защиты информации для определенной политики безопасности не всегда понятен и легко определяем. Здесь решающую роль играют необходимость организации режима информационной безопасности, а также бизнес-культура компании. При этом если правила политики безопасности слишком ограничительны или слишком жестки, для того чтобы их внедрять и соответствовать им в дальнейшем, то либо они будут игнорироваться, либо сотрудники компании найдут способ обойти средства безопасности.

1.4.8. Примеры политик безопасности

В настоящее время ряд ведущих компаний в области безопасности выделяют следующие политики:

• допустимого шифрования,

• допустимого использования,

• аудита безопасности,

• оценки рисков,

• классификации данных,

• управления паролями,

• использования ноутбуков,

• построения демилитаризованной зоны (DMZ),

• построения экстранет,

• безопасности рабочих станций и серверов,

• антивирусной защиты,

• безопасности маршрутизаторов и коммутаторов,

• безопасности беспроводного доступа,

• организации удаленного доступа,

• построения виртуальных частных сетей (VPN) и пр.,

• безопасности периметра.

Политика допустимого использования информационных ресурсов компании определяет права и ответственность сотрудников компании за надлежащую защиту конфиденциальной информации компании. В частности, политика допустимого использования определяет, могут ли сотрудники компании читать и копировать файлы, владельцами которых они не являются, но к которым имеют доступ. Также эта политика устанавливает правила допустимого использования корпоративной электронной почты, служб новостей и процедур доступа к сети компании.

Примерный текст из описания политики допустимого использования:

«Сотрудники несут личную ответственность за безопасность любой информации, используемой и/или сохраненной с применением их учетных записей в компании. Используйте руководство пользователя для получения рекомендаций по защите вашей учетной записи и информации с использованием стандартных методов безопасности на уровне операционной системы или при помощи программного обеспечения для шифрования типа PGP. Конфиденциальная информация компании или сторонних организаций не должна храниться (или быть переданной) на компьютерах, не принадлежащих компании».

«Сотрудники не должны пытаться получить доступ к любым данным или программам, находящимся на рабочих станциях и серверах компании, если они не имеют соответствующего разрешения или явного согласия владельца этих информационных ресурсов».

Политика организации удаленного доступа определяет допустимые способы удаленного соединения с корпоративной информационной системой. Представляет собой основной документ безопасности в крупных транснациональных компаниях с географически разветвленной сетью. Должна описывать все доступные способы удаленного доступа к внутренним информационным ресурсам компании: доступ по коммутируемым сетям (SLIP, РРР), доступ с использованием ISDN/Frame Relay, Telnet/SSH-доступ через Интернет, выделенную линию/VPN/DSL и пр.

Примерный текст из описания политики организации удаленного доступа:

1. Сотрудники, менеджеры по продажам и выездные специалисты компании, обладающие удаленным доступом к корпоративной сети компании, несут такую же ответственность, как и в случае локального подключения к сети компании.

2. Для членов семьи сотрудника компании доступ к Интернету через сеть компании разрешается только в случае оплаты трафика самим сотрудником. При этом сотрудник компании несет личную ответственность за то, чтобы член его семьи не нарушил правила политик безопасности компании, не выполнил противозаконные действия и не использовал удаленный доступ для собственных деловых интересов. Сотрудник компании также несет ответственность за последствия неправильного использования удаленного доступа.

3. При осуществлении удаленного доступа к корпоративной сети, пожалуйста, ознакомьтесь со следующими политиками безопасности:

а) политика допустимого шифрования,

б) политика организации виртуальных частных сетей,

в) политика безопасности беспроводного доступа,

г) политика допустимого использования.

4. Для получения дополнительной информации относительно удаленного доступа, включения и отключения услуги, поиска неисправностей и т. д., обращайтесь на Web-сайт службы организации удаленного доступа к информационным ресурсам компании».