Newcomposers.ru

IT Мир
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Административный уровень защиты информации

Административный уровень информационной безопасности.

Политика информационной безопасности пока не утверждена.

3. Организационный уровень защиты информации.

Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.

Организационные меры защиты информации на предприятии реализованы следующим образом:

§ Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;

§ Организована работа с документами и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.

В качестве недостатков данного уровня защиты можно указать следующие факты.

Несмотря на то, что предприятие переходит на программу «1С: Предприятие», бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.

Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.

4. Программно-технические меры защиты информации —это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации.

На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации.

Программно-аппаратные средства защиты информации:

1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.

SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме «точка-точка» с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System — IDS).

2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.

Производится нерегулярное обновление баз и сканирование рабочих станций.

3. Встроенный Windows Backup для создания архивов.

OS Backup Wizard — программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.

4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).

Глава 2. Совершенствование СИБ

Недостатки в системе защиты информации

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий — области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно — технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.

Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:

§ Отсутствие паролей доступа в систему;

§ Отсутствие паролей при работе программой с 1С: Предприятие, при изменении данных;

§ отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);

§ нерегулярное обновление баз программы антивируса и сканирование рабочих станций;

§ большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;

§ не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области;

§ не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;

§ отсутствие политики информационной безопасности;

§ отсутствие системного администратора.

Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.

Лекция №7: Административный уровень информационной безопасности

Основные понятия

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy», однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные «правила безопасности». Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин «security policy» в «Оранжевой книге» и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов – это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • обеспечение базы для соблюдения законов и правил;
  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

Читать еще:  Администратор web сайта

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  • раздел, освещающий вопросы физической защиты;
  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  • раздел, описывающий правила разграничения доступа к производственной информации;
  • раздел, характеризующий порядок разработки и сопровождения систем;
  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов – отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта – цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом?
  • при каких условиях можно читать и модифицировать данные?
  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

4 уровня обеспечения информационной безопасности

Обеспечение информационной безопасности — очень непростая задача, имеющая несколько уровней.

Программно-технический уровень.

С современной точки зрения информационным системам должны быть доступны следующие механизмы безопасности:

  • управление доступом,
  • экранирование,
  • проверка подлинности пользователей и их идентификация,
  • протоколирование и аудит,
  • обеспечение высокой доступности,
  • криптография.

Процедурный уровень.

К нему относятся меры, реализуемые людьми. Опыт, накопленный в отечественных организациях, по реализации процедурных мер пришел из докомпьютерного прошлого и нуждается в существенном пересмотре.
Существуют следующие группы организационных (процедурных) мер:

Для каждой группы должны существовать правила, определяющие действия персонала. Они должны быть учреждены в каждой конкретной организации и отработаны на практике.

Административный уровень.

Политика безопасности, предпринимаемая руководством организации, является основой мер административного уровня. Это совокупность документированных решений руководства, которые направлены на защиту информации, а также ресурсов, ассоциированных с ней. Политика безопасности основывается на анализе реальных рисков, угрожающих информационной системе той или иной организации. После анализа разрабатывается стратегия защиты. Это программа, под которую выделяются деньги, назначаются ответственные, устанавливается порядок контроля ее выполнения и т.д.
Поскольку каждая организация имеет свою специфику, бессмысленно переносить практику государственных режимных предприятий на коммерческие структуры, персональные компьютерные системы или учебные заведения. Целесообразнее использовать основные принципы разработки политики безопасности или готовые шаблоны для основных разновидностей организаций.

Законодательный уровень.

Это важнейший уровень обеспечения информационной безопасности. В него входит комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушителям и нарушениям в этой области. Необходимо создать механизм, который позволил бы согласовывать разработку законов с постоянным совершенствованием информационных технологий. Государство должно выполнять координирующую и направляющую роль в этом вопросе.Российские стандарты информационных технологий и информационной безопасности должны соответствовать международному уровню. Это облегчит взаимодействие с зарубежными компаниями и зарубежными филиалами отечественных компаний. Сейчас эта проблема решается путем разовых разрешений, зачастую в обход действующего законодательства.

Читать еще:  Как открыть файл с правами администратора

Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.

Административный уровень обеспечения ИБ

СРЕДСТВА ОБЕСПЕЧЕНИЯ ИБ.

ЗАКОНОДАТЕЛЬНЫЙ, АДМИНИСТРАТИВНЫЙ, ПРОЦЕДУРНЫЙ УРОВНИ ОБЕСПЕЧЕНИЯ ИБ

2.1.Средства (меры) обеспечения информационной безопасности:

· законодательные меры обеспечения информационной безопасности;

· административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

· процедурные меры (меры безопасности, ориентированные на людей);

В терминологии информационной безопасности иногда употребляется понятие «уровень» (ех — законодательный уровень, процедурный уровень обеспечения информационной безопасности).

Только при обеспечении всех уровней задача обеспечения информационной безопасности может быть решена.

Законодательный уровень является как бы внешним уровнем, он устанавливается соответствующими законодательными актами государства (или нескольких государств) и ориентирован на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица).

Административный уровень воздействует на всех субъектов в пределах одной организации и является для них обязательным. Главная задача административного уровня – определить, какие угрозы для организации являются наиболее критическими.

Процедурный уровеньориентирован на людей и определяет отношения между организацией и сотрудниками. Этот уровень включает в себя, в частности, определение привилегий пользователей, организацию физической защиты, действия по поддержанию работоспособности и восстановления после сбоев.

Программно-технический уровень направлен на контроль оборудования, программ и данных.

Законодательный уровень обеспечения ИБ

Законодательный уровень информационной безопасности можно рассматривать как совокупность трех подровней: концептуально-политического, правового и нормативно-технического.

На концептуально-политическом подуровне принимаются документы, в которых определяются направления государственной политики информационной безопасности, формулируются цели и задачи обеспечения информационной безопасности, намечаются пути и средства достижения поставленных целей и решения задач. Примерами таких документов являются Концепция национальной безопасности и Доктрина информационной безопасности РФ.

На правовом подуровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, отражаемых в законах и других правовых актах. В настоящее время правовую основу обеспечения информационной безопасности в России составляют Конституция РФ, Уголовный кодекс РФ, Гражданский кодекс РФ, ряд федеральных законов, указов и распоряжений Президента РФ, постановлений и распоряжений Правительства РФ.

Нормативно-технический подуровень включает в себя разработку стандартов (ГОСТы), положений и руководящих материалов (ex. – положения и РД Гостехкомиссии), методических материалов и других документов, регламентирующих процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.

Административный уровень обеспечения ИБ

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии.:

1 система. Служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника. В зависимости от подобных проверок и строится работа по обеспечению ИБ.

Использование этого подхода может привести к массированной защите областей с небольшим риском и к недостаточной защите действительно уязвимых участков.

2 система. Этапы:

1. Детальный анализ всей существующей схемы хранения и обработки информации.

2. Определение, какие информационные объекты и потоки необходимо защищать. Классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

3. Изучение текущего состояния системы информационной безопасности с целью определения, какая защита информации уже реализована, в каком объеме и на каком уровне.

4. Выяснение, насколько серьезный ущерб может принести фирме атака на каждый информационный объект («анализ рисков»). Анализируются риски, которые признаются реальными для информационной системы конкретной организации.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба. В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации (как правило, руководство организацией), или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

5. Составление программы по обеспечению ИБ (выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.). Вырабатываются меры по снижению рисков информационной безопасности.

6. Проверка, что риски заключены в приемлемые рамки.

Пп. 4-6 образуют мероприятия по управлению рисками

Основным документом при использовании данной системы является политика безопасности организации.

Политика безопасностисовокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области информационной безопасности, а также количество ресурсов, которые руководство считает целесообразным выделить.

Политика безопасности не должна постоянно меняться в зависимости от незначительных изменений в деятельности компании. Изменяться должны процедуры обеспечения информационной безопасности (тактика), но не глобальные задачи (стратегия).

Все вопросы в политике безопасности не должны освещаться чересчур досконально. Политика безопасности отвечает на вопрос ЧТО: что следует защищать, что является самым важным, что за свойства у защищаемых объектов, что за подход к проблемам безопасности избран. Сама по себе политика безопасности не говорит, КАК защищаются объекты. Ответы на вопросы КАК дают процедуры безопасности, которые будут рассматриваться далее. Политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию. В деталях специфицировать шаги, предпринимаемые организацией для собственной защиты должны процедуры безопасности.

Лекция №7: Административный уровень информационной безопасности

Основные понятия

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy», однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные «правила безопасности». Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин «security policy» в «Оранжевой книге» и в построенных на ее основе нормативных документах других стран).

Читать еще:  Под источником административного права понимается

ИС организации и связанные с ней интересы субъектов – это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • обеспечение базы для соблюдения законов и правил;
  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  • раздел, освещающий вопросы физической защиты;
  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  • раздел, описывающий правила разграничения доступа к производственной информации;
  • раздел, характеризующий порядок разработки и сопровождения систем;
  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов – отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта – цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом?
  • при каких условиях можно читать и модифицировать данные?
  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Ссылка на основную публикацию
Adblock
detector