- •Основные понятия политики информационной безопасности
- •Описание проблемы
- •Область применения
- •Позиция организации
- •Распределение ролей и обязанностей
- •Санкции
- •Дополнительная информация
- •Описание обязанностей категорий персонала
- •Управленческие меры обеспечения информационной безопасности
- •Структура политики информационной безопасности организации
- •Базовая политика безопасности
- •Специализированные политики безопасности
- •Политика допустимого использования
- •Политика удаленного доступа
- •Процедуры безопасности
- •Процедура реагирования на события
- •Разработка политики безопасности организации
- •Компоненты архитектуры безопасности
- •Роли и ответственности в безопасности сети
- •Управление тревожной сигнализацией
Основа защиты информационных процессов в компьютерных системах
Оглавление
Информационная безопасность
Основные понятия и анализ угроз информационной безопасности
Политика информационной безопасности
Введение
Под политикой информационной безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика информационной безопасности является тем средством, с помощью которого реализуется деятельность в компьютерной информационной системе организации. Вообще, политики информационной безопасности определяются используемой компьютерной средой и отражают специфические потребности организации.
Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты чаще всего обладают собственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика информационной безопасности в качестве согласованной платформы по обеспечению безопасности корпоративной информационной системы. По мере роста компьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.
Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, менеджер по персоналу может иметь доступ к частной информации любого сотрудника, в то время как специалист по отчетности может иметь доступ только к финансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ лишь к своей собственной, персональной информации.
Политика безопасности определяет позицию организации по рациональному использованию компьютерной сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик - от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.
Основные понятия политики информационной безопасности
Политика информационной безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.
Для того чтобы ознакомиться с основными понятиями политик безопасности, рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоторой организации, и ассоциированную с ней политику безопасности.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.
Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае данный документ политики не потребуется изменять слишком часто.
Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы
Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения
В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации
Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:
обеспечение уровня безопасности, соответствующего нормативным документам;
следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходи ть предполагаемого ущерба от нарушения информационной безопасности);
обеспечение безопасности в каждой функциональной области локальной сети;
обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
обеспечение анализа регистрационной информации;
предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
обеспечение соответствия с имеющимися законами и общей политикой безопасности организации.