Усі лекції ОІБ в одному файлі. Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза
 Скачать 273.05 Kb.
|
Адміністративний рівень інформаційної безпекиОсновні поняттяДо адміністративного рівня інформаційної безпеки відносяться дії загального характеру, що вживаються керівництвом організації. Головною метою адміністративного рівня є формування програми робіт в галузі інформаційної безпеки і забезпечення її виконання, виділяючи для цього необхідні ресурси і контролюючи стан справ. Основою програми є політика безпеки, котра відображає ставлення організації до захисту своїх інформаційних активів. Під політикою безпеки будемо розуміти сукупність документованих рішень, що приймаються керівництвом організації і скеровуються на захист інформації і пов’язаних з нею ресурсів. Керівництво кожної організації повинно усвідомлювати необхідність підтримання режиму безпеки і виділення на ці цілі значних ресурсів. Політика безпеки будується на підставі аналізу ризиків, що визнаються реальними для інформаційної системи організації. Після аналізу ризиків і визначення стратегії захисту складається програма забезпечення інформаційної безпеки. Під цю програму виділяються необхідні ресурси, призначаються відповідальні особи, визначається порядок контролю виконання програми, тощо. Політика безпекиЗ практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації. До верхнього рівня відносять рішення, що відносяться до всієї організації в цілому. Вони мають загальний характер і, як правило виходять від керівництва організації. Приблизний список таких рішень може містити такі елементи: • рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки, призначення осіб, відповідальних за просування програми; формулювання цілей, котрі ставить організація в галузі захисту інформації, визначення загальних напрямів досягнення цих цілей; забезпечення бази для дотримання законів і правил; формулювання адміністративних рішень з тих питань реалізації програми безпеки, які повинні розглядатись на рівні організації в цілому. Для політики верхнього рівня цілі організації в галузі інформаційної безпеки формулюються в термінах доступності, цілісності і конфіденційності. Якщо для організації важливим є підтримання критично важливих баз даних, то на першому плані може стояти зменшення кількості втрат, ушкоджень або спотворення даних. Для організації, яка продає комп’ютерну техніку, ймовірно, важливою є актуальність інформації про надавані послуги та ціни і її доступність максимальному числу потенційних користувачів. Керівництво ж режимного підприємства повинно в першу чергу дбати про захист від несанкціонованого доступу, тобто про конфіденційність. На верхній рівень виноситься управління захисними ресурсами та координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки. Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Це можуть бути всі комп’ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп’ютерів). Можливою є така ситуація, коли в сферу впливу залучаються лише найважливіші системи. В політиці повинні бути визначені обов’язки посадових осіб з вироблення програми безпеки і втілення її в життя. В цьому сенсі політика безпеки є основою підзвітності персоналу. Політика верхнього рівня має справу з трьома аспектами законопослушності та виконавчої дисципліни. По-перше, організація повинна дотримуватись існуючих законів. По-друге, слід контролювати дії осіб, відповідальних за вироблення програми безпеки. По-третє, необхідно забезпечити певний ступінь виконавчої дисципліни персоналу, а для цього треба розробити систему заохочень та покарань. Зазначимо, що на верхній рівень слід виносити мінімум питань. Таке винесення є доцільним, коли воно обіцяє значну економію засобів або коли інакше чинити просто неможливо. До середнього рівня можна віднести питання, які стосуються окремих питань інформаційної безпеки, що є важливими для різних систем, які експлуатуються організацією. Приклади таких питань - ставлення до передових (але, можливо, недостатньо перевірених) технологій, доступ до Internet (як сумістити свободу доступу до інформації з захистом від зовнішніх загроз?), використання домашніх комп’ютерів, застосування користувачами неофіційного програмного забезпечення, тощо. Політика середнього рівня повинна висвітлювати такі питання: Опис аспекту. Наприклад, якщо розглядається застосування користувачами неофіційного програмного забезпечення, його можна визначити як програмне забезпечення, яке не було схвалено і/або закуплено на рівні організації. Галузь застосування. Слід визначити, де, як, стосовно кого і чого застосовується дана політика безпеки. Наприклад, чи стосується політика, пов’язана з застосування користувачами неофіційного програмного забезпечення, організацій-субпідрядників? Чи зачіпає вона співробітників, які користуються портативними і домашніми комп’ютерами і переносять інформацію на виробничі машини? Позиція організації з даного аспекту. На прикладі застосування користувачами неофіційного програмного забезпечення можна уявити собі позиції повної заборони, вироблення процедури приймання такого програмного забезпечення, тощо. Позиція може сформульована і в найзагальнішому вигляді, як набір цілей, які переслідує організація в даному аспекті. Стиль документів, що визначають політику безпеки і їх перелік в різних організаціях можуть значно відрізнятись. Ролі і обов’язки. До документу необхідно включити інформацію про посадових осіб, відповідальних за реалізацію політики безпеки. Наприклад, якщо для застосування неофіційного програмного забезпечення співробітникам потрібно отримати дозвіл керівництва, повинно бути відомо, у кого і як його можна отримати. Якщо ж неофіційне програмне забезпечення застосовувати заборонено, необхідно знати, хто контролює дотримання даного правила. Законослухняність. Політика повинна містити загальний опис заборонених дій і покарань за них. Точки контакту. Повинно бути відомо, куди слід звертатись за роз’ясненнями, допомогою і додатковою інформацією. Звичайно “точкою контакту” є певна посадова особа, а не конкретна людина, що посідає в даний момент даний пост. Політика безпеки нижнього рівня стосується окремих інформаційних сервісів. Вона містить два аспекти – цілі і правила їх досягнення, через що її буває важко відділити від питань реалізації. На відміну від двох верхніх рівнів політика нижнього рівня повинна бути визначена детальніше. Багато питань, що є специфічними для окремих видів послуг, не можна однаково регламентувати в рамках всієї організації. Але ці питання є настільки важливими для забезпечення режиму безпеки, що рішення з них повинні прийматись на управлінському, а не технічному рівні. Наведемо приклади питань, на які слід дати відповіді в політиці безпеки нижнього рівня: • хто має право доступу до об’єктів, що підтримуються сервісом? • за яких умов можна читати і модифікувати дані? • як організовано віддалений доступ до сервісу? При формулюванні цілей політики безпеки нижнього рівня можна керуватись міркуваннями цілісності, доступності і конфіденційності. Але цього недостатньо. Її цілі повинні бути конкретнішими. Наприклад, якщо мова йде про систему розрахунку заробітної платні, можна поставити мету, щоб тільки співробітникам відділів кадрів і бухгалтерії дозволялось вводити і модифікувати інформацію. В загальному випадку цілі повинні зв’язувати між собою об’єкти сервісу і дії з ними. З цілей виводяться правила безпеки, які описують, хто, що і за яких умов може робити. Чим детальнішими є правила, чим формальніше їх викладено, тим простіше підтримувати їх виконання програмно-технічними засобами. З іншого боку, надто жорсткі правила можуть заважати роботі користувачів, тому ймовірно, їх доведеться часто переглядати. Керівництву належить знайти розумний компроміс, коли за прийнятну ціну буде забезпечено прийнятний рівень безпеки, а співробітники не виявляться занадто зв’язаними. Звичайно через особливу важливість найбільш формально задаються права доступу до об’єктів. |