Политика безопасности

Консультанты  по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.

Некоторые замечания  по поводу политики

Для эффективности  политика должна быть наглядной. Наглядность  помогает реализовать политику, помогая  гарантировать ее знание и понимание  всеми сотрудниками организации. Презентации, видеофильмы, семинары, вечера вопросов и ответов и статьи во внутренних изданиях организации увеличивают  ее наглядность. Программа обучения в области компьютерной безопасности и контрольные проверки действий в тех или иных ситуациях могут  достаточно эффективно уведомить всех пользователей о новой политике. С ней также нужно знакомить  всех новых сотрудников организации.

Политики компьютерной безопасности должны доводиться таким  образом, чтобы гарантировалась  поддержка со стороны руководителей  отделов, особенно, если на сотрудников  постоянно сыплется масса политик, директив, рекомендаций и приказов. Политика организации - это средство довести позицию руководства  в отношении компьютерной безопасности и явно указать, что оно ожидает  от сотрудников в отношении производительности их работы, действий в тех или  иных ситуациях и регистрации  своих действий.

Для того чтобы  быть эффективной, политика должна быть согласована с другими существующими  директивами, законами, приказами и  общими задачами организации. Она также  должна быть интегрирована в и  согласована с другими политиками (например, политикой по приему на работу). Одним из способов координации политик  является согласование их с другими  отделами в ходе разработки. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

После того, как  мы рассмотрели структуру политики безопасности, следует обратить внимание на то, какого рода атаки на безопасность системы могут быть предприняты. Перейдем к оценке рисков, их общих  положениях.

Один из главных  побудительных мотивов выработки  политики безопасности состоит в  получении уверенности, что деятельность по защите информации построена экономически оправданным образом. Данное положение  кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много  говорят и пишут о хакерах; в то же время в большинстве  обзоров по информационной безопасности утверждается, что в типичной организации  ущерб от внутренних, "штатных" злоумышленников значительно больше.

Процесс анализа  рисков включает в себя определение  того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски  и ранжировать их в зависимости  от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Далее мы рассмотрим два этапа процесса анализа рисков:

• идентификация активов,
• идентификация угроз.

Главной целью  деятельности в области информационной безопасности является обеспечение  доступности, конфиденциальности и  целостности каждого актива. При  анализе угроз следует принимать  во внимание их воздействие на активы по трем названным направлениям.

Идентификация активов

Один из этапов анализа рисков состоит в идентификации  всех объектов, нуждающихся в защите. Некоторые активы (например, аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять  во внимание все, что может пострадать от нарушений режима безопасности.

В свое время Pfleeger предложил следующую классификацию  активов:

• Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, маршрутизаторы.
• Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы.
• Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, передаваемые по коммуникационным линиям.
• Люди: пользователи, обслуживающий персонал.
• Документация: по программам, по аппаратуре, системная, по административным процедурам.
• Расходные материалы: бумага, формы, красящая лента, магнитные носители.

После того, как  выявлены активы, нуждающиеся в защите, необходимо идентифицировать угрозы этим активам и размеры возможного ущерба. Это поможет понять, каких  угроз следует опасаться больше всего.

В следующих  пунктах перечисляются некоторые  из возможных угроз.

Несанкционированный доступ

Несанкционированный доступ к компьютерным ресурсам —  угроза, типичная для большинства  организаций. Несанкционированный  доступ может принимать различные  формы. Иногда это нелегальное использование  счета другого пользователя для  получения доступа к системе. В других случаях ресурсами пользуются без предварительно полученного  разрешения.

Степень важности проблемы несанкционированного доступа для разных организаций разная. Порой передача прав доступа неавторизованному пользователю может привести к разрушению магнитных носителей. Чаще несанкционированный доступ облегчает исполнение других угроз. Разнится и вероятность нападения: некоторые организации (известные университеты, правительственные и военные учреждения) как бы притягивают к себе злоумышленников. Следовательно, риск несанкционированного доступа меняется от предприятия к предприятию.

Нелегальное ознакомление с информацией

Нелегальное ознакомление с информацией — другая распространенная угроза. Определите степень конфиденциальности информации, хранящейся в Ваших компьютерах. Расшифровка файла паролей откроет  дорогу несанкционированному доступу. Мимолетный взгляд на Ваше коммерческое предложение может дать конкуренту решающее преимущество. Техническая  статья способна вместить в себя годы напряженных исследований.

Отказ в  обслуживании

Компьютеры и  сети предоставляют своим пользователям  множество ценных услуг, от которых  зависит эффективная работа многих людей. Когда услуги вдруг становятся недоступными, страдает производительность труда.

Отказ в обслуживании возникает по разным причинам и проявляется  по-разному. Сеть может прийти в неработоспособное  состояние от поддельного пакета, от перегрузки или по причине отказа компонента. Вирус способен замедлить  или парализовать работу компьютерной системы. Каждая организация должна определить для себя набор необходимых  сервисов и для каждого из них  проанализировать последствия его  недоступности. 
 
 
 
 
 
 
 
 
 
 

Заключение

    Политика  безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью. Следовательно, при описании процедур системы управления информационной безопасностью следует указывать ссылки на документы, в которых требования к процедуре изложены подробно.

    Таким образом, в Политике безопасности описываются все необходимые требования к обеспечению и управлению информационной безопасностью, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования Политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании достигнет требуемого уровня, сотрудники компании будут осознавать свою роль и вовлеченность в процесс обеспечения безопасности. И, как следствие, требуемые информационные активы будут доступны в необходимые моменты времени, изменения будут вноситься только авторизованными пользователями, а конфиденциальность не будет нарушаться.

http://ru.wikipedia.org/

http://cpu.h17.ru/net/13/#4

http://www.itsec.ru/articles2/concept/politika_bezopasn_razrab_i_realiz

http://unix1.jinr.ru/faq_guide/security/jet/secplant/razd2.html

http://pahan2311.ucoz.ru/index/politika_bezopasnosti/0-46