Как составить политику информационной безопасности

Политика информационной безопасности — опыт разработки и рекомендации

Время на прочтение
7 мин

Количество просмотров 155K

imageВ данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.

Здесь вы сможете найти ответы на вопросы:

  • для чего нужна политика информационной безопасности;
  • как ее составить;
  • как ее использовать.
Необходимость наличия политики ИБ

В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.

Понимание целей и задач подразделения информационной безопасности

imageПрежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.

Требования политики — основание для внедрения защитных мер

Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)

imageЛюбая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.

При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:

  • почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
  • кто это все придумал

Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток.
При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:

данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании

Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?

Рекомендации по разработке политики ИБ

При разработке политики следует помнить о двух моментах.

  • Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
  • Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.


Конечный документ должен удовлетворять следующим требованиям:

  • лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
  • доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)

Каким образом этого добиться?

На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.

image

Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.

Анализ политик ИБ существующих компаний

ОАО «Газпромбанк» — www.gazprombank.ru/upload/iblock/ee7/infibez.pdf
АО «Фонд развития предпринимательства „Даму“ — www.damu.kz/content/files/PolitikaInformatsionnoyBezopasnosti.pdf
АО НК „КазМунайГаз“ — www.kmg.kz/upload/company/Politika_informacionnoi_bezopasnosti.pdf
ОАО „Радиотехнический институт имени академика А. Л. Минца“ — www.rti-mints.ru/uploads/files/static/8/politika_informacionnoy_bezopasnosti_rti.pdf

  Полезное количество страниц* Загруженность терминами Общая оценка
ОАО „Газпромбанк“ 11 Очень высокая Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО „Фонд развития предпринимательства “Даму» 14 Высокая Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО НК «КазМунайГаз» 3 Низкая Простой для понимания документ, не перегруженный техническими терминами
ОАО «Радиотехнический институт имени академика А. Л. Минца» 42 Очень высокая Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц

* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации

Резюме

Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.

Внедрение и использование политики ИБ

После утверждения политики ИБ необходимо:

  • ознакомить с политикой всех уже работающих сотрудников;
  • ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
  • проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
  • принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
  • разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
  • не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.

По вопросам и предложениям добро пожаловать в комментарии и личку.

UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).

Вопрос %username%

Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.

Ответ bugaga0112358

Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.

Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.

Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.

Вопрос %username%

Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?

Ответ bugaga0112358

Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.

Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.

Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.

То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.

Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.

В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.

Итого, у вас появляется необходимость ознакомить юзера с двумя документами:

  • политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
  • этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)

Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).

Политикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.

За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными. Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.

Для чего нужна формализация защиты информации

Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.

Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.

Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.

Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.


В DLP-системах политика безопасности – алгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «СёрчИнформ КИБ» разработано 250+ готовых политик безопасности, которые предназначены компаниям из разных сфер.


Несостоявшиеся политики

Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.

Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.

Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.

К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.

Разработка эффективной системы информационной безопасности

Для создания эффективной системы информационной безопасности должны быть разработаны:

  • концепция информационной безопасности (определяет в целом политику, ее принципы и цели);
  • стандарты (правила и принципы защиты информации по каждому конкретному направлению);
  • процедура (описание конкретных действий для защиты информации при работе с ней: персональных данных, порядка доступа к информационным носителям, системам и ресурсам);
  • инструкции (подробное описание того, что и как делать для организации информационной защиты и обеспечения имеющихся стандартов).

Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.

Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.

Структура концепции защиты

Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.

Основными разделами концепции безопасности являются:

  • определение ИБ;
  • структура безопасности;
  • описание механизма контроля над безопасностью;
  • оценка риска;
  • безопасность информации: принципы и стандарты;
  • обязанности и ответственность каждого отдела, управления или департамента в осуществлении защиты информационных носителей и прочих данных;
  • ссылки на иные нормативы о безопасности.

Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.

Перечень основных требований к документации по безопасности

Политику безопасности надо формулировать с учетом двух основных аспектов:

  1. Целевая аудитория, на которую рассчитана вся информация по безопасности – руководители среднего звена и рядовые сотрудники не владеют специфической технической терминологией, но должны при ознакомлении с инструкциями понять и усвоить предоставляемую информацию.
  2. Инструкция должна быть лаконичной и при этом содержать всю необходимую информацию о проводимой политике. Объемный «фолиант» никто подробно изучать не будет, а тем более запоминать.

Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:

  • они должны быть составлены простым русским языком, без использования специальных технических терминов;
  • текст по безопасности должен содержать цели, пути их достижения с указанием назначения меры ответственности за несоблюдение ИБ. Все! Никакой технической или иной специфической информации.

Организация и внедрение ИБ

После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:

  • ознакомить коллектив с утвержденной политикой обработки информации;
  • знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения);
  • тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков;
  • активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ;
  • составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.);
  • раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно мониторить и изучать существующие угрозы ИБ.

Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы, компании, у которых нет выделенной ИБ-службы, могут воспользоваться аутсорсингом информационной безопасности. 


Лица, пытающиеся получить несанкционированный доступ к информации

В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.

Потенциальные внешние нарушители:

  1. Посетители офиса.
  2. Ранее уволенные сотрудники (особенно те, кто ушел со скандалом и знает, как получить доступ к информации).
  3. Хакеры.
  4. Сторонние структуры, в том числе конкуренты, а также криминальные группировки.

Потенциальные внутренние нарушители:

  1. Пользователи компьютерной техники из числа сотрудников.
  2. Программисты, системные администраторы.
  3. Технический персонал.

Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.

При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

В статье специалисты аналитического центра Falcongaze SecureTower перечисляют требования, предъявляемые к политике информационной безопасности, описывают этапы создания и актуализации, а также принципы реализации этого документа. Материал будет особенно полезен специалистам, перед которыми поставлена задача создать политику информационной безопасности организации, отдела, процесса или области работы компании, которая учитывает все необходимые правила.

Основные требования к политике информационной безопасности

В системе менеджмента информационной безопасности (СМИБ) термин «политика» означает официальные намерения и направления деятельности организации (см. ГОСТ Р ИСО/МЭК 27000-2021). Они должны быть установлены высшим руководством в виде, например, политики информационной безопасности.

Согласно ГОСТ Р ИСО/МЭК 27001-2021 политика ИБ как документ должна:

  • соответствовать целям деятельности компании;
  • содержать цели ИБ, подход к их достижению (или обеспечивать основу для их установления);
  • содержать обязательство соответствовать требованиям, которые относятся к информационной безопасности;
  • содержать обязательство постоянно улучшать СМИБ.

С позиции защиты информации под политикой безопасности информации организации подразумевается совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности (см. ГОСТ Р 50922-2006).

Отметим, что документ не обязательно должен иметь название «политика информационной безопасности». В зависимости от принятой в компании системы наименований видов документов аналогами «политики» может быть «концепция», «регламент», «стандарт», «инструкция» или «правила» информационной безопасности.

Политики информационной безопасности высокого и низкого уровня

В ГОСТ Р ИСО/МЭК 27002-2021 изложен двухуровневый подход создания политик ИБ компании. Описано, что в организации могут существовать одна политика ИБ высокого уровня и несколько политик ИБ низкого уровня. Они могут быть оформлены как один документ либо как отдельные, но связанные документы. В учебной литературе можно встретить теоретические подходы к разработке политик информационной безопасности и документов, связанных с ними, на более чем двух уровнях (Схема 1).

Схема 1

Уровни документов, связанных с политикой информационной безопасности

Уровни документов, связанных с политикой информационной безопасности

Уточним, что подход создания нескольких отдельных документов с практической точки зрения не будет удобен, например, для МСП. Однако в крупных и особо крупных организациях или холдингах, где процессы, области или направления обеспечения ИБ детально регламентированы и включают большое количество лиц, отвечающих за реализацию мер обеспечения информационной безопасности и сотрудников, решающих соответствующие задачи, существование нескольких отдельных политик информационной безопасности – распространённая практика.

Рассмотрим двухуровневый подход к созданию политик информационной безопасности.

В политике ИБ высокого уровня должен быть изложен подход к формированию и достижению целей информационной безопасности. Утверждать такой документ должно непосредственно руководство компании. Требования, содержащиеся политике ИБ высокого уровня, должны учитывать:

  • бизнес-стратегию организации;
  • нормативные акты и требования регуляторов;
  • текущую и прогнозируемую среду угроз информационной безопасности.

Обязательные положения, которые должны содержаться в политике ИБ высокого уровня, должны включать:

  • определение информационной безопасности;
  • цели и принципы, которыми необходимо руководствоваться в рамках деятельности, связанной с информационной безопасностью;
  • определение ролей по менеджменту информационной безопасности;
  • распределение общих и конкретных обязанностей;
  • процессы обработки отклонений и исключений;
  • лиц, несущих ответственность за неисполнение политик информационной безопасности.

Назначение политик ИБ низкого уровня – поддержка политики ИБ высокого уровня. Они могут относиться к определённым областям или направлениям в обеспечении информационной безопасности (Схема 2), которые требуют внедрения мер обеспечения информационной безопасности.

Схема 2

Области, которые регулируются политиками информационной безопасности

Области, которые регулируются политиками информационной безопасности

Что нужно знать, чтобы создать политику информационной безопасности

Эффективная политика ИБ, которая будет работать как одна из мер обеспечения информационной безопасности, основывается на следующих сведениях:

  • перечень информации, которая подлежит защите в компании;
  • сведения об организации хранения такой информации, схема субъектов и объектов доступа к ним;
  • существующие уязвимости;
  • угрозы безопасности информации (приоритизированные в результате анализа рисков);
  • модели нарушителей безопасности информации;
  • меры обеспечения информационной безопасности, применяемые в организации;
  • имеющиеся информационные и технические ресурсы, а также внедрённые программные средства защиты информации и информационной системы;
  • сведения о системе контроля и оценки информационной безопасности в компании.

Алгоритм создания политики информационной безопасности

Алгоритм создания политики информационной безопасности состоит из трёх этапов:

Этап 1. Составить текст проекта политики ИБ. К этой работе следует привлечь ответственных лиц, в некоторых случаях для такой работы утверждают специальную комиссию. Точное поручение с конкретной задачей (например, с областью, которая должна регулироваться политикой ИБ) часто излагается в распорядительных документах (приказах, распоряжениях). Текст проекта политики информационной безопасности должен быть изложен в актуальной, доступной и понятной для предполагаемого читателя форме.

Этап 2. Согласовать финальный вариант политики ИБ с руководителями, утвердить его у высшего руководства организации. Опубликовать итоговый файл в виде документа, который должен быть доступен работникам организации и всем заинтересованным сторонам (если они есть).

Этап 3. Довести до сведения всех работников организации и соответствующих внешних сторон утверждённый документ «Политика информационной безопасности» (для этого следует инициировать процедуру ознакомления) и ввести его в действие.

Алгоритм актуализации политики информационной безопасности

В компании должна существовать практика актуализации политики информационной безопасности. Причины этого действия могут быть:

  • плановыми. Политику ИБ, как и любой другой руководящий документ, следует проверять на необходимость внесения изменений спустя определённые интервалы времени, установленные в компании.
  • внеплановыми. Такая актуализация может понадобиться, если произошли существенные внутренние изменения или внешние изменения, влияющие на среду организации, а, следовательно, и на корректность текста политики ИБ. Например, внеплановые изменения понадобятся, если в компании изменились рабочие процессы или используемые информационные и программно-технические ресурсы, произошёл пересмотр угроз информационной безопасности или переоценка рисков, вступили в силу новые законодательные требования, которые касаются информационной безопасности в организации и т.д.

Алгоритм пересмотра и актуализации политики информационной безопасности состоит из трёх этапов:

Этап 1. Пересмотреть текст действующей политики ИБ в установленный срок (для запуска процесса рекомендуется издать распорядительный документ). Делать это должен либо прежний разработчик политики ИБ, либо другое лицо, назначенное ответственным за её актуализацию. Работа, проведённая на этом этапе, может быть включена в документ, который имеет вид отчёта или заключения. В него следует включить конкретные предложения всех необходимых изменений.

Этап 2. Систематизировать и приоритизировать все предложенные изменения. Заниматься этим может как сотрудник, упомянутый в Этапе 1, так и специалисты, ответственные за процессы или области, к которым относятся изменения.

Этап 3. Согласовать все необходимые правки, внести изменения в уже существующий документ, а затем утвердить новую политику информационной безопасности, отменив действие прежнего документа.

Принципы реализации политики информационной безопасности

При создании политики информационной безопасности следует учитывать пять главных принципов, соблюдение которых позволит сформировать документ, который будет выполнять функцию реальной и работающей меры обеспечения информационной безопасности. Перечислим их.

Принцип 1. Исключение неоднозначности установленных правил, норм, положений. Разработчики не всегда компетентны сразу во всех областях политики информационной безопасности. Поэтому важно не нарушать этапы создания документа: например, не сокращать время, необходимое для согласования разделов, не исключать из этого процесса лиц, ответственных за процессы в какой-либо области, которая регулируется политикой ИБ.

Принцип 2. Осведомлённость о самых слабых местах в системе защиты информации. По опыту, в большинстве случаев проблемы с обеспечением информационной безопасности связаны с тем, как сотрудники компании взаимодействуют с информационными активами. По этой причине важно уделять достаточное внимание регламентации таких действий и порядку их контроля.

Принцип 3. Исключение небезопасного состояния. Не имеет значения, сколько требований, программных средств защиты и мер обеспечения информационной безопасности внедрено в систему информационной безопасности компании. Главное, чтобы усилия и средства (человеческие, финансовые), которые затрачиваются на обеспечение информационной безопасности, были достаточными. В таком случае они будут способны защитить организацию от установленных рисков в любых, даже нештатных ситуациях. Например, если деятельность организации связана с персональными данными и главной угрозой её информационной безопасности является утечка данных, в первую очередь следует обратить внимание на такой класс программных продуктов, как DLP-системы. Изучить функционал DLP-системы Falcongaze SecureTower можно бесплатно, а после 30 дней тестового использования информация, собранная за это время, поможет сформировать точное представление о слабых местах в системе, регламентировать действия, связанные с ними, в политике информационной безопасности, и устранить самые приоритетные угрозы.

Принцип 4. Минимизация привилегий. В политике информационной безопасности для каждой роли сотрудника должен быть установлен определённый уровень доступа к тем объектам информации, с которыми ему требуется взаимодействовать в рамках своих должностных обязанностей. Управление такими параметрами должно быть строго регламентировано, также обязательно проводить периодический контроль их соблюдения.

Принцип 5. Распределение ответственности. В политике информационной безопасности не должны быть установлены требования, в соответствии с которыми ответственность, например, за контроль исполнения процесса возложена лишь на одного человека.

Разработка политики информационной безопасности

Цель работы

Изучить структуру типовой политики информационной безопасности и научиться составлять частную политику информационной безопасности.

Теоретическая часть

В современной практике термин «политика безопасности» может
употребляться как в широком, так и в узком смысле слова. В широком
смысле политика безопасности определяется как система
документированных управленческих решений по обеспечению безопасности
организации. В узком смысле под политикой безопасности обычно понимают
локальный нормативный документ, определяющий требования безопасности,
систему мер, либо порядок действий, а также ответственность сотрудников
организации и механизмы контроля для определенной области обеспечения
безопасности.

Примерами таких документов могут служить:

  • Правила работы пользователей в корпоративной сети;
  • Правила работы пользователей в корпоративной сети;
  • Политика обеспечения безопасности при взаимодействии с сетью Интернет;
  • Антивирусная политика, инструкция по защите от компьютерных вирусов;
  • Политика выбора и использования паролей;
  • Правила предоставления доступа к ресурсам корпоративной сети;
  • Политика установки обновлений программного обеспечения;
  • Политика и регламент резервного копирования и восстановления данных;
  • Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.

Разработка политик безопасности собственными силами – длительный
трудоемкий процесс, поэтому на практике адаптируют следующий ряд докуметов:

  • ISO 17799;
  • ISO 9001;
  • ISO 15408;
  • BSI;
  • COBIT;
  • ITIL;
  • etc.

Основными нормативными документами в области информационной безопасности выступают:

  • «Общие критерии оценки безопасности информационных технологий» (ISO 15408),которые определяют функциональные требования безопасности и требования адекватности реализации функций безопасности;
  • «Практические правила управления информационной безопасностью» (ISO 17799).

Для того, чтобы сформировать и определить политику информационной безопасности, понадобятся следующие исходные данные:

  • Необходимо определить информацию, которая подлежит защите, и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией;
  • Определить топологии средств автоматизации (физической и логической);
  • Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа;
  • Определить угрозы безопасности информации и создать модель нарушителя;
  • Обнаружить и описать известные угроз и уязвимости;
  • Расположить угрозы по убыванию уровня риска (провести анализ рисков).

Ответственность и обязательства персонала

Эффективная информационная безопасность требует
соответствующего участия персонала. Персонал ответственен за свои
действия и, следовательно, отвечает за все события и последствия под своим
идентификационным кодом пользователя (логин/пароль). Придерживаться
политик и процедур доступа к сетям и системам – обязанность персонала.

Ответственность персонала включает, но не ограничивается следующим:

  • считывать и передавать только данные, на которые у Вас есть авторизованные права и которые Вам положено знать, включая ошибочно адресованную электронную почту;
  • сознательно придерживаться всех политик, законов и нормативных документов (локальных, федеральных, международных), касающихся использованию компьютерных систем и программ;
  • сообщать о нарушениях информационной безопасности ответственным за безопасность сотрудникам, тесно сотрудничать в расследованиях злоупотреблений и неправомерных действий персонала с ИТ ресурсами;
  • защищать назначенные Вам имя и коды пользователя, пароли, другие ключи доступа от раскрытия;
  • оберегать и содержать конфиденциальную печатную информацию, магнитные и электронные носители в предназначенных для этого местах, когда они не в работе и размещать их в соответствии с политикой компании;
  • использовать только приобретенное компанией и лицензионное программное обеспечение, разрешенное для использования внутри компании, устанавливать программы и сервисы только через сотрудника ИТ подразделения;

Политика разрешения доступа к технологическим ресурсам

Политика разрешения доступа к технологическим ресурсам
подразделения, службы, отделы, чья деятельность связана с использованием
ИТ ресурсов компании, выдачей разрешений доступа к этим ресурсам.
Описывает процедуры, которые должны быть выполнены всеми участниками
процесса разрешения доступа к ИТ ресурсам компании.

Политика пользования электронной почтой

Политика пользования электронной почтой предоставляет
персоналу разрешенные правила пользования ресурсами электронной почты
(e-mail) компании. Политика охватывает e-mail, приходящий или
отправляемый через все принадлежащие компании персональные
компьютеры, сервера, ноутбуки, терминалы, карманные переносные
компьютеры, сотовые телефоны и любые другие ресурсы, способные
посылать или принимать e-mail по протоколам SMTP, POP3, IMAP.

Антивирусная политика

Антивирусная политика применяется ко всем компьютерам сети
компании, каталогам общего пользования, к которым относятся настольные
компьютеры, ноутбуки, file/ftp/proxy серверы, терминалы, любое сетевое
оборудование, генерирующее трафик. Источниками вирусов могут быть e-mail, Интернет-сайты со скрытыми вредоносными активными элементами,
носители информации (флоппи-диски, CD-диски, flash-диски и пр.),
открытые для общего доступа папки и файлы и т.д.

Политика подготовки, обмена и хранения документов

Политика подготовки, обмена и хранения документов охватывает
все подразделения, службы, отделы, чья деятельность связана с подготовкой,
копированием, хранением, обменом документами, информацией, данными с
использованием информационно-технологических ресурсов компании.
Персонал компании должен придерживаться следующих требований по
подготовке, копированию, хранению, обмену документами, информацией,
данными , файлами…

Политика серверной безопасности

Политика серверной безопасности применяется к серверному
оборудованию, принадлежащему и используемому в компании, и к серверам,
зарегистрированным в принадлежащих компании внутренних сетевых
доменах.

Контрольные вопросы

Дайте определение политики информационно безопасности.

Политика безопасности – это совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Из каких основных документов состоит политика информационной безопасности?

  • Правила работы пользователей в корпоративной сети
  • Политика обеспечения безопасности удаленного доступа к ресурсам корпоративной сети
  • Политика обеспечения безопасности при взаимодействии с сетью Интернет
  • Антивирусная политика, инструкция по защите от компьютерных вирусов
  • Политика выбора и использования паролей;
  • Правила предоставления доступа к ресурсам корпоративной сети;
  • Политика установки обновлений программного обеспечения;
  • Политика и регламент резервного копирования и восстановления данных;
  • Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями

Назовите общее содержание политики разрешения доступа к технологическим ресурсам.

Описывает процедуры, которые должны быть выполнены всеми участниками процесса разрешения доступа к ИТ ресурсам компании
Например, весь персонал, допущенный к работе с ИТ ресурсами компании, должен:

  • иметь соответствующую компьютерную подготовку
  • пройти тестовый контроль и, при необходимости, обучение работе с корпоративными информационными системами
  • получить и иметь авторизованный доступ к выделенным ему ресурсам компании
  • ознакомиться и соблюдать политики безопасности

Что включает в себя политика пользования электронной почтой?

Она предоставляет персоналу разрешенные правила пользования ресурсами электронной почты (e-mail) компании. Политика охватывает e-mail, приходящий или отправляемый через все принадлежащие компании персональные компьютеры, сервера, ноутбуки, терминалы, карманные переносные компьютеры, сотовые телефоны и любые другие ресурсы, способные посылать или принимать e-mail по протоколам SMTP, POP3, IMAP

Назовите общее содержание антивирусная политика.

В ней описываются какое антивирусное По использовать, как часто должны выполняться антивирусные проверки, правила рабоыт пользователей с антивирусами, а также рекомендованные антивирусные процедуры, например:

  • всегда запускайте доступное на корпоративном сервере (сайте) антивирусное программное обеспечение.
  • никогда не скачивайте файлы с неизвестных, подозрительных и «зазывающих» Интернет-сайтов;

Назовите общее содержание политика подготовки, обмена и хранения документов.

Персонал компании должен придерживаться следующих требований по подготовке, копированию, хранению, обмену документами, информацией, данными, файлами.

По содержанию:

  • документы по виду и содержанию должны соответствовать официальному имиджу компании, следует употреблять общепринятую деловую лексику;
  • следует избегать употребления слов и выражений, раскрывающих критическую деятельность компании, в необходимых случаях использовать сокращения.

По хранению:

  • документы должны создаваться и храниться в папках Мои Документы;
  • критичные для компании документы после создания и обработки следует хранить в общедоступной папке ДляОбмена

По обмену электронными документами:

  • разрешено считывать, передавать, изменять только данные, на которые у Вас есть авторизованные права и которые Вам положено знать включая ошибочно доступные папки и электронную почту;
  • внутриофисный обмен файлами может выполняться через общедоступную папку на сервере

Что включает в себя политика информационно-технической поддержки?

Она охватывает и описывает все уровни поддержки персонала, выполняемые по заявкам через службу HelpDesk — единой точки контакта с персоналом.

Что включает в себя политика серверной безопасности?

Применяется к серверному оборудованию, принадлежащему и используемому в компании, и к серверам, зарегистрированным в принадлежащих компании внутренних сетевых доменах.

Все серверы компании должны быть идентифицированы:

  • имя и местонахождение;
  • перечень и версии оборудования и операционной системы;
  • главные функции и развернутые приложения. Изменения конфигураций и назначения серверов должны сопровождаться соответствующим изменением процедур управления.

Политика
информационной безопасности

представляет
собой документ, на основе которого
строится комплексная система обеспечения
безопасности информации организации
(корпорации). Политика безопасности
осуществляется в соответствии со
спецификой корпорации и законодательной
базой государства.

Для
разработки документа о политике
информационной безопасности используется
как отечественный, так и зарубежный
опыт. Ключевым документом по вопросам
информационной безопасности считается
версия 2.0 от 22.05.1998 г. Британского стандарта
BS
7799 1995 «Общие критерии оценки безопасности
информационных технологий» (ISO17799).Он
содержит практические правила по
управлению информационной безопасностью
и используется в качестве критериев
для оценки механизмов безопасности
организационного уровня, включая
административные, процедурные и
физические меры защиты.

Практические
правила разбиты на следующие 10 разделов:

  • политика
    безопасности;

  • организация
    защиты;

  • классификация
    ресурсов и их контроль;

  • безопасность
    персонала;

  • физическая
    безопасность;

  • администрирование
    компьютерных систем и вычислительных
    сетей;

  • управление
    доступом;

  • разработка и
    сопровождение информационных систем;

  • планирование
    бесперебойной работы организации;

  • контроль выполнения
    требований политики безопасности.

Формирование
политики информационной безопасности
включает
в себя
этапы
:
анализ
рисков,
определение
стратегии защиты, составление документов
политики информационной безопасности,
разработка программы реализации политики
информационной безопасности.

Анализ
рисков.

Политика безопасности строится на
основе анализа рисков, которые признаются
реальными для информационной системы
организации. При анализе рисков
выполняются следующие мероприятия:
инвентаризация, классификация, выявление
угроз, оценка рисков.

Инвентаризация
проводится для определения объема
необходимой защиты, контроля защищенности,
а также для других областей: охрана
труда, техника безопасности, страхование,
финансы. Инвентаризации подлежат:

  • ресурсы
    данных: накопители файлов, базы данных,
    документация – учебные пособия,
    инструкции и описания по работе с
    элементами ИС, документы служебного и
    производственного уровня и т. д.;

  • программные
    ресурсы: системное и прикладное
    программное обеспечение, утилиты и т.
    д.;

  • материально-техническая
    база, обеспечивающая информационные
    ресурсы: вычислительное и коммуникационное
    оборудование, носители данных (ленты
    и диски), другое техническое оборудование
    (блоки питания, кондиционеры), мебель,
    помещения и т. п.;

  • коммунальное
    и хозяйственное обеспечение: отопление,
    освещение, энергоснабжение,
    кондиционирование воздуха;

  • человеческие
    ресурсы (наличие необходимых специалистов,
    уровень их профессионализма,
    психологические качества, связи в
    коммерческом мире и т. д.).

Классификация
информационных ресурсов

производится после инвентаризации.
Ценность каждого ресурса обычно
представляется как функция нескольких
дискретных переменных.

В
качестве основной переменной, например,
выбирают степень конфиденциальности
информации со следующими значениями:

  • информация,
    содержащая государственную тайну, –
    3;

  • информация,
    содержащую коммерческую тайну, – 2;

  • конфиденциальная
    информация (информация, не представляющая
    собой коммерческой или государственной
    тайны, хотя огласка ее нежелательна),
    –1;

  • свободная (открытая)
    информация – 0.

Следующими
переменными могут быть выбраны отношение
того или иного ресурса к нарушениям
основных трех аспектов информационной
безопасности (конфиденциальности,
целостности, доступности
).
При этом вводится n-бальная
система оценки.

Выявление
угроз.
Определяются
носители и потенциальные источники
утечки информации, формулируются угрозы,
частота (статистика) их появления,
вычисляется вероятность их появления.

Вероятности
реализации разных видов угроз различны,
и их определение требует анализа большого
статистического материала. Так, например:

  • уничтожение
    всей информации в результате пожара
    (стихийного бедствия) может быть 1 раз
    в 40 лет;

  • несанкционированное
    чтение или копирование сотрудником
    закрытых сведений (активная угроза)
    может быть 1 раз в 4 года;

  • искажение
    информации в файле памяти ЭВМ из-за
    сбоя в аппаратуре или системных
    программах (пассивная угроза) может
    быть 1 раз в 10
    дней [10].

Следует
заметить, что определение вероятностей
появления различных угроз имеет очень
большое значение для построения системы
защиты информационных ресурсов
корпорации.

Оценка
рисков.
Для
каждого из информационных ресурсов
определяются его интегральная ценность
и возможные угрозы. Каждая из угроз
оценивается с точки зрения ее применимости
к данному ресурсу, вероятности
возникновения и возможного ущерба.

Определение
стратегии защиты

производится по следующим направлениям:

предотвращение
(предупреждение) ущерба

(например,
авторизация персонала на доступ к
информации и технологии);

обнаружение
угроз

обеспечение раннего обнаружения
преступлений и злоупотреблений, даже
если механизмы защиты были обойдены;

минимизация
размера потерь
,
если преступление все-таки произошло,
несмотря на меры по его предотвращению
и обнаружению;

восстановление
– обеспечение
эффективного восстановления информации
в случае ее потери.

Составление
документов политики информационной
безопасности

Стандарт
рекомендует включать в состав
документа, характеризующего политику
безопасности организации, следующие
разделы:

  • введение,
    где определяется отношение высшего
    руководства к проблемам информационной
    безопасности корпорации;

  • организационный
    раздел, содержащий описание подразделений,
    комиссий, групп и т. д., отвечающих за
    работы в области информационной
    безопасности, планы и график работы;

  • классификационный,
    описывающий имеющиеся в организации
    материальные и информационные ресурсы
    и необходимый уровень их защиты;

  • штатный,
    характеризующий меры безопасности,
    применяемые к персоналу (описание
    должностей с точки зрения информационной
    безопасности, организация обучения и
    переподготовки персонала, порядок
    реагирования на нарушения режима
    безопасности и т. п.);

  • раздел физической
    защиты;

  • раздел
    управления информацией, описывающий
    подход к управлению компьютерами и
    компьютерными сетями;

  • раздел
    правил разграничения доступа к
    производственной информации;

  • раздел,
    характеризующий порядок разработки и
    сопровождения систем;

  • раздел,
    описывающий меры, направленные на
    обеспечение непрерывной работы
    организации;

  • юридический
    раздел, подтверждающий соответствие
    политики безопасности действующему
    законодательству.

Разработка
программы реализации политики
информационной безопасности

На
этом этапе выделяются ресурсы, назначаются
ответственные, формируется план действий,
определяется порядок контроля выполнения
программы и т. п.

Итак,
политика информационной безопасности
предприятия представляет собой документ,
на основе которого строится система
обеспечения безопасности информации.
Это основной документ корпорации,
который доводится до всех сотрудников.

9.
Методы
и средства обеспечения информационной

безопасности

Совокупность
методов и средств, обеспечивающих
целостность, конфиденциальность,
достоверность, аутентичность и доступность
информации в условиях воздействия на
нее угроз естественного или искусственного
характера, образует защиту
информации

(
Data
protection
).

Методы
и средства обеспечения информационной
безопасности (защиты информации) можно
разделить на:

  • административные
    (организационные) меры;

  • физические и
    технические средства и способы;

  • аппаратно-программные
    средства.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #

Понравилась статья? Поделить с друзьями:
  • Как найти свой заказ по фамилии
  • Как исправить ошибку в павно 010
  • Как составить ноту протеста
  • Как найти зимние картинки
  • Как исправить телевизор если он не покажет