Політика безпеки. Положення щодо політики безпеки. Зміст основних документів політики безпеки. Висновки Література Основна 1

Название	Положення щодо політики безпеки. Зміст основних документів політики безпеки. Висновки Література Основна 1
Дата	15.05.2021
Размер	281.12 Kb.
Формат файла
Имя файла	Політика безпеки.pdf
Тип	Положення #205181

План лекції
Вступ
1. Загальні положення щодо політики безпеки.
2. Зміст основних документів політики безпеки.
Висновки
Література:
Основна:
1.
Носов В.В., Манжай О.В. Організація та забезпечення інформаційної безпеки: Навч. посібник. – Харків: Вид-во Харк. нац. ун-ту внутр. справ,
2007.
2.
Концепція технічного захисту інформації в Україні. Постанова КМУ від
8.10.97 № 1126.
3.
ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації.
Основні положення. Затверджено наказом Держстандарту України від
11.10.96 № 423.
4.
ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації.
Порядок проведення робіт. Затверджено наказом Держстандарту України від 19.12.96 № 511.
5.
ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації.
Терміни та визначення. Затверджено наказом Держстандарту України від
11.04.97 № 200.
6.
НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу.
7.
НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі.
Додаткова:
8.
Носов В.В. Забезпечення інформаційної безпеки у США. Електронний курс лекцій. Харків, ХНУВС, 2011 р.
9.
Манжай О.В. Використання кіберпростору в оперативно-розшуковій діяльності / О.В. Манжай // Право і безпека. – Харків: Вид-во
Харківського національного ун-ту внутр. справ, 2009. № 4 (31). с. 215-
219.
10.
Ваганов П.А. Правовая защита киберпространства в США /
П.А. Ваганов. // Правоведение. 2006. № 4. С. 73-88.
11.
Federal Information Security Management Act of 2002 (FISMА): Закон
Федерального Уряду США по управлінню інформаційною безпекою.
12.
National Institute of Standards and Technology Special Publication 800-100,
Information Security Handbook: A Guide for Managers. Recommendations of the National Institute of Standards and Technology, October 2006.
13.
National Institute of Standards and Technology Special Publication 800-64,
Security Considerations in the Information System Development Life Cycle,
Rev. 2, October 2008.
Інформаційні ресурси в Інтернеті
14. http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?art_id=88291&cat_
id=38828

15. http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?art_id=300864&cat
_id=38829 16. http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/category?cat_id=38834 17. http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?showHidden=1&ar t_id=306436&cat_id=38835&ctime=1554728725967 18. http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/category?cat_id=38836 19. http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?art_id=317914&cat
_id=317913http://csrc.nist.gov/
20. http://www.commoncriteriaportal.org/
Текст лекції
Вступ
Крім розробки основних заходів і засобів захисту інформації, які передбачається впроваджувати в ІС, з метою позначення для керівництва і персоналу ІС стратегії захисту інформації в організації (підрозділі) необхідна розробка політики інформаційної безпеки організації (підрозділу) або політики безпеки, яку можна назвати стратегічним планом, що описує цілі, задачі, загальні вимоги, правила, обмеження, рекомендації у сфері
інформаційної безпеки.
1. Загальні положення щодо політики безпеки
Необхідність такого плану полягає в тому, що наявність побудованої СЗІ не гарантує її правильне функціонування без підтримки з боку керівництва і користувачів ІС. Керівництво і всі користувачі ІС повинні однаково розуміти
і виконувати правила, що стосуються інформаційної безпеки.
У зв'язку з цим, можна привести класифікацію організацій за рівнем їх зрілості у забезпеченні інформаційної безпеки (табл. 7.1), яка спирається на положення NIST Special Publication 800-55 Revision 1. Performance
Measurement Guide for Information Security.
Таблиця 7.1
Класифікаційні
ознаки
Рівень зрілості організації у забезпеченні інформаційної безпеки
Рівень 1.
Рівень 2.
Рівень 3.
Рівень 4.
Визначені цілі
інформаційної безпеки
Реалізована
СЗІ (програми безпеки)
Оцінюється ефективність та працездатність
СЗІ
Оцінюється вплив загроз на основну діяльність організації
Інформаційні процеси основної діяльності організації
Встановлю- ються
Визначені та документовані
Добре встановлені
Автоматично оновлюються
Операційні процедури із захисту
інформації
Визначаються
Визначені і здійснюються
Формалізовані
Само- регулюються
Дані про стан
інформаційної безпеки
Не існують
Можуть бути зібрані
Доступні
Зберігаються в стандартному сховищі

Класифікаційні
ознаки
Рівень зрілості організації у забезпеченні інформаційної безпеки
Рівень 1.
Рівень 2.
Рівень 3.
Рівень 4.
Визначені цілі
інформаційної безпеки
Реалізована
СЗІ (програми безпеки)
Оцінюється ефективність та працездатність
СЗІ
Оцінюється вплив загроз на основну діяльність організації
Складність збору даних про стан
інформаційної безпеки
Висока
Середня
Низька
Збір
інтегровано з процесами основної діяльності
Автоматизація збору даних про стан
інформаційної безпеки
Низька
Середня
Висока
Повна
Спробуємо викласти основні положення, що дозволяють практично розробити політику інформаційної безпеки організації (підрозділу) ІПЗ, яка не становить державну таємницю.
Для підвищення ефективності використання політику безпеки доцільно оформляти не єдиним документом, а у вигляді декількох документів, що спростить їх використання і впровадження. Основну сукупність цих документів (їх може бути і більше, залежно від конкретної ІС)можна представити як на рис. 7.1.
У вигляді тез розкриємо зміст документів політики безпеки, показаних на рис. 7.1.
Цілі і задачі політики безпеки
1. Правила політики безпеки: описують безпеку в загальних термінах, сенс яких повинен бути зрозумілий також нефахівцям, і не описують, яким чином її здійснювати; не замінюють інструкції і стандарти.
2. Правила необхідні для: декларації основних принципів забезпечення інформаційної безпеки; демонстрації підтримки політики інформаційної безпеки з боку керівництва; покладання обов'язків і відповідальності на співробітників по підтримці функціонування створеної системи захисту інформації; для документального підтвердження відповідності підходів до забезпечення інформаційної безпеки всім необхідним стандартам і нормативним актам (вітчизняним або міжнародним).

Обов'язки в області
інформаційної безпеки
П
П
р
р
а
а
в
в
и
и
л
л
а
а
і
і
н
н
ф
ф
о
о
р
р
м
м
а
а
ц
ц
і
і
й
й
н
н
о
о
ї
ї
б
б
е
е
з
з
п
п
е
е
к
к
и
и
Забезпечення фізичної
безпеки КС
Загальні вимоги до
управління і
використання КС
Правила безпеки при
використанні зовнішніх
ресурсів (Internet)
Правила безпеки при
використанні
електронної пошти
Цілі і задачі політики
безпеки
Антивірусний захист КС
Керування і експлуатація
криптографічних систем
в КС
Правила впровадження
програмного
забезпечення
В
В
п
п
р
р
о
о
в
в
а
а
д
д
ж
ж
е
е
н
н
н
н
я
я
і
і
с
с
у
у
п
п
р
р
о
о
в
в
і
і
д
д
п
п
о
о
л
л
і
і
т
т
и
и
к
к
и
и
б
б
е
е
з
з
п
п
е
е
к
к
и
и
Зобов'язання виконання
політики безпеки
Порядок впровадження і
контролю виконання
політики безпеки
Порядок перегляду
політики безпеки
Рис. 7.1 3. Цілі політики безпеки досягаються формуванням документів
(розділів), в яких визначаються: об'єкти захисту і необхідний рівень їх безпеки; потенційні порушники інформаційної безпеки;
інформаційні ризики; правила розмежування доступу до ресурсів, що захищаються; підходи до керування програмно-апаратним забезпеченням КС; порядок розробки, супроводу і модернізації програмно-апаратного забезпечення КС; підходи до забезпечення фізичної безпеки об'єктів захисту; порядок резервного копіювання, архівного зберігання і видалення даних; правила захисту інтелектуальної власності; підходи до реагування на інциденти; відношенням до комп'ютерних злочинів
Обов'язки в сфері інформаційної безпеки
1. Обов'язки керівництва: участь і підтримка Комісії з інформаційної безпеки; визначення експертів, які класифікують інформацію за ступенем її важливості
і допускають відхилення в
її обробці від загальноприйнятої практики; організація розробки і узгодження планів захисту інформації.

2. Обов'язки відділу (підрозділу) інформаційної безпеки: відповідає за впровадження і супровід в організації правил
інформаційної безпеки, а також стандартів, інструкцій і процедур; відповідає за навчання, використання адміністративних заходів і підтримку з боку керівництва; при залученні сторонніх організацій або консультантів з
інформаційної безпеки забезпечує їх роботу за інструкціями, прийнятими в організації.
3. Обов'язки адміністраторів безпеки, адміністраторів КС, користувачів: розподілити обов'язки
і відповідальність за керування
інформаційними ресурсами організації, координувати діяльність кожного, включаючи відповідальних за інформацію і матеріально- відповідальних осіб; призначити адміністратора безпеки для всіх розрахованих на багато користувачів систем, а в кожному підрозділі виділити відповідального за інформаційну безпеку; визначити відповідальних осіб за безпеку обміну інформацією із зовнішніми організаціями в реальному масштабі часу; включити положення про відповідальність за дотримання норм безпеки в посадові інструкції і в договори (контракти) із зовнішніми організаціями.
4. Право на інформацію і відповідальність за її збереження: призначення за відповідними напрямами відповідальних осіб за поданням доступу до певного типа інформації; визначення дозволених засобів
і методів керування та адміністрування. Необхідно мати інструкції по наданню і позбавленню прав доступу до інформаційних ресурсів організації, а також для відновлення інформації у разі її втрати.
5. Поняття керування безпекою і застосування правових норм: знати і свідомо дотримуватися законів і правил в межах своїх функціональних обов'язків; дотримуватись правила збору можливих джерел доказів і забезпечити юридичні гарантії ухвалення їх судом; заздалегідь планувати можливу взаємодію організації з правоохоронними органами у разі скоєння комп'ютерних злочинів.
6. Навчання і підтримка інформаційної безпеки: навчатися повинні всі співробітники, що мають доступ до комп'ютерів
і мереж організації. Співробітники повинні підписати зобов'язання пройти відповідні навчання, а також мати документ, підтверджуючий проходження курсу навчання; керівництво повинне виділити час на навчання і сприяти його проведенню; навчання повинне відповідати вимогам політики безпеки.
2. Зміст основних документів політики безпеки

Забезпечення фізичної безпеки КС
1. Розміщення комп'ютерів і монтаж устаткування: визначити місця розташування комп'ютерів і комунікаційного устаткування, а також розміщення устаткування всередині будівель; врахувати можливість підключення устаткування до резервних джерел живлення; врахувати можливість фізичного проникнення або злому, захист від пожеж і інших лих; передбачити захист від статичної електрики і інших фізичних чинників навколишнього середовища; включити вимоги по забезпеченню стабілізованого живлення серверів
і інших найбільш важливих вузлів; промаркувати устаткування інформаційних систем (наприклад,
ідентифікаційними штрих-кодами, які можна контролювати за допомогою комп'ютеризованого спеціального устаткування).
2. Системи контролю і керування доступом до устаткування: створення системи контролю і керування доступом включає розробку правил: фізичного доступу; реєстрації осіб, що мають право доступу; проведення перевірок; обмеження доступу в приміщення з комп'ютерами і серверами, резервними носіями і бібліотеками з документацією. Запобігання можливості візуального вивчення комп'ютерного устаткування сторонніми особами;
ідентифікація, реєстрація, супровід відвідувачів, а також забезпечення незалежної охорони місць, де міститься важлива інформація.
3. Планування дій в екстремальних ситуаціях: визначення мети і задач правил та планів реагування на аварійні ситуації. Пріоритетом є безпека співробітників; створення і перегляд планів відновлення після аварій, проведення аварійних робіт. Забезпечення умов для періодичного контролю і оновлення планів; сповіщення адміністрації у разі виникнення сигналів тривоги.
Сповіщення адміністрацією відповідний персонал про аварійні відключення і про очікувані відключення. Забезпечення можливості контакту в неробочий час з аварійними службами.
4. Загальна безпека комп'ютерних систем: розробка процедур, що забезпечують гарантію безперервного функціонування важливих інформаційних ресурсів; введення обмежень доступу користувачів до допоміжних і систем забезпечення.
5. Проведення періодичних перевірок конфігурації системи і мережі для мінімізації ризиків, пов'язаних з установкою нестандартних апаратних засобів і програмного забезпечення.
6. Підбір кадрів на основні технічні посади і інструктаж персоналу.

Загальні вимоги до керування і використання КС
1. Адресація мережі і архітектура: відділення системи з найбільш важливими даними для полегшення керування доступом; у правилах мережевої адресації визначається, яку інформацію про конфігурацію мережі можна публікувати поза організацією.
Конфігурувати DNS і систему перетворення мережевих адрес (NAT) для приховування імен і адрес від зовнішнього оточення; визначити процедури розширення мережі; визначити правила адресації мережі (статична, динамічна).
2. Керування доступом до мережі: розробити правила підключення до
Internet, доступу до вхідних/вихідних телефонних каналів, а також інших зовнішніх підключень; розробити правила використання віртуальних приватних мереж (VPN); розробити правила для допоміжних систем, до яких відсутні вимоги по автентифікації, або ці вимоги не достатньо жорсткі.
3. Безпека реєстрації: використовувати призначені для користувача імена, прив'язані до прізвища, імені, по батькові користувача, а не до його функціональних обов'язків. У правилах повинно бути відбито, що робити з призначеними для користувача іменами, призначеними операційною системою при її установці;
імена тимчасових користувачів і користувачів, що не є співробітниками організації, повинні особливо ретельно контролюватися. У правила присвоєння таких імен необхідно включити вимоги по контролю за ними і їх анулюванню; у правила необхідно включити міркування про многократні/однократні сеанси ідентифікації, а також вимоги, що стосуються систем позитивної ідентифікації; протоколювання успішних, безуспішних спроб реєструватися в системі, час і дата останньої реєстрації в системі; у правила обмеження числа сеансів реєстрації додати вимогу автоматичного виходу з системи (після закінчення проміжку часу, за часом доби і т.п.) ввести розпорядження тим, хто має доступ до важливої інформації, виходити з системи при залишенні робочих станцій без нагляду; визначити правила адміністрування облікових записів користувачів; визначити правила роботи в привілейованому режимі, на основі яких розробляються інструкції, що визначають вимоги до доступу в систему, а також вимоги контролю за наданням привілеїв.
4. Паролі: стеження за структурою пароля і терміном його дії, заборона використовувати повторно старі паролі;

встановлення правил зберігання паролів; зміна паролів, встановлених за умовчанням; призначення і використання спеціальних паролів, які сигналізують про примушення введення пароля; заборона відображення символів пароля при його введенні через
інтерфейс користувача; забезпечення передачі пароля в каналах зв'язку в зашифрованому вигляді.
5. Формалізувати правила розмежування доступу для кожної частини системи, що має свою специфіку.
6. Розробити правила віддаленого (зовнішнього) доступу користувачів
(адміністраторів) у внутрішню систему організації. використання тільки певного програмно-апаратного забезпечення; віддалений користувач забезпечує належний захист комп'ютерного устаткування і даних на додаткових робочих вузлах; організація
є власником всієї
інтелектуальної власності, використовуваної або створеної в середовищі віддаленого доступу; співробітники несуть відповідальність за підтримку структурованого робочого середовища, а також виконання всіх інструкцій, що стосуються безпеки віддалених систем (ліцензування програмного забезпечення, створення резервних копій і т.д.).
Правила безпеки при використанні зовнішніх ресурсів (Internet)
1. Підхід до Internet: визначити питання, які зачіпають правила безпеки при використанні зовнішніх ресурсів; констатувати архітектуру мережі, задачі брандмауера і перетворення мережевих адрес; визначити перелік основних програм, програм забезпечення і протоколів, які можуть пропускатися через шлюз; визначити відмінності між проксі-сервером і фільтрацією пакетів.
2. Правила адміністрування ресурсів, доступних із зовнішньої мережі: обов'язкове профілактичне обслуговування загальнодоступних даних; порядок оновлення ресурсів; порядок реагування на порушення інформаційної безпеки зовнішніми користувачами.
3. Обов'язки користувачів:
інструктаж користувачів для роз'яснення
їх обов'язків
і відповідальності; роз'яснення позиції організації відносно того, в якому вигляді співробітники представляють організацію під час їх доступу до різних вузлів мережі Internet; заборона пересилки інформації з обмеженим доступом (необхідний перелік цієї інформації) без спеціально визначених процедур;

визначення правил завантаження
і
інсталяції програмного забезпечення з мережі Internet.
4. Правила роботи в WWW: рознесення на різні вузли мережі Web-серверів і програм, доступних через Web-сервер; обов'язкова перевірка сервісних програм і сценаріїв на предмет безпеки і наявності помилок; супровід і забезпечення захисту засобів, що поставляються ззовні, використовуваних для підтримки Web-послуг; визначити відповідальних і правила керування ресурсами Web-вузла; визначення відповідальності користувачів при використанні ними
Internet.
5. Відповідальність за програми: відповідальні за програми і процеси особи повинні нести відповідальність за інформацію, яка пересилається, а також за її надійність
і забезпечення гарантій того, що
інформація розповсюджується тільки серед користувачів, яким дані відповідні повноваження; правила розробки програм можуть залежати від правил розробки програмного забезпечення; розширена автентифікація користувачів, що звертаються до Internet;
6. Визначення ключових положень по використанню віртуальних приватних мереж.
7. Модеми: розробити правила, де і як встановлювати модеми; розробити правила, які дозволять адміністраторам централізований моніторинг і керування модемами; розробити правила, що приписують сувору автентифікацію тих, хто отримує доступ до мережі.
8. Застосування інфраструктури відкритого ключа (PKI): описати правила і процедури використання PKI;
9. Описати інфраструктуру забезпечення електронної торгівлі: зберігання даних;
ідентифікація і автентифікація; захист пересилки даних; методи обробки замовлень.
Правила безпеки при використанні електронної пошти
1. Правила використання електронної пошти: правила повинні вимагати відповідності поштових повідомлень загальноприйнятим морально-етичним нормам, загального відношення до електронної пошти і підпорядкування правилам безпеки.
2. Адміністрування електронної пошти: визначення керування системою електронної пошти;

встановлення права сканування повідомлень, що проходять через систему електронної пошти. Це сканування може проводитися для пошуку вірусів або перевірки вмісту повідомлень. Незалежно від типу сканування необхідно сформулювати правило, в якому йдеться, що організація проводить сканування; правила експлуатації електронної пошти можуть включати механізми обмеження розмірів повідомлень, щоб не допустити перевантаження серверів і смуги пропускання мережі; якщо повідомлення електронної пошти архівуються, необхідно це відзначити в правилі, в якому будуть відбиті основні деталі того, як проводитиметься архівація. У даному правилі також повинні бути позначені терміни зберігання і потенційні виключення з правил.
3. Використання електронної пошти для конфіденційного обміну
інформацією: розпорядження шифрувати повідомлення перед їх пересилкою і
"підписувати" їх цифровими підписами; правила шифрування фактично не відносяться до правил безпеки електронної пошти. Тому в правила безпеки електронної пошти повинно бути включене формулювання, яке адресує користувача до розпоряджень прийнятих в організації правил шифрування.
Антивірусний захист КС
1. Визначення принципів побудови системи антивірусного захисту: реалізація єдиної технічної політики при обґрунтуванні вибору антивірусних продуктів для різних сегментів мережі; повнота обхвату системою антивірусного захисту всієї мережі; безперервність контролю мережі; централізоване керування антивірусним захистом.
2. Формулювання завдань по впровадженню антивірусного захисту: придбання, установка і своєчасна заміна антивірусних пакетів на серверах і робочих станціях користувачів; контроль правильності застосування антивірусного ПЗ користувачами; виявлення вірусів в локальній мережі, їх оперативне лікування, видалення заражених об'єктів, локалізація заражених ділянок мережі; своєчасне сповіщення користувачів про виявлені або можливі віруси, їх ознаки і характеристики; підключення користувачів в мережу тільки по заявці з відміткою адміністратора безпеки про установку ліцензійного антивірусного ПЗ; передачу робочої станції від одного користувача іншому необхідно проводити з переоформленням підключення до мережі; виявлені віруси доцільно досліджувати на стенді підрозділу
інформаційної безпеки для вироблення рекомендацій по їх коректному знешкодженню; у віддалених структурних підрозділах слід призначити позаштатних співробітників, відповідальних за антивірусний захист.

3. Програмно-технічні методи практичної реалізації антивірусного захисту
інформації: використання антивірусних пакетів; архівація інформації; резервування інформації; ведення бази даних про віруси і їх характеристики.
4. Загальні вимоги до використовуваних антивірусних засобів: сумісність з операційними системами серверів і робочих станцій; сумісність з використовуваними програмами; наявність повного набору антивірусних функцій, необхідних для забезпечення антивірусного контролю і знешкодження всіх відомих вірусів; частота оновлення антивірусного ПЗ і гарантії постачальників
(розробників) відносно його своєчасності.
Керування і експлуатація криптографічних систем в КС
1. Відповідність юридичним нормам використання криптографії.
2. Керування криптографією: зобов'язання слідувати тим, або іншим стандартам шифрування; методи фізичного керування апаратно-програмними засобами шифрування.
3. Експлуатація систем шифрування: ознаки даних, що підлягають шифруванню; після зашифровування даних для запобігання доступу до них сторонніх осіб дані повинні бути повністю видалені або знищені фізично носії з цими даними.
4. Правила генерування ключів: забезпечити гарантії секретності ключової інформації; дозволені формати, вимоги по зберіганню, терміни дії, а також секретність програмного забезпечення і процедур генерування ключів; знищення всіх компонентів, що використалися для генерування ключів, для чого в них повинно бути включено вимогу по перезапису оперативної пам'яті і онлайн запам’ятовуючих пристроїв; стирання ділянок пам'яті на автономних запам’ятовуючих пристроях.
5. Керування ключами: визначення правил розкриття ключів або їх вилучення; визначення правил зберігання ключів, формування резервних копій або забезпечення їх пересилки. Важливо розглянути випадок зберігання ключів на тому ж пристрої або носії, де зберігаються захищені дані; визначення правил розподілу ключів симетричного шифрування.
Правила впровадження програмного забезпечення
1. Етапи розробки програмного забезпечення: наявність правил розробки програмного забезпечення гарантує облік питань безпеки при проектуванні і розробці ПЗ;

визначити обов'язки, які сприяють розробці заходів безпеки і коректному використанню програмного забезпечення; основні рекомендації розробки програмного забезпечення: розробка специфікацій; контроль і перевірка інформації, що вводиться користувачем; контроль граничних значень даних під час їх пересилки; виключення недокументованих можливостей обходу засобів захисту і особливих привілеїв для розробників; засоби керування доступом, вбудовані у власне програмне забезпечення, повинні відповідати стандартам і інструкціям на їх застосування; при проектуванні і впровадженні програмного забезпечення власної розробки в ньому повинні застосовуватися ідентифікація і авторизація, що базується на вбудованих в операційну систему, базу даних або в системи сервісного програмного забезпечення алгоритмах;
інші правила, що зачіпають процес розробки ідентифікації і авторизації, стосуються обробки інформації, яка містить паролі.
2. Тестування і документування: забезпечити захист особистої і запатентованої інформації шляхом обмеження її використання при тестуванні програмного забезпечення; процедура тестування призначена для виявлення всіх можливих проблем і порушень захисту; заборонено встановлювати програмне забезпечення, якщо воно не пройшло тестування і не було затверджене керівництвом; наявність документації - це можливість проведення аналізу на предмет виникнення в системі проблем і побічних ефектів, які можуть відобразитися на інформаційній безпеці системи.
3. Заміна версій і керування конфігурацією: знати конфігурацію системи і її компонентів. Знаючи, що повинно бути в системі і в мережі, адміністратори зможуть доповідати про порушення безпеки і несправні програми, які встановлені в системі; вимога письмових запитів на внесення в систему змін, які впливають на безпеку; встановлене програмне забезпечення має помилки. Проте, установка
«патчів» від постачальників, може привести до непередбачених результатів. Правила, що регламентують цю сферу, повинні вводити процедури тестування і вимагати установку виправлень, які стосуються захисту до встановлення всього програмного забезпечення; незалежно від того, наскільки часто тестується програмне забезпечення, може виникнути необхідність вивантажити з працюючої системи встановлене раніше програмне забезпечення або «патчі». У правила керування конфігурацією необхідно включити вимогу як по
інсталяції, так і по "відкату" до попередньої версії.
4. Стороння розробка:

стороннє програмне забезпечення представляє потенційну загрозу безпеки; вжити заходи контролю цілісності програмного забезпечення; вимога сумісності програмного забезпечення із засобами керування безпекою операційного середовища; розробити правила, де вказується, щоб в угодах із сторонніми організаціями містилися умови продажу і розповсюдження розробленого програмного забезпечення.
5. Питання інтелектуальної власності: незалежно від того, хто займається розробкою, кінцевий результат вважається інтелектуальною власністю організації. Програми повинні розглядатися як цінні ресурси, що належать організації.
Зобов'язання виконання Політики безпеки
Зобов'язання виконання Політики безпеки є документом, в якому описані всі правила, що стосуються користувачів у сфері забезпечення безпеки. Документ повинен бути коротким. З ним необхідно знайомити під розпис прийнятих на роботу співробітників, підрядчиків або постачальників, які надають доступ до мережі.
1. Обов'язки користувачів при реєстрації в системі: цей розділ є коротким викладом правил автентифікації. Користувачі повинні бути інформовані про положення, які їм належить знати, навіть якщо вони, і не читали всі документи, що становлять правила безпеки.
2. Робота з системами і в мережі: у цьому розділі повторюються багато правил безпеки, що стосуються щоденної роботи; це звичайні правила поведінки, які знайшли відображення в правилах безпеки.
3. Обов'язки користувачів Internet: ці правила є кодексом поведінки для користувачів, які підключаються до Internet; необхідно включити тільки правила, що відносяться до використання
Internet.
4. Відповідальність організації і надання інформації: організація зобов'язана інформувати користувачів про те, яких дій вимагають від них розпорядження правил, і які санкції можливі з боку керівництва організації. Організація має правові зобов'язання
інформувати про те, які кроки вона робить, включаючи спостереження
і збір даних, які проходять через мережу; необхідно попередити про моніторинг трафіку мережі; організація повинна інформувати про те, що вона займається збором
інформації про користувачів з різних джерел. У правила необхідно включити формулювання про методи збору і зберігання даних.
Інформування - це те, що повинне запобігти ускладненням, якщо

зібрана інформація служитиме підставою для дисциплінарних стягнень.
Порядок впровадження і контролю виконання політики безпеки
1. Тестування і ефективність правил: у цьому розділі правила, охоплюють процеси збору статистики і складання звітів; керівництво повинне заохочувати проведення навчання з питань безпеки, щоб кожен співробітник організації розумів правила безпеки і
їх вплив на виробничі процеси; включити положення про звичайні заходи, використовувані для тестування правил на їх ефективність.
2. Публікація правил: регламентувати публікацію документів і записати вимоги по повідомленню про терміни публікації; вказати, хто відповідатиме за цю роботу.
3. Моніторинг, засоби керування і міри покарання: визначення прав організації по спостереженню; правила керування затверджують право організації на впровадження алгоритмів, які дозволяють вбудувати в систему певні засоби керування. Крім того, необхідно визначити склад осіб, які займатимуться адмініструванням і тестуванням цих засобів керування; затвердити розроблені інструкції за призначенням покарань. Вони не повинні викликати питань про те, чи має організація право застосовувати заходи покарання при порушеннях правил безпеки; правила повинні охоплювати незаконну діяльність, здійснювану внутрішніми користувачами і зовнішніми зловмисниками.
4. Обов'язки адміністраторів: ці правила охоплюють питання адміністративного узгодження і впровадження, які не входять в сферу адміністративного керування; визначають порядок розриву трудової угоди з організацією; встановлюють коло осіб, які несуть відповідальність за своєчасне анулювання права доступу, звільнення ресурсів, виділених користувачу, виявлення в призначених для користувача ресурсах порушень безпеки і інших помилок осіб, а також за архівне зберігання призначених для користувача файлів і інших даних.
5. Міркування щодо реєстрації подій: перевірка журналів аудиту, які створюються в системі і в основних програмах; у журналах фіксуються всі операції, які користувачі виконують в системі або мережі, а також фіксуються всі помилкові і успішні спроби доступу до системи; правила реєстрації досить складні, оскільки неможливо скласти загальне формулювання, відповідне для будь-якої конфігурації системи. Напевно, непрактично реєструвати кожну операцію, що

виконується в комп'ютерній системі, але необхідно забезпечити підтримку сервісних систем, обслуговуючих бази даних; описати порядок обробки інформації з журналів; правила оновлення журналів можуть мінятися залежно від роду діяльності організацій, а також від різновиду журналів.
6. Звітність про порушення безпеки: звіти про інциденти можуть приходити з декількох джерел. Проблеми
із захистом виявляють адміністратори, і для того, щоб користувачі могли фіксувати порушення, вони повинні мати правила, які визначають, як це робити; встановлюються вимоги до звітності для адміністраторів і користувачів; у правила роботи з відкритими широкодоступними звітами необхідно включити методи розділення інформації, яку інформацію вважати достовірною, а яку перевіряти; після повідомлення про інцидент збираються відповідні дані, і застосовуються правові санкції, які базуються на цьому повідомленні.
Недостатньо просто повідомити про те, що щось відбулося. Якщо в ході розслідування інциденту встановлено, що потрібно застосувати заходи покарання, які можуть обмежуватися дисциплінарними заходами або застосуванням заходів, передбачених законодавством, то в правилах повинні бути описані вимоги по обробці цих доказів.
7. Міркування, що стосуються дій після скоєння комп'ютерних злочинів: проконсультуватися з відповідними підрозділами правоохоронних органів на предмет вимог за поданням доказів.
Порядок перегляду політики безпеки
1. Періодичний перегляд документів правил: певних рекомендацій з приводу того, як часто потрібно переглядати правила, не існує. Проте рекомендується, щоб цей термін був в межах від шести місяців до одного року; включити вимогу створення тимчасової комісії при терміновій необхідності внесення в правила значних змін.
2. Підстави для перегляду:
інформація, зібрана в процесі аналізу; дані, зібрані в процесі впровадження правил і процедур, створених на базі цих правил;
інформація, зібрана в процесі аналізу ризиків і аудиту.
3. Комісія по перегляду правил: в ідеалі, комісія по перегляду правил повинна складатися з представників всіх зацікавлених сторін, які були задіяні для розробки правил.
Висновки

Представлена модель оформлення політики безпеки не є строгою.
Конкретна ПБ організації, природно, буде ширшою і повинна враховувати специфіку функціонування ІС організації.
Контрольні питання
1. Яку роль в СЗІ виконує політика безпеки?
2. Яка модель організацій з позиції їх зрілості в сфері інформаційної безпеки запропонована Carnegie Mellon University?
3. У вигляді яких документів доцільно оформляти політику безпеки організації?
4. Які цілі політики безпеки організації?
5. Які завдання політики безпеки організації?
6. Наведіть основні обов'язки керівників організації в сфері інформаційної безпеки.
7. Наведіть основні обов'язки працівників відділу
(підрозділу)
інформаційної безпеки організації в сфері інформаційної безпеки.
8. Які обов'язки адміністраторів безпеки, адміністраторів КС, працівників організації в сфері інформаційної безпеки?
9. Які можуть бути вимоги політики безпеки організації щодо забезпечення фізичної безпеки комп'ютерної системи?
10. Які можуть бути загальні вимоги політики безпеки організації щодо управління і використання комп'ютерної системи?
11. Які можуть бути правила безпеки при використанні зовнішніх ресурсів
(Internet)?
12. Які можуть бути правила безпеки при використанні електронної пошти?
13. Які можуть бути вимоги політики безпеки організації щодо організації антивірусного захисту комп'ютерної системи?
14. Які можуть бути вимоги політики безпеки організації щодо управління і експлуатації криптографічних систем в комп'ютерній системі?
15. Які можуть бути правила впровадження програмного забезпечення в контексті безпеки?
16. Що є зобов'язанням виконання Політики безпеки організації?
17. Як можна визначити порядок впровадження і контролю виконання політики безпеки?
18. Яким може бути порядок перегляду політики безпеки?