- •Лекция 4 Политика безопасности (пб) информационного объекта
- •4.1 Рекомендуемые области разработки пб
- •4.2 Основные требования к пб
- •4.3 Эффективность и методы её оценки
- •4.4 Жизненный цикл пб
- •Раздел 1. Общие положения
- •Раздел 2. Политика управления паролями
- •4.5.3. Этапы разработки пб. Этап 1. Разработка пб. Стадия 1.1. Разработка концепции политики информационной безопасности.
Лекция 4 Политика безопасности (пб) информационного объекта
Самое близкое по смыслу определение слова 'политика', которое можно найти в словаре - это: "план или курс действий, как для правительств, политических партий, или структур бизнеса, предназначенный, чтобы определить или повлиять на решения, действия и другие вопросы" (American Heritage Dictionary of the English language) В терминах же компьютерной безопасности политику можно определить как изданный документ (или свод документов), в котором рассмотрены вопросы философии, организации, стратегии, методов в отношении конфиденциальности, целостности и пригодности информации и информационных систем. Таким образом, ПБ ИО – это совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов [3]
Опыт показал, что одним из факторов для успеха в обеспечении информационной безопасности в пределах организации являются ПБ, задачи и действия, отражающие производственные цели, а также предоставление руководства по политике информационной безопасности и стандарта всем служащим и подрядчикам [2. c. VII]. Поэтому задача ПБ состоит в том [2. c. 1], чтобы сформулировать цели политики информационной безопасности и обеспечить ее поддержку руководством организации. Администрация должна поставить четкую цель и оказывать всестороннюю поддержку информационной безопасности посредством распространения политики безопасности среди сотрудников организации
Средства управления, считающиеся общепринятой, лучшей технологией информационной безопасности, должны обеспечивать, среди других положений, [2, c. VII] выдачу документа, содержащего описание политики безопасности организации. Указанные средства управления информационной безопасностью, применимы в большинстве организаций и окружающих сред. Целесообразность выбора любого из средств управления должна определяться в свете конкретных рисков, присущих организации. Вышеупомянутый подход рассматривается как хорошая отправная база, но выбор средства управления должен основываться на оценке риска [2. c. VII].
4.1 Рекомендуемые области разработки пб
Институт SANS (www.sans.org) подготовил «The SANS Security Policy Project»,который содержит большой репозитарий готовых ПБ на разные случаи жизни, распространяемых бесплатно. Также здесь можно найти интересные ссылки на ресурсы, посвященные разработке ПБ. Среди готовых ПБ Института SANS имеются политики, охватывающие следующие области разработки ПБ:
-
допустимое шифрование,
-
допустимое использование,
-
аудит безопасности,
-
оценка рисков,
-
классификация данных,
-
управление паролями,
-
использование ноутбуков,
-
построение демилитаризованной зоны,
-
построение Экстранет,
-
безопасностей рабочих станций и серверов,
-
антивирусная защита,
-
безопасность маршрутизаторов и коммутаторов,
-
безопасность беспроводного доступа,
-
организация удалённого доступа,
-
построение виртуальных частных сетей (VPN),
-
безопасность периметра.
4.2 Основные требования к пб
ПБ должна придерживаться содержания, изложенного ниже в подразделе 4.5. Согласно [3] ПБ должна быть: а) реалистичной, б) выполнимой, в) краткой, г) понятной, д) не приводить к существенному снижению общей производительности бизнес-подразделений компании. На практическом занятии будут рассмотрены случаи, когда ПБ не отвечала перечисленным требованиям. По мнению специалистов компании CISCO желательно, чтобы описание ПБ занимало не более 2 (максимум 5) страниц. При этом важно учитывать, как ПБ будет влиять на уже существующие информационные системы компании. Как только ПБ утверждена, она должна быть представлена сотрудникам компании для ознакомления. Наконец, ПБ необходимо пересматривать ежегодно, чтобы отражать текущие изменения в развитии бизнеса компании. В организации должен быть [2. c. 2] ответственный за реализацию политики, ее поддержку и пересмотр в соответствии с определенным процессом пересмотра. Этот процесс должен гарантировать, что пересмотр политики осуществляется в ответ на изменения, затрагивающие основы первоначальной оценки риска, например, важные инциденты безопасности, новые уязвимые места или изменения организационной или технической инфраструктуры. Рекомендуется планировать и периодически пересматривать:
a) эффективность политики, которую можно оценить в природе количеством и силой воздействия зарегистрированных инцидентов безопасности;
b) стоимость средств управления и их влияние на производственную эффективность;
c) эффект от изменений технологий.
Ответственность [2. c. 2] за обеспечение информационной безопасности несут все члены руководства. Поэтому руководству организации рекомендуется регулярно проводить совещания по проблемам защиты информации, с целью выработки четких указаний по этому вопросу, а также оказания административной поддержки инициативам по обеспечению безопасности. Эти совещания должны содействовать реализации процесса защиты в организации посредством принятия соответствующих обязательств и предоставления адекватных ресурсов. Совещание может быть частью существующего органа управления. Обычно на подобных совещаниях рассматриваются следующие вопросы:
а) анализ и утверждение политики информационной безопасности, распределение общих обязанностей;
b) мониторинг основных угроз, которым подвергаются информационные ресурсы;
c) анализ и слежение за инцидентами в системе безопасности;
d) утверждение основных инициатив, направленных на усиление защиты информации.
За координацию действий по проведению политики безопасности в жизнь должен быть ответственен один из членов руководства [2. c. 2]
В ПБ необходимо [2. c. 3] четко определить обязанности по защите отдельных ресурсов и выполнению конкретных процессов обеспечения безопасности.
ПБ информационной безопасности (раздел 3) должна давать общие рекомендации по распределению функций и обязанностей по защите информации в организации. Там, где необходимо, следует дополнить эти рекомендации более подробными разъяснениями, касающимися конкретных систем или сервисов. Рекомендуется назначить ответственных за конкретные физические и информационные активы и процессы обеспечения защиты такие, как планирование бесперебойной работы организации.
Во многих организациях общая ответственность за развитие и реализацию безопасности, а также за поддержку управления безопасностью возлагается на руководителя службы информационной безопасности. Однако за распределение ресурсов и реализацию управления часто несут ответственность отдельные руководители. Общепринято назначение для каждого информационного актива владельца, ответственного за его повседневную безопасность. Владельцы информационных активов могут делегировать свои полномочия по безопасности отдельным руководителям или поставщикам по предоставлению услуг (сервис-провайдерам). Тем не менее, владелец активов в конечном счете остается ответственным за безопасность актива и должен контролировать корректность выполнения делегированной ответственности.
Важно четко определить зоны ответственности каждого администратора, в частности следует отразить следующие положения:
а) различные активы и процессы обеспечения безопасности, связанные с каждой системой, необходимо идентифицировать и четко определить;
b) кандидатура администратора, отвечающего за каждый актив или процесс обеспечения защиты, должна быть одобрена, а его обязанности документально оформлены;
c) уровни полномочий необходимо четко определить и документально оформить [2. c. 3].