Конспект лекций оглавление 1 информационное общество и его безопасность 6
Скачать 4.94 Mb.
|
16.2. Политика безопасностиСуществуют различные подходы к определению понятия «политика безопасности». Так, согласно стандарту ГОСТ Р ИСО/МЭК 15408— 1 -т-3 — 2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», более известному как «Общие критерии», политика безопасности — это одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. Существуют и другие толкования этого термина: - формальная спецификация правил и рекомендаций, на основе которых пользователи используют, накапливают и распоряжаются информационными ресурсами и технологическими ценностями; - набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации; - полное описание всех информационных потоков с указанием, откуда, куда, кому и какими протоколами разрешен доступ к внутренним и внешним ресурсам, а также набор организационн о документов, в которых прописан регламент предоставления данных услуг, прекращения их предоставления, регламент выделения ресурсов и т.д.; - совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации. Некоторое различие в указанных определениях подтверждает возможное многообразие подходов к практической реализации комплексов обеспечения информационной безопасности. Обобщая их, под политикой безопасности объектабудем понимать упорядоченную документированную совокупность управленческих и проектно-технологических решений по созданию необходимого комплекса обеспечения информационной безопасности. Традиционные документы процедурного характера (положения, инструкции) являются нормативными предписаниями и определяют порядок организации того или иного конкретного мероприятия по защите информации. В отличие от них политика скорее должна ответить на вопрос, что нужно сделать, чтобы в условиях ограниченных ресурсов обеспечить непрерывность бизнес-процессов за счет эффективной защиты ресурсов и активов. Именно при наличии хорошей политики безопасности можно применить продуманные (плановые, программные) методы создания соответствующего организационно-технологического комплекса. Ведь правильная постановка задачи — это уже половина успеха. Требования к процессу создания политики безопасности должны отражать реальные потребности и не противоречить традициям и внутренней культуре организации. Это может быть достигнуто лишь при наличии видимой поддержки и одобрения со стороны руководства (собственника) организации. Поэтому основу политики безопасности, ее цели и задачи задает руководство или собственник с выделением топ-менеджера, ответственного за политику безопасности. Оформление политики безопасностикак документальной основы корпоративной нормативно-методической базы проводится по- разному. Для относительно небольших предприятий с незначительным количеством сотрудников и малыми объемами бизнес- процессов политика утверждается руководством в виде единого документа, предназначенного для всех сотрудников и структурных подразделений. В противоположность этому, учитывая многоаспектный и комплексный характер проблемы, для крупных корпораций создается пакет документов, имеющих определенную иерархическую структуру. Политика безопасности верхнего уровня является общей для всех подразделений, политики второго уровня предназначаются для специализированных подразделений, например службы безопасности. На нижнем уровне находятся документы процедурного характера, отражающие частные аспекты защиты информации по организации конкретных мероприятий, в том числе должностные инструкции персонала. Отсюда вытекает важнейшее требование к хорошей политике — это практическая реализация принципа методологического и концептуального единства при решении всех вопросов защиты информации. Политика безопасности не должна противоречить существующему законодательству в области обеспечения информационной безопасности, положениям внутренних распорядительных документов организации или контрактов, заключаемых с третьими лицами, но при этом должна соответствовать стандартам и хорошим практикам. Политику безопасности целесообразно периодически пересматривать и обновлять, так как обеспечение информационной безопасности — это процесс, а не событие. В результате изменений условий окружающей и внутренней среды, технологий, бизнеспроцессов политика безопасности должна соответственно модифицироваться, чтобы оставаться актуальной и действующей. Должны существовать правила ее пересмотра (обновления), которые бы учитывали возможность внесения необходимых изменений в политику при возникновении факторов, способных значительно повлиять на уровень информационных рисков. Хорошей практикой является проведение независимого внешнего аудита политики безопасности для подтверждения ее эффективности и соответствия стандартам и/или требованиям других нормативных документов. Содержание политики безопасностив наиболее распространенном подходе основывается на рекомендациях международного стандарта ISO/IEC IS 17799 — 2005 (second edition) (с 2007 г. — ISO/IEC IS 27002) Information Technology. Code of practice for information security management, в соответствии с которым создаваемый документ должен содержать организацию всего комплекса обеспечения информационной безопасности, включая вопросы ответственности и координации работ различных подразделений; классификацию информационных ресурсов и организацию контроля их безопасности; управление персоналом (подбор кадров, обучение, мотивация и т.д.); физическую защиту; администрирование компьютерных систем и сетей; управление доступом; разработку и эксплуатацию информационных систем; планирование непрерывности бизнес-процессов; контроль выполнения требований политики безопасности. Такой подход наиболее целесообразен в случае разработки политики безопасности в виде одного документа. Для крупных организаций при наличии политик различного уровня для обеспечения принципа их методологического и концептуального единства первым этапом работы по созданию политики безопасности является постановка и точное формулирование целей и задач обеспечения информационной безопасности. Результатом первого этапа может быть документ общего характера под названием «Концепция обеспечения информационной безопасности». По существу концепция представляет собой политику безопасности верхнего уровня. Концепция обеспечения информационной безопасности организацииопределяет систему официальных взглядов руководства (собственников) на решение проблемы обеспечения информационной безопасности и представляет собой систематизированное изложение целей и задач, основных принципов, организационных, технологических и процедурных аспектов деятельности организации в этой области на основе существующего законодательства. Концепция должна учитывать современное состояние и ближайшие перспективы развития информационной инфраструктуры организации, существующие режимы функционирования данной системы управления, а также анализ угроз безопасности. Основные положения и требования Концепции являются общими и распространяются на все структурные подразделения, участвующие в организации бизнес-процессов, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования информационной инфраструктуры. Основные положения Концепции могут быть распространены на договорной основе на третьих лиц, осуществляющих взаимодействие с организацией в ходе реализации бизнес-процессов. Концепция позволяет обеспечить единую методологическую основу для формирования и проведения единой политики в области обеспечения информационной безопасности организации; принятия необходимых управленческих решений по разработке практических мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и минимизацию последствий от реализации различных видов угроз безопасности информации; координации деятельности структурных подразделений при проведении работ по созданию, развитию бизнес-процессов с соблюдением требований обеспечения информационной безопасности. В концепции информационной безопасности должен быть обоснован выбор подхода к разработке политик безопасности нижних уровней. Один из них связан с использованием так называемых базовых показателей защищенности, представляющих набор минимально необходимых требований, выполнение которых возможно на основе типовых решений, методов и средств защиты. Лишь особо ценные бизнес-процессы потребуют и уникальных разработок, требующих дополнительных ресурсов и средств. Концепция обеспечения информационной безопасности организации имеет примерно следующее содержание: - общая характеристика объекта защиты (описание состава бизнес-процессов, функций и существующей технологии обработки информации); - формулировка целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей; - основные классы угроз информационной безопасности, принимаемые во внимание при разработке подсистемы защиты; - основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты. Хорошей практикой считается включение в состав Концепции раздела по определению границ защищаемого объекта, так называемого «периметра защиты». Несмотря на терминологию, заимствованную из области обеспечения физической защиты объектов, здесь под периметром защиты понимается весь спектр возможных ограничений, включая возможные внешние контакты с партнерами, вышестоящими и надзорными организациями. Политика безопасности — это руководство к действию, поэтому определение границ рассматриваемой деятельности содействует минимизации ресурсов, используемых для ее осуществления. Важным этапом разработки политики безопасности является аудит безопасности, задачей которого является определение наиболее вероятных и наиболее опасных (с разных точек зрения) угроз, событий или действий, от которых и предстоит защищать существующие бизнес-процессы. Решение задачи состоит в изучении (обследовании) реального состояния обеспечения безопасности, а также в использовании различных методов оценки, ранжирования и категорирования опасных событий. Одним из наиболее распространенных методов является классификация угроз, оценка и анализ рисков, разработка моделей нарушителей. Следует отметить, что аудит безопасности является мощным организационным механизмом обеспечения безопасности и должен проводиться не только на начальной стадии разработки политики безопасности. В процессе эксплуатации созданной системы защиты проведение аудита может привести и к изменению самой политики в результате модификации ранжирования угроз безопасности и необходимости принятия соответствующих мер противодействия. Исполнители разработки политики безопасности должны находиться под контролем службы безопасности и могут являться как штатными сотрудниками, так и внешними консультантами, привлекаемыми на основе аутсорсинга. Разработка и написание политики штатными работниками обладает рядом преимуществ, обусловленных лучшей осведомленностью о специфике системы управления и ее компонентах; более легким доступом к необходимой информации и содействие коллег; отсутствием дополнительных угроз утечки информации. Однако такой подход имеет и недостатки, такие как субъективизм исполнителей и отсутствие специалистов нужной квалификации. Разработка политики с использованием аутсорсинга имеет следующие преимущества: независимость экспертов; привлечение опытных и квалифицированных специалистов; наличие отработанных методик. Однако появляется проблема правильного выбора исполнителя, связанная, как правило, с высокой стоимостью работ и появлением дополнительного источника угроз. Внедрение политики безопасности— важнейший этап во всем процессе обеспечения информационной безопасности. Очевидно, что наличие политики безопасности является необходимым, но недостаточным условием повышения уровня информационной безопасности. Созданный пакет нормативно-методических документов должен «работать». Иными словами, необходимо, чтобы его положения выполнялись своевременно и в полном объеме. Для этого следует как минимум ознакомить с ним всех ответственных сотрудников предприятия. Хорошей практикой являются также обучение и тестирование сотрудников на знание и умение выполнять требования нормативно-методических документов. Для разработки методологии деятельности по обеспечению безопасности объекта на основе политики безопасности проводятся следующие мероприятия: - периодическая модификация перечня угроз информационной безопасности на основе тщательного обследования всех информационных потоков системы управления бизнес-процессами, документооборота и других видов информационного взаимодействия, в том числе с внешними организациями; - разработка методики оценки информационных рисков на основе расчета ущерба от нарушения непрерывности бизнес-процессов; - обоснование выбора и/или модификация методов, механизмов и средств обеспечения информационной безопасности корпорации на основе критериев достаточности либо эффективность — стоимость; - создание и модификация на основе оценки жизненного цикла корпоративной нормативно-методической базы обеспечения защиты информации; - разработка путей и подходов к минимизации ущерба от нарушений требований по безопасности информации; - разработка методик оценки лояльности и благонадежности персонала организации как основы минимизации угроз от утечки инсайдерской информации, мероприятий по повышению квалификации и культуры сотрудников в части обеспечения информационной безопасности. Исходя из общих принципов построения управленческой деятельности «планирование — организация — контроль», все мероприятия и действия сотрудников службы безопасности должны строиться на основе стратегических, тактических и оперативных планов, скоординированных с планами работ других организационных структур корпорации в части обеспечения безопасности бизнес-процессов. Естественно, «львиную» долю в деятельности службы безопасности занимают контрольные мероприятия и действия, в том числе аудит информационной безопасности: - мониторинг аномальных инцидентов в бизнес-процессах и действиях сотрудников, в том числе обнаружение вторжений в вычислительные и коммуникационные сети; - оценка эффективности функционирования аппаратно-программных средств на основе инструкций по их использованию, организационных комплексов и действий сотрудников по выполнению утвержденных планов обеспечения защиты информации. |