Уровни
политики безопасности
Главной
целью мер, предпринимаемых на управленческом
уровне, является формирование программы
работ в области информационной
безопасности и обеспечение ее выполнения
путем выделения необходимых
ресурсов и осуществления регулярного
контроля состояния дел. Основой
этой программы является многоуровневая
политика безопасности, отражающая комплексный
подход организации к защите своих
ресурсов и информационных активов.
С практической точки зрения
политики безопасности можно разделить
на три уровня: верхний, средний и
нижний
Верхний
уровень политики безопасности
Верхний уровень политики
безопасности определяет решения, затрагивающие
организацию в целом. Эти решения
носят весьма общий характер и
исходят, как правило, от руководства
организации.
Примерный список подобных решений
может включать в себя следующие
элементы:
- формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
- формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
- обеспечение материальной базы для соблюдения законов и правил;
- формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Политика безопасности верхнего
уровня формулирует цели организации
в области информационной безопасности
в терминах целостности, доступности
и конфиденциальности. Если организация
отвечает за поддержание критически
важных баз данных, на первом плане
может стоять целостность данных,
определяемая числом случаев потерь, повреждений
или искажений данных. Для организации,
занимающейся продажами, вероятно, важна
актуальность информации о предоставляемых
услугах и ценах, а также ее доступностьмаксимальному
числу потенциальных покупателей. Режимная
организация в первую очередь будет заботиться
о конфиденциальности информации,
то есть о ее защите от несанкционированного
доступа.
Для банковских систем характерна
триада информационной безопасности –
конфиденциальность, целостность и доступность.
На верхний уровень
выносится управление ресурсами
безопасности и координация использования
этих ресурсов, выделение специального
персонала для защиты критически важных
систем, поддержание контактов с другими
организациями, обеспечивающими или контролирующими
режим безопасности.
Политика верхнего уровня
должна четко определять сферу своего
влияния. Это могут быть все компьютерные
системы организации или даже
больше, если политика регламентирует
некоторые аспекты использования сотрудниками
своих домашних компьютеров. Возможна,
однако, и такая ситуация, когда в сферу
влияния включаются лишь наиболее важные
системы.
В политике должны быть определены
обязанности должностных лиц
по выработке программы безопасности
и по претворению ее в жизнь. В этом смысле
политика является основой подотчетности
персонала.
Политика верхнего уровня
имеет дело с тремя аспектами
законопослушности и исполнительской
дисциплины. Во-первых, организация
должна соблюдать существующие законы.
Во-вторых, следует контролировать действия
лиц, ответственных за выработку программы
безопасности. Наконец, необходимо обеспечить
определенную степень законопослушности
персонала, а для этого нужно выработать
систему поощрений и наказаний. Вообще
говоря, на верхний уровень следует выносить
только те вопросы, решение которых может
дать значительную экономию средств или
если поступить иначе просто невозможно.
Средний
уровень политики безопасности
Средний уровень политики безопасности
выделяют в случае структурной сложности
организации либо при необходимости
обозначить специфичные подсистемы
организации. Это касается отношения
к перспективным, еще не достаточно
апробированным технологиям. Например,
использование новых сервисов Internet (как сочетать свободу получения
информации с защитой от внешних угроз), организация связи и обработка информации
на домашних и портативных компьютерах,
степень соблюдения положений компьютерного
права и др. Кроме того, на среднем уровне
политики безопасности могут быть выделены
особо значимые контуры АС организации,
например, обрабатывающие секретную или
критически важную информацию.
Политика безопасности среднего
уровня должна определять для каждого
аспекта информационной безопасности
следующие моменты:
- описание аспекта. Позиция организации может быть сформулирована в достаточно общем виде как набор целей, которые преследует организация в данном аспекте.
Например, если
рассмотреть применение пользователями
неофициального программного обеспечения,
последнее можно определить как
ПО, которое не было одобрено и/или
закуплено на уровне организации.;
- область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности.
Например, касается
ли политика, связанная с использованием
неофициального программного обеспечения,
организаций-субподрядчиков? Затрагивает
ли она сотрудников, пользующихся портативными
и домашними компьютерами и вынужденных
переносить информацию на производственные
машины?;
- роли и обязанности. В документ необходимо включить информацию о должностных лицах, отвечающих за претворение политики безопасности в жизнь.
Например, если
для использования неофициального
программного обеспечения сотрудникам
требуется разрешение руководства,
должно быть известно, у кого и как
его можно получить. Если неофициальное
программное обеспечение использовать
нельзя, следует знать, кто следит
за выполнением данного правила.;
- санкции. Политика должна содержать общее описание запрещенных действий и наказаний за них;
- точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо.
За разработку и реализацию
политики безопасности верхнего и среднего
уровней отвечают руководитель службы
безопасности, администраторы безопасности
АС, администратор корпоративной
сети.
Нижний уровень политики безопасности
Нижний уровень политики
безопасности относится к конкретным
сервисам. Эта политика включает в
себя два аспекта: цели и правила
их достижения, - поэтому ее порой
трудно отделить от вопросов реализации.
В отличие от двух верхних уровней,
рассматриваемая политика должна быть
более детальной.
Вопросы, на которые следует
дать ответ при следовании политике
безопасности нижнего уровня:
- кто имеет право доступа к объектам, поддерживаемым сервисом;
- при каких условиях можно читать и модифицировать данные;
- как организован удаленный доступ к сервису?
При формулировке целей политики
безопасности нижнего уровня можно
исходить из соображений целостности,
доступности и конфиденциальности, но
она не должна ими ограничиваться. В общем
случае цели должны связывать между собой
объекты сервиса и осмысленные действия
с ними.
Из целей выводятся
правила безопасности, описывающие,
кто, что и при каких условиях
может делать. Чем детальнее правила,
чем более четко и формально
они изложены, тем проще поддержать
их выполнение программно-техническими
мерами. Обычно наиболее формально задаются
права доступа к объектам.
Обязанности различных категорий
персонала
Руководители
подразделений отвечают за доведение
положений политики безопасности до пользователей.
Они обязаны:
- постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;
- проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;
- организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;
- информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);
- обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.
Администраторы
сети обеспечивают непрерывное
функционирование сети и отвечают за реализацию
технических мер, необходимых для претворения
в жизнь политики безопасности. Они обязаны:
- обеспечить защиту оборудования корпоративнойсети, в том числе интерфейсов с другими сетями;
- оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты;
- использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;
- не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;
- разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обнаружении и ликвидации вредоносного кода;
- регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
- выполнять все изменения сетевой аппаратно-программной конфигурации;
- гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
- периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.
Администраторы
сервисов отвечают за конкретные
сервисы и, в частности, за то, чтобы защита
была построена в соответствии с общей
политикой безопасности. Они обязаны:
- управлять правами доступа пользователей к обслуживаемым объектам;
- оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
- регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
- выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
- ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного программного обеспечения;
- периодически проводить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.
Пользователи обязаны работать с корпоративной
сетью в соответствии с политикой безопасности,
подчиняться распоряжениям лиц, отвечающих
за отдельные аспекты безопасности, ставить
в известность руководство обо всех подозрительных
ситуациях. Они обязаны:
- знать и соблюдать законы и установленные правила, принятые в организации, политику и процедуры безопасности. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;
- использовать механизм защиты файлов и должным образом задавать права доступа;
- выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;
- информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;
- не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
- всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;
- обеспечивать резервное копирование информации с жесткого диска своего компьютера;
- знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;
- знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.