1.   Основные  понятия  и  определения

Под политикой безопасности (ПБ) организации понимают совокупность документи­рованных управленческих решений, направленных на защиту информации и ас­социированных с ней ресурсов. Политика безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые призна­ются реальными для информационной системы организации. Когда проведен ана­лиз рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контро­ля выполнения программы и т.п.

В соответствии с общепринятыми требованиями политика безопасности орга­низации должна иметь структуру краткого, легко понимаемого документа высо­коуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматри­ваться для гарантии, что она учитывает текущие потребности организации. Этот документ целесообразно составлять таким образом, чтобы политика была отно­сительно независимой от конкретных технологий. В этом случае этот документ не требует частых изменений.

Политика безопасности оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позицию организа­ции, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках корпоративной сети, является критически важной. Корпоративная  сеть позволяет пользователям совмест­но использовать программы и данные, что увеличивает угрозу безопасности. По­этому каждый из компьютеров, входящих в сеть, равно как и вся сетевая инфраструктура нуждается в за­щите. Все эти меры безопасности и являются основным  содержанием  данного документа,  т.е. ПБ.

Цели документа: продекларировать сотрудникам организации и пользователям важность защиты информационных  активов, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркули­рующей в сети, равно как обеспечение информационной безопасности  самой сети, а также  всей  информационной  инфраструктуры  организации  в  целом.

Область применения. В сферу действия данной политики попадают все аппа­ратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков продуктов и систем информационных технологий.

Позиция организации. Целью выполнения ПБ организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

• обеспечение уровня безопасности, соответствующего нормативным доку­ментам;
• следование экономической целесообразности в выборе защитных мер (рас­ходы на защиту не должны превосходить предполагаемый ущерб от нару­шения информационной безопасности);
• обеспечение безопасности в каждой функциональной области корпоративной сети;
• обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
• обеспечение анализа регистрационной информации;
• предоставление пользователям достаточной информации для сознательно­го поддержания режима безопасности;
• выработка планов восстановления после аварий и иных критических ситу­аций для всех функциональных областей с целью обеспечения непрерывно­сти работы сети;
• обеспечение соответствия с действующим законодательством и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей

За реализацию сформулированных в ПБ целей отвечают соответствующие долж­ностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики без­опасности до сотрудников и пользователей, а также за контакты с ними.

Администраторы корпоративной сети обеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для претворе­ния в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспек­ты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Санкции. Нарушение политики безопасности может подвергнуть информационную инфраструктуру организации и циркулирующую в ней информацию недопустимому риску. Случаи нару­шения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут потре­боваться для ознакомления какие-то дополнительные документы, в частности до­кументы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организа­ции. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности, перечисленные ниже. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддер­жки могут быть довольно краткими, то есть не превышать одну-две страницы.

Уровни политики безопасности

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний

Верхний уровень политики безопасности

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Примерный список подобных решений может включать в себя следующие эле­менты:

• формулировка целей, которые преследует организация в области информа­ционной безопасности, определение общих направлений в достижении этих целей;
• формирование или пересмотр комплексной программы обеспечения инфор­мационной безопасности, определение ответственных лиц за продвижение программы;
• обеспечение материальной базы для соблюдения законов и правил;
• формулировка управленческих решений по тем вопросам реализации про­граммы безопасности, которые должны рассматриваться на уровне органи­зации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять целостность данных, опреде­ляемая числом случаев потерь, повреждений или искажений данных. Для орга­низации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному чис­лу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанк­ционированного доступа.

Для  банковских  систем  характерна  триада  информационной  безопасности – конфиденциальность,  целостность  и  доступность.

На верхний уровень выносится управление ресурсами безопасности и коорди­нация использования этих ресурсов, выделение специального персонала для за­щиты критически важных систем, поддержание контактов с другими организаци­ями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если поли­тика регламентирует некоторые аспекты использования сотрудниками своих до­машних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влия­ния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выра­ботке программы безопасности и по претворению ее в жизнь. В этом смысле по­литика является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать су­ществующие законы. Во-вторых, следует контролировать действия лиц, ответ­ственных за выработку программы безопасности. Наконец, необходимо обеспе­чить определенную степень законопослушности  персонала, а для этого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить только те вопросы, решение которых может дать значительную эконо­мию средств или если поступить иначе просто невозможно.

Средний уровень политики безопасности

Средний уровень политики безопасности определяет решение вопросов, касаю­щихся отдельных аспектов информационной безопасности, но важных для раз­личных систем, эксплуатируемых организацией.

Примеры таких вопросов - отношение к доступу в Internet (как сочетать сво­боду получения информации с защитой от внешних угроз), использование до­машних компьютеров и т.д. Политика безопасности среднего уровня должна определять для каждого ас­пекта информационной безопасности следующие моменты:

• описание аспекта. Позиция организации может быть сформулирована в до­статочно общем виде как набор целей, которые преследует организация в дан­ном аспекте;
• область применения. Следует специфицировать, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности;
• роли и обязанности. В документ необходимо включить информацию о долж­ностных лицах, отвечающих за претворение политики безопасности в жизнь;
• санкции. Политика должна содержать общее описание запрещенных дей­ствий и наказаний за них;
• точки контакта. Должно быть известно, куда следует обращаться за разъяс­нениями, помощью и дополнительной информацией. Обычно «точкой кон­такта» служит определенное должностное лицо.

Нижний уровень политики безопасности

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, - поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Вопросы, на которые следует дать ответ при следовании политике безопасности нижнего уровня:

• кто имеет право доступа к объектам, поддерживаемым сервисом;
• при каких условиях можно читать и модифицировать данные;
• как организован удаленный доступ к сервису?

При формулировке целей политики безопасности нижнего уровня можно ис­ходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими ме­рами. Обычно наиболее формально задаются права доступа к объектам.

Обязанности различных категорий персонала

Руководители подразделений отвечают за доведение положений политики безо­пасности до пользователей. Они обязаны:

• постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;
• проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;
• организовать обучение персонала мерам безопасности. Обратить особое вни­мание на вопросы, связанные с антивирусным контролем;
• информировать администраторов локальной сети и администраторов сер­висов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);
• обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладаю­щего достаточной квалификацией для выполнения этой роли.

Администраторы сети обеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для претворе­ния в жизнь политики безопасности. Они обязаны:

• обеспечить защиту оборудования корпоративнойсети, в том числе интерфейсов с другими сетями;
• оперативно и эффективно реагировать на события, таящие угрозу. Инфор­мировать администраторов сервисов о попытках нарушения защиты;
• использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, отно­сящуюся к сети в целом и к файловым серверам в особенности;
• не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;
• разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в об­наружении и ликвидации вредоносного кода;
• регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
• выполнять все изменения сетевой аппаратно-программной конфигурации;
• гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
• периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопаснос­ти. Они обязаны:

• управлять правами доступа пользователей к обслуживаемым объектам;
• оперативно и эффективно реагировать на события, таящие угрозу. Оказы­вать помощь в отражении угрозы, выявлении нарушителей и предоставле­нии информации для их наказания;
• регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
• выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
• ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного про­граммного обеспечения;
• периодически проводить проверку надежности защиты сервиса. Не допус­кать получения привилегий неавторизованными пользователями.

Пользователи обязаны работать с корпоративной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситу­ациях. Они обязаны:

• знать и соблюдать законы и установленные правила, принятые в организации, политику и  процедуры безопасности. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;
• использовать механизм защиты файлов и должным образом задавать права доступа;
• выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;
• информировать администраторов или руководство о нарушениях безопас­ности и иных подозрительных ситуациях;
• не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
• всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;
• обеспечивать резервное копирование информации с жесткого диска своего компьютера;
• знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для пре­дупреждения проникновения вредоносного кода, его обнаружения и унич­тожения;
• знать и соблюдать правила поведения в экстренных ситуациях, последова­тельность действий при ликвидации последствий аварий.

Управленческие меры обеспечения информационной безопасности

Главной целью мер, предпринимаемых на управленческом уровне, является фор­мирование программы работ в области информационной безопасности и обеспе­чение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является много­уровневая политика безопасности, отражающая комплексный подход организа­ции к защите своих ресурсов и информационных активов.

Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: