Пример за политика за информационна сигурност. Разработване на ефективна система за информационна сигурност. Принципи на информационната сигурност

Оставете коментар 6,950

политика информационна сигурност(пример)

Резюмеполитици

Информацията винаги трябва да бъде защитена, независимо от нейната форма и начина, по който се разпространява, предава и съхранява.

Въведение

Информацията може да съществува в много различни форми... Може да бъде отпечатан или написан на хартия, съхраняван в в електронен формат, предадено по пощата или чрез електронни устройства, да се показват на касети или да се предават устно в процеса на комуникация.

Информационната сигурност е защитата на информацията от различни заплахипредназначени да гарантират непрекъснатост на бизнеса, да минимизират бизнес риска и да увеличат максимално възвръщаемостта на инвестициите и бизнес възможностите.

Обхват

Тази политикаподсилва обща политикасигурността на организацията.
Тази политика се прилага за всички в организацията.

Цели за информационна сигурност

1. Разбиране и справяне със стратегическите и оперативните рискове за информационната сигурност, така че да са приемливи за организацията.

2. Защита на поверителността на информацията за клиентите, разработването на продукти и маркетинговите планове.

3. Запазване целостта на счетоводните материали.

4. Съответствие на общите уеб услуги и вътрешни мрежиподходящи стандарти за достъпност.

Принципи на информационната сигурност

1. Тази организациянасърчава приемането на риска и преодолява рискове, които консервативно управляваните организации не могат да преодолеят, при условие че рисковете се разбират, наблюдават и третират за информация, ако е необходимо. Подробно описание на използваните подходи за оценка и третиране на рисковете може да бъде намерено в политиката за СУИБ.

2. Целият персонал трябва да бъде осведомен и отговорен за сигурността на информацията във връзка със своите служебни отговорности.

3. Трябва да се вземат мерки за финансиране на контрола на информационната сигурност и процесите за управление на проекти.

4. Възможностите за измами и злоупотреби в информационните системи трябва да се вземат предвид, когато общо управление информационни системи.

5. Докладите за състоянието на информационната сигурност трябва да са налични.

6. Необходимо е да се следят рисковете за информационната сигурност и да се предприемат действия, когато промените водят до непредвидени рискове.

7. Критерии за класификация на риска и приемливост на риска могат да бъдат намерени в политиката за СУИБ.

8. Не трябва да се толерират ситуации, които могат да доведат организацията до нарушаване на закони и разпоредби.

Зони на отговорност

1. Старши четната група отговаря за гарантирането, че информацията се обработва правилно в цялата организация.

2. Всеки висш ръководител е отговорен да гарантира, че лицата под негово или нейно ръководство защитават информацията в съответствие с организационните стандарти.

3. Главният служител по сигурността съветва висшия управленски екип, предоставя експертна помощ на служителите на организацията и гарантира, че са налични отчети за състоянието на информационната сигурност.

4. Всеки в организацията носи отговорност за информационната сигурност като част от изпълнението на служебните си задължения.

Ключови резултати

1. Инцидентите по сигурността на информацията не трябва да водят до сериозни непредвидени разходи или сериозно прекъсване на услугите и дейностите на предприятието.

2. Загубите поради измама трябва да бъдат известни и в допустими граници.

3. Проблемите със сигурността на информацията не трябва да влияят неблагоприятно върху приемането на продукти и услуги от клиентите.

Свързани политики

Следните подробни политики съдържат принципи и насоки за специфични аспекти на информационната сигурност:

1. Политика на системата за управление на информационната сигурност (СУИС);

2. Политика за контрол на достъпа;

3. Политиката на ясно бюро и ясен екран;

4. Политика за неоторизиран софтуер;

5. Политика за получаване на софтуерни файлове от външни мрежиили чрез тях;

6. Политика относно мобилен код;

7. Политика Резервно копие;

8. Политика относно обмена на информация между организациите;

9. Политика относно приемлива употреба електронни средствакомуникация;

10. Политика за запазване на записи;

11. Политика за използване мрежови услуги;

12. Политика по отношение на мобилните компютри и комуникациите;

13. Политика работа от разстояние;

14. Политика за използване на криптографски контрол;

15. Политика за съответствие;

16. Политика за лицензиране на софтуер;

17. Политика за премахване на софтуер;

18. Защита на данните и политика за поверителност.

Всички тези политики засилват:

· Идентифициране на риска чрез предоставяне на рамка за контрол, която може да се използва за откриване на недостатъци в проектирането и внедряването на системите;

· Третиране на риска, като помага да се определи как да се справят със специфични уязвимости и заплахи.


Политика за информационна сигурност на компанията

· един. Общи положения

o 1.1. Цел и цел на настоящата Политика

o 1.2. Обхват на тази Политика

o 2.1. Отговорност за информационните активи

o 2.2. Контрол на достъпа до информационни системи

§ 2.2.1. Общи положения

§ 2.2.2. Достъп на трети страни до системите на Компанията

§ 2.2.3. Отдалечен достъп

§ 2.2.4. достъп до интернет

o 2.3. Защита на оборудването

§ 2.3.1. Хардуер

§ 2.3.2. софтуер

o 2.5. Отчитане, реакция и докладване на инциденти в областта на информационната сигурност

o 2.6. Помещения с технически средства за информационна сигурност

o 2.7. Управление на мрежата

o 2.7.1. Защита на данните и безопасност

o 2.8. Разработване на системи и управление на промените

Общи положения

Информацията е ценен и жизненоважен ресурс на ВАШАТА_КОМПАНИЯ (наричана по-нататък - Дружеството). Тази политика за сигурност на информацията предвижда приемането на необходимите мерки за защита на активите от случайна или умишлена промяна, разкриване или унищожаване, както и с цел поддържане на поверителността, целостта и наличността на информацията, за да се гарантира процесът автоматизирана обработкаданни в Дружеството.

Всеки служител на Дружеството отговаря за спазването на информационната сигурност, като основната задача е да осигури сигурността на всички активи на Дружеството. Това означава, че информацията трябва да бъде защитена не по-малко надеждно от всеки друг основен актив на Компанията. Основните цели на Дружеството не могат да бъдат постигнати без своевременно и пълно предоставяне на служителите с необходимата им информация за изпълнение на служебните си задължения.

В тази Политика терминът „служител“ се отнася до всички служители на Компанията. Разпоредбите на тази Политика се прилагат за лицата, работещи в Дружеството по граждански договори, включително командированите, ако това е предвидено в такова споразумение.

Политиката за сигурност на информацията е съвкупност от закони, мерки, правила, изисквания, ограничения, инструкции, наредби, препоръки и др., уреждащи процедурата за обработка на информация и насочени към защита на информацията от определени видове заплахи.

Политиката за информационна сигурност е основен документ за осигуряване на целия цикъл на информационна сигурност в една компания. Следователно висшето ръководство на компанията трябва да се интересува от познаването и стриктното спазване на основните му точки от целия персонал на компанията. Всички служители на отделите, отговарящи за режима за информационна сигурност на компанията, трябва да бъдат запознати с политиката за информационна сигурност срещу подпис. В края на краищата те ще отговарят за проверката на съответствието с изискванията на политиката за информационна сигурност и познаването на нейните основни точки от персонала на компанията по отношение на това, което ги засяга. Процесът за извършване на такива проверки, отговорностите на длъжностните лица, извършващи такива проверки, и графикът на проверките също трябва да бъдат определени.

Политика за информационна сигурност може да бъде разработена както за отделен компонент на информационна система, така и за информационна система като цяло. Политиката за сигурност на информацията трябва да отчита следните характеристики на информационната система: технология за обработка на информация, изчислителна среда, физическа среда, потребителска среда, правила за контрол на достъп и др.

Политиката за сигурност на информацията трябва да гарантира цялостното използване на правни, морални и етични стандарти, организационни и технически мерки, софтуер, хардуер и софтуер и хардуерни средства за осигуряване на информационната сигурност, както и да определя правилата и реда за тяхното използване. Политиката за сигурност на информацията трябва да се основава на следните принципи: непрекъснатост на защитата, достатъчност на мерките и средствата за защита, тяхното съответствие с вероятността от изпълнение на заплахи, рентабилност, гъвкавост на структурата, лекота на управление и използване и др.

Политиката за сигурност е комплексна предпазни меркиза защита на поверителни данни и информационни процесив предприятието. Политиката за сигурност включва изисквания към персонала, мениджърите и технически услуги... Основните насоки на развитие на политиката за сигурност:

  • определяне какви данни и колко сериозно трябва да бъдат защитени,
  • определяне кой и какви щети може да нанесе на компанията в информационен аспект,
  • изчисляване на рисковете и определяне на схема за намаляването им до приемлива стойност.

Има две рейтингови системи текущо състояниев областта на информационната сигурност в предприятието. Те се наричат ​​образно изследвания отдолу нагоре и изследвания отгоре надолу. Първият метод е доста прост, изисква много по-малко капиталови инвестиции, но има и по-малко възможности. Тя се основава на добре познатата схема: "Вие сте натрапник. Какви са вашите действия?" Тоест услугата за информационна сигурност, базирана на данни за всички известни видовеатаки, се опитва да ги приложи на практика, за да провери дали е възможна подобна атака от реален нападател.

Методът отгоре надолу е, напротив, подробен анализцялата съществуваща схема за съхранение и обработка на информация. Първата стъпка в този метод, както винаги, е да се определи кои информационни обекти и потоци трябва да бъдат защитени. Това е последвано от изследването сегашно състояниесистеми за информационна сигурност, за да се определи кой от класическите методи за защита на информацията вече е внедрен, в каква степен и на какво ниво. Третият етап е класификацията на всички информационни обектив класове в съответствие с неговите изисквания за конфиденциалност, достъпност и цялост (неизменност).

Следващата стъпка е да разберете колко сериозни щети може да нанесе разкриването или друга атака на компанията за всеки конкретен информационен обект... Този етап се нарича "изчисление на риска". В първо приближение рискът е продукт на „възможната вреда от атака“ към „вероятността от такава атака“.

Политиката за информационна сигурност трябва да съдържа клаузи, в които ще присъства информацията от следните раздели:


  • концепция за информационна сигурност;
  • определяне на компонентите и ресурсите на информационната система, които могат да станат източници на пробиви в сигурността на информацията и нивото на тяхната критичност;
  • сравнение на заплахи с обекти на защита;
  • оценка на риска;
  • оценка на размера на възможните загуби, свързани с изпълнението на заплахите;
  • оценка на разходите за изграждане на система за информационна сигурност;
  • определяне на изисквания за методи и средства за осигуряване на информационната сигурност;
  • избор на основни решения за информационна сигурност;
  • организиране на възстановителни работи и осигуряване на непрекъсната работа на информационната система;
  • правила за контрол на достъпа.

Политиката за информационна сигурност на предприятието е много важна за гарантиране интегрирана сигурностпредприятия. Хардуер и софтуер, той може да бъде реализиран с помощта на DLP решения.

Свързани публикации

29 април 2014 г. Много компании купуват за своя сметка мобилни джаджиза служители, които често са в командировки. При тези условия ИТ отделът има спешна нужда да контролира устройства, които имат достъп до корпоративни данни, но в същото време се намират извън периметъра на корпоративната мрежа.
Политиката за информационна сигурност (ИС) е набор от мерки, правила и принципи, които се ръководят в ежедневната си практика от служители на предприятие/организация с цел защита на информационните ресурси.

През времето, изминало от възникването на самата концепция за информационна сигурност, са разработени много такива политики - във всяка компания ръководството сам решава как и каква информация да защитава (в допълнение към тези случаи, които се прилагат). официални изискваниязаконодателство Руска федерация). Политиките обикновено се формализират: разработват се съответните разпоредби. Служителите на предприятието са длъжни да спазват такъв документ. Въпреки това, не всички тези документи влизат в сила в крайна сметка. По-долу ще разгледаме всички компоненти на политиката за информационна сигурност и ще определим основните аспекти, които са необходими за нейната ефективност.

За какво е формализирането на защитата на информацията?

Разпоредбите на политиката за сигурност на информацията най-често се появяват под формата на отделен документ в съответствие с изискванията на регулатора - организация, която регулира правилата за работа юридически лицав определена индустрия. Ако няма разпоредба за информационната сигурност, не са изключени определени репресии срещу нарушителя, които могат да доведат дори до спиране на дейността на последния.

Също така политиката за сигурност е задължителен компонент на определени стандарти (местни или международни). Необходимо е да се изпълнят специфичните изисквания, които обикновено се поставят от външни одитори, които изучават дейността на организацията. Липсата на политика за сигурност поражда негативни реакции и подобни оценки влияят негативно на показатели като рейтинг, ниво на надеждност, инвестиционна привлекателност и др.

Материалите за информационна сигурност се появяват, когато висшето ръководство разбере необходимостта от структуриран подход към темата за информационната сигурност. Такива решения могат да се реализират след въвеждането на технически средства, когато има съзнание, че тези средства трябва да се управляват, те трябва да бъдат под постоянен контрол. Често информационната сигурност включва и проблема с отношенията с персонала (служител може да се разглежда не само като лице, обект на защита, но и като обект, от който информацията трябва да бъде защитена), други аспекти и фактори, които надхвърлят изключително защитата компютърна мрежаи предотвратяване на неоторизиран достъп до него.

Наличието на съответните разпоредби показва последователността на организацията по въпросите на информационната сигурност, нейната зрялост. Ясната формулировка на правилата за информационна сигурност е доказателство, че в този процесе постигнат значителен напредък.

Неуспешни политики

Самото наличие на документ с наименованието „Правила за информационна сигурност” не е гаранция за информационната сигурност като такава. Ако се разглежда само в контекста на съответствие с някои изисквания, но без практическо приложение, ефектът ще бъде нулев.

Неефективната политика за сигурност, както показва практиката, е от два вида: компетентно формулирана, но не прилагана, и приложена, но неясно формулирана.

Първият, като правило, е доста често срещан в организации, в които лицето, отговорно за защитата на информацията, просто изтегля подобни документи от Интернет, прави минимални редакции и прави Общи правилаза одобрение от ръководството. На пръв поглед този подход изглежда прагматичен. Принципите на безопасност в различни организации, дори и фокусът на техните дейности да е различен, те често са сходни. Но проблеми с информационната сигурност могат да възникнат при преминаване от обща концепция за информационна сигурност към ежедневна работа с документи като процедури, методи, стандарти и т.н. Тъй като политиката за сигурност първоначално е формулирана за различна структура, са възможни определени трудности при адаптирането. на ежедневните документи.

Неефективната политика от втория тип включва опит за решаване на проблема не чрез приемане на общи стратегически планове, а чрез вземане на незабавни решения. Например, Системен администраторуморен от факта, че потребителите чрез небрежните си манипулации нарушават мрежата, отнема следните действия: взема лист хартия и след десет минути записва правилата (какво е позволено и кое не, кой има право на достъп до данни за определен имот и кой не) и го озаглавява „Политика“. Ако ръководството одобри такава "Политика", тогава тя може впоследствие да служи като основа за дейността на структурата в областта на информационната сигурност в продължение на години, създавайки осезаеми проблеми: например с въвеждането на нови технологии не винаги е възможно за да зададете необходимото софтуер... В резултат на това започват да се допускат изключения от правилата (например необходима е някаква програма, тя е скъпа и служителят убеждава ръководството да използва нелицензираната версия въпреки предишната установени правиласигурност), което отрича всякаква защита.

Разработване на ефективна система за информационна сигурност

За да се създаде ефективна система за информационна сигурност, трябва да се разработи следното:

  • концепцията за информационна сигурност (определя цялостната политика, нейните принципи и цели);
  • стандарти (правила и принципи за защита на информацията във всяка конкретна област);
  • процедура (описание на конкретни действия за защита на информацията при работа с нея: лични данни, процедура за достъп до информационни носители, системи и ресурси);
  • инструкции ( Подробно описаниекакво и как да направим за организацията защита на информациятаи осигуряване на съществуващи стандарти).

Всички горепосочени документи трябва да са взаимосвързани и да не си противоречат.

Също така за ефективна организацияследва да се разработят планове за действие при извънредни ситуации за защита на информацията. Те са необходими в случай на възстановяване на информационните системи в случай на форсмажорни обстоятелства: аварии, бедствия и др.

Структура на концепцията за защита

Нека отбележим веднага: концепцията за информационна сигурност не е идентична със стратегия. Първият е статичен, докато вторият е динамичен.

Основните раздели на концепцията за сигурност са:

  • определение за информационна сигурност;
  • охранителна структура;
  • описание на механизма за контрол на сигурността;
  • оценка на риска;
  • информационна сигурност: принципи и стандарти;
  • задължения и отговорности на всяко поделение, служба или отдел при осъществяване на отбраната носители на информацияи други данни;
  • препратки към други правила за безопасност.

Освен това раздел, описващ основните критерии за ефективност в областта на защитата, няма да бъде излишен. важна информация... Индикаторите за ефективност на защитата са необходими преди всичко за висшето ръководство. Те ви позволяват обективно да оцените организацията на сигурността, без да се задълбочавате технически нюанси... Лицето, отговорно за организацията на сигурността, също трябва да знае ясни критерии за оценка на ефективността на информационната сигурност, за да разбере как ръководството ще оцени работата му.

Списък на основните изисквания към документацията за безопасност

Политиката за сигурност трябва да бъде формулирана, като се вземат предвид два основни аспекта:

  1. Целевата аудитория за цялата информация за безопасността - мениджърите на средно ниво и обикновените служители не познават конкретна техническа терминология, но трябва да разбират и усвояват информацията, предоставена при четене на инструкциите.
  2. Инструкцията трябва да е кратка и в същото време да съдържа всичко необходимата информацияотносно текущата политика. Обемното "фолио" никой няма да изучава в детайли, камо ли да запомня.

От горното има две изисквания за методически материализа безопасност:

  • те трябва да бъдат съставени на прост руски език, без да се използват специални технически термини;
  • текстът за сигурността трябва да съдържа цели, начини за постигането им, посочвайки назначаването на мерки за отговорност за неспазване на информационната сигурност. Всичко! Няма техническа или друга конкретна информация.

Организиране и изпълнение на информационната сигурност

След като документацията за информационна сигурност е готова, е необходима планова организация на работа за нейното прилагане в ежедневната работа. Това изисква:

  • запознаване на екипа с одобрената политика за обработка на информация;
  • въведе тази политика за обработка на информация на всички нови служители (например поведение информационни семинариили курсове, в които да се предоставят изчерпателни обяснения);
  • внимателно проучете съществуващите бизнес процеси с цел откриване и минимизиране на рисковете;
  • участва активно в популяризирането на нови бизнес процеси, за да не изоставате безнадеждно в областта на информационната сигурност;
  • изготвят подробни методически и информационни материали, инструкции, които допълват политиката за обработка на информация (например правилата за предоставяне на достъп до работа в Интернет, процедурата за влизане в помещения с ограничен достъп, списък информационни канали, чрез който можете да прехвърляте поверителни данни, инструкции за работа с информационни системи и др.);
  • веднъж на всеки три месеца преразглеждайте и коригирайте достъпа до информация, процедурата за работа с нея, актуализирайте документацията, приета за информационна сигурност, непрекъснато наблюдавайте и изучавайте съществуващите заплахи за информационната сигурност.

Лица, които се опитват да получат неоторизиран достъп до информация

В заключение класифицираме тези, които могат или искат да получат неоторизиран достъпкъм информация.

Потенциални външни натрапници:

  1. Посетители на офиса.
  2. По-рано уволнени служители (особено тези, които са напуснали със скандал и знаят как да получат достъп до информация).
  3. хакери.
  4. Структури на трети страни, включително конкуренти, както и престъпни групи.

Потенциални вътрешни лица:

  1. Потребители компютърна технологияот броя на служителите.
  2. Програмисти, системни администратори.
  3. Технически персонал.

За организацията надеждна защитаинформацията от всяка от изброените групи изисква свои собствени правила. Ако посетител може просто да вземе със себе си някакъв вид листовка с важни данни, тогава човек от техническия персонал трябва да създаде нерегистрирана входна и изходна точка от LAN. Всеки един от случаите е изтичане на информация. В първия случай е достатъчно да се разработят правилата за поведение на персонала в офиса, във втория - да се прибегне до технически средствакоито повишават информационната сигурност, като DLP системи и SIEM системи, които предотвратяват течове от компютърни мрежи.

При разработването на информационна сигурност е необходимо да се вземат предвид спецификите на изброените групи и да се предвидят ефективни мерки за предотвратяване на изтичане на информация за всяка от тях.

Off-core TSF софтуерът се състои от надеждни приложения, които се използват за изпълнение на функции за сигурност. Имайте предвид, че споделените библиотеки, включително PAM модулите, в някои случаи се използват от доверени приложения. Въпреки това, няма случай, в който самата споделена библиотека се счита за доверен обект. Доверените команди могат да бъдат групирани по следния начин.

  • Инициализация на системата
  • Идентификация и удостоверяване
  • Мрежови приложения
  • Пакетна обработка
  • Управление на системата
  • Одит на ниво потребител
  • Криптографска поддръжка
  • Поддръжка на виртуална машина

Компонентите за изпълнение на ядрото могат да бъдат разделени на три части: основно ядро, нишки на ядрото и модули на ядрото, в зависимост от това как ще бъдат изпълнени.

  • Основното ядро ​​включва код, който се изпълнява за предоставяне на услуга, като например обслужване на потребителско системно извикване или обслужване на изключение или прекъсване. Повечето компилиран код на ядрото попада в тази категория.
  • Нишки на ядрото. За да изпълни определени стандартни задачикато почистване дискови кешовеили освобождавайки паметта чрез разтоварване на неизползвани блокове на страници, ядрото създава вътрешни процеси или нишки. Потоците са планирани точно както нормални процесино те нямат контекст в непривилегирован режим. Нишките на ядрото изпълняват специфични функции на езика на ядрото C. Нишките на ядрото се намират в пространството на ядрото и се изпълняват само в привилегирован режим.
  • Модулът на ядрото и модулът на ядрото на драйвера на устройството са части от код, които могат да се зареждат и разтоварват в и от ядрото, ако е необходимо. Те се разширяват функционалностядра, без да е необходимо да рестартирате системата. Веднъж зареден, обектният код на модула на ядрото може да има достъп до друг код и данни на ядрото по същия начин като статично свързания обектен код на ядрото.
Драйверът на устройството е специален тип модул на ядрото, който позволява на ядрото да има достъп до хардуера, свързан към системата. Тези устройства могат да бъдат твърди дискове, монитори или мрежови интерфейси... Драйверът комуникира с останалата част от ядрото чрез специфичен интерфейс, който позволява на ядрото да се справя с всички устройства по универсален начиннезависимо от основните им реализации.

Ядрото се състои от логически подсистеми, които предоставят различни функционалности. Въпреки че ядрото е единственото изпълнима програма, различните услуги, които предоставя, могат да бъдат разделени и комбинирани в различни логически компоненти. Тези компоненти взаимодействат, за да осигурят специфична функционалност. Ядрото се състои от следните логически подсистеми:

  • Файлова подсистема и I/O подсистема: Тази подсистема изпълнява функции, свързани с обекти файлова система... Реализираните функции включват тези, които позволяват на процес да създава, поддържа, взаимодейства с и изтрива обекти на файловата система. Тези обекти включват обикновени файлове, директории, символни връзки, твърди връзки, файлове, специфични за определени видовеустройства, наречени тръби и муфи.
  • Процесна подсистема: Тази подсистема реализира функции, свързани с контрол на процеса и контрол на нишките. Реализираните функции ви позволяват да създавате, планирате, изпълнявате и изтривате процеси и принципали на нишки.
  • Подсистема памет: Тази подсистема изпълнява функции, свързани с управлението на ресурсите на системната памет. Реализираните функции включват тези, които създават и управляват виртуална памет, включително управлението на алгоритми за страници и таблици за страници.
  • Мрежова подсистема: Тази подсистема реализира UNIX и интернет домейни сокети и алгоритми, използвани за планиране на мрежови пакети.
  • IPC подсистема: Тази подсистема изпълнява функции, свързани с IPC механизми. Реализираните функции включват тези, които улесняват контролирания обмен на информация между процесите, като им позволяват да споделят данни и да синхронизират изпълнението им при взаимодействие със споделен ресурс.
  • Подсистема модули на ядрото: Тази подсистема реализира инфраструктурата за поддръжка на зареждаеми модули. Реализираните функции включват зареждане, инициализиране и разтоварване на модули на ядрото.
  • Разширения Linux сигурност : Внедряват разширенията за сигурност на Linux различни аспектисигурност, която се прилага за цялото ядро, включително рамката на модула за сигурност на Linux (LSM). LSM рамката служи като рамка за модули, позволяващи прилагането на различни политики за сигурност, включително SELinux. SELinux е важна логическа подсистема. Тази подсистема реализира задължителни функции за контрол на достъпа за постигане на достъп между всички обекти и обекти.
  • Подсистема за драйвери на устройства: Тази подсистема реализира поддръжка за различен хардуер и софтуерни устройствачрез общ интерфейс, независим от устройството.
  • Подсистема за одит: Тази подсистема изпълнява функции, свързани със записването на критични за сигурността събития в системата. Реализираните функции включват тези, които улавят всеки системно повикванеза записване на критични за безопасността събития и такива, които прилагат събиране и записване на одитни следи.
  • KVM подсистема: Тази подсистема изпълнява поддръжка жизнен цикълвиртуална машина. Той изпълнява завършване на инструкции, което се използва за инструкции, които изискват само малки проверки. За всяко друго завършване на оператора KVM извиква компонента QEMU потребителско пространство.
  • Крипто API: Тази подсистема предоставя вътрешна за ядрото криптографска библиотека за всички компоненти на ядрото. Той предоставя криптографски примитиви за обаждащите се.

Ядрото е основната част операционна система... Той взаимодейства директно с хардуера, инвентара споделянересурси, предоставя общи услуги за приложения и не позволява на приложенията да имат директен достъп до хардуерно зависими функции. Услугите, предоставяни от ядрото, включват:

1. Управление на изпълнението на процеси, включително операциите по тяхното създаване, прекратяване или преустановяване, и междупроцесна комуникация. Те включват:

  • Еквивалентно планиране на процесите за изпълнение на процесора.
  • Разделяне на процеси в процесора с помощта на режим на разделяне на времето.
  • Изпълнение на процес в процесора.
  • Суспендиране на ядрото след изтичане на определения за него времеви квант.
  • Разпределяне на време на ядрото за изпълнение на друг процес.
  • Пренасрочване на времето на ядрото за стартиране на спрян процес.
  • Управлявайте метаданни, свързани със сигурността на процеса, като UID, GID, етикети SELinux, идентификатори на функции.
2. Изолация оперативна паметза изпълнимия процес. Тази операциявключва:
  • Разрешение на ядрото за процеси да споделят част от своето адресно пространство при определени условия; ядрото обаче защитава собственото адресно пространство на процеса от външна намеса.
  • Ако липсва системата свободна памет, ядрото освобождава паметта, като записва процеса временно в памет от второ ниво или разменя.
  • Координирано взаимодействие с хардуера на машината за установяване на картографирането виртуални адресикъм физически адреси, което картографира генерираните от компилатора адреси към физически адреси.
3. Жизнен цикъл на експлоатация виртуални машиникоето включва:
  • Задава ограничения за ресурсите, конфигурирани от приложението за емулация за дадена виртуална машина.
  • Бягане програмен кодвиртуална машина за изпълнение.
  • Обработете изключването на виртуални машини, като попълните инструкция или отложите завършването на инструкция, за да емулирате потребителско пространство.
4. Поддръжка на файловата система. Включва:
  • Разпределяне на вторична памет за ефективно съхранение и извличане на потребителски данни.
  • Маркиране външна паметза потребителски файлове.
  • Рециклирайте неизползваното място за съхранение.
  • Организация на структурата на файловата система (използвайки ясни принципиструктуриране).
  • Защита на потребителски файлове от неоторизиран достъп.
  • организация контролиран достъппроцеси към периферни устройствакато терминали, лентови устройства, дискови устройства и мрежови устройства.
  • организация взаимен достъпкъм данни за субекти и обекти, осигуряващи контролиран достъп въз основа на политиката на DAC и всяка друга политика, наложена от заредения LSM.
Ядрото на Linux е вид ядро ​​на операционната система, което реализира превантивно планиране. В ядра, които нямат тази възможност, изпълнението на кода на ядрото продължава до завършване, т.е. планировщикът не е в състояние да пренасрочи задача, докато е в ядрото. В допълнение, изпълнението на кода на ядрото се планира съвместно, без предварително планиране и изпълнението на този код продължава, докато завърши и се върне в потребителското пространство, или докато не бъде изрично блокирано. В превантивните ядра е възможно да се разтовари задача по всяко време, докато ядрото е в състояние, в което е безопасно да се разсрочи.

В тази тема ще се опитам да съставя ръководство за разработване на нормативна документация в областта на информационната сигурност за търговска структура, на базата на личен опити материали от мрежата.

Тук можете да намерите отговори на въпроси:

  • за какво е политиката за информационна сигурност;
  • как да го съставя;
  • как се използва.

Необходимостта от политика за информационна сигурност
Този раздел описва необходимостта от прилагане на политика за информационна сигурност и свързани документи, които не са включени красив езикучебници и стандарти, и примери от личен опит.
Разбиране на целите и задачите на отдела за информационна сигурност
На първо място е необходима политика, за да се предадат на бизнеса целите и задачите на информационната сигурност на компанията. Бизнесът трябва да разбере, че служителят по сигурността е не само инструмент за разследване на течове на данни, но и помощник за минимизиране на рисковете на компанията и следователно за повишаване на рентабилността на компанията.
Изисквания на политиката - основа за прилагане на предпазни мерки
Политиката за информационна сигурност е необходима, за да оправдае въвеждането на защитни мерки в компанията. Политиката трябва да бъде одобрена от най-висшия административен орган на дружеството ( управител, борд на директорите и др.)

Всяка защитна мярка е компромис между намаляването на риска и потребителското изживяване. Когато служител по сигурността каже, че процесът не трябва да се случва по никакъв начин поради появата на някакви рискове, винаги му се задава резонен въпрос: "Как трябва да се случи?" На служителя по сигурността трябва да се предложи процесен модел, при който тези рискове са намалени до известна степен, което е задоволително за бизнеса.

В същото време всяко прилагане на каквито и да било защитни мерки по отношение на взаимодействието на потребителя с информационната система на компанията винаги предизвиква негативна реакция от страна на потребителя. Те не искат да се учат отново, да четат разработените за тях инструкции и т.н. Много често потребителите задават разумни въпроси:

  • защо да работя по твоя измислена схема, а не така по прост начинкойто винаги съм използвал
  • който е измислил всичко това
Практиката показва, че потребителят не се интересува от рисковете, можете да му обяснявате дълго и досадно за хакерите, наказателния кодекс и т.н., нищо няма да излезе от това, освен загуба на нервни клетки.
Ако компанията има политика за информационна сигурност, можете да дадете кратък и кратък отговор:
тази мярка е въведена за изпълнение на изискванията на фирмената политика за информационна сигурност, която е одобрена от висшия административен орган на дружеството

Като правило, след като енергията на повечето потребители изчезне. Останалите могат да бъдат поканени да напишат бележка до този най-висш административен орган на компанията. Останалите се елиминират тук. Защото дори и нотата да отиде там, винаги можем да докажем необходимостта от предприетите мерки пред ръководството. Ние не ядем хляба си за нищо, нали? Има две неща, които трябва да имате предвид, когато разработвате политиката си.
  • Целевата аудитория на политиката за информационна сигурност са крайните потребители и висшето ръководство на компанията, които не разбират сложни технически изрази, но трябва да са запознати с разпоредбите на политиката.
  • Няма нужда да се опитвате да натъпчете нещо ненатрапчиво и да включите всичко, което можете в този документ! Трябва да има само цели за информационна сигурност, методи за постигането им и отговорност! Не технически подробностиако изискват специфични познания. Всичко това са материали за инструкции и разпоредби.


Окончателният документ трябва да отговаря на следните изисквания:
  • сбитост - голям обем от документ ще изплаши всеки потребител, никой никога няма да прочете вашия документ (и ще използвате фразата повече от веднъж: "това е нарушение на политиката за информационна сигурност, с която сте запознати")
  • достъпност за обикновен човек на улицата - краен потребителтрябва да разбере КАКВО е написано в политиката (той никога няма да прочете или запомни думите и фразите „регистриране“, „модел на натрапник“, „инцидент със сигурността на информацията“, „ информационна инфраструктура"," техногенен "," антропогенен "," рисков фактор " и др.)
Как може да се постигне това?

Всъщност всичко е много просто: политиката за информационна сигурност трябва да бъде документ от първо ниво, тя трябва да бъде разширена и допълнена с други документи (правила и инструкции), които вече ще описват нещо конкретно.
Можете да направите аналогия с държавата: документът от първо ниво е конституцията, а съществуващите в държавата доктрини, концепции, закони и други нормативни актове само допълват и регулират прилагането на нейните разпоредби. На фигурата е показана приблизителна диаграма.

За да не размазваме овесена каша в чиния, нека просто разгледаме примери за политики за информационна сигурност, които могат да бъдат намерени в интернет.

Полезен брой страници * Заредени с условия Обща оценка
OJSC "Газпромбанк" 11 Много високо
Фонд за развитие на предприемачеството Даму АД 14 Високо Труден документ за внимателно четене, лаикът няма да прочете, а ако чете, няма да разбере и няма да запомни
АД НК "КазМунайГаз" 3 Ниска Лесен за разбиране документ, не претрупан с технически термини
АД "Радиотехнически институт на името на акад. А. Л. Минц" 42 Много високо Труден документ за внимателно четене, лаикът няма да прочете - има твърде много страници

* Полезно наричам броя на страниците без съдържание, заглавна страницаи други страници, които не съдържат конкретна информация

Резюме

Политиката за информационна сигурност трябва да се побере в няколко страници, да бъде лесна за разбиране за лаика, да се описва в общ изгледЦели на ИС, методи за постигането им и отговорност на служителите.
Внедряване и използване на политика за информационна сигурност
След одобрението на политиката за IS е необходимо:
  • да запознае всички вече работещи служители с политиката;
  • да запознаем всички нови служители с политиката (как най-добре да направите това е тема за отделен разговор, имаме въвеждащ курс за новодошлите, в който говоря с обяснения);
  • анализирайте съществуващите бизнес процеси с цел идентифициране и минимизиране на рисковете;
  • участвайте в създаването на нови бизнес процеси, за да не бягате по-късно след влака;
  • разработва наредби, процедури, инструкции и други документи, допълващи политиката (инструкции за предоставяне на достъп до Интернет, инструкции за осигуряване на достъп до помещения с ограничен достъп, инструкции за работа с информационните системи на дружеството и др.);
  • преразглеждайте политиката на IS и другите документи за IS поне веднъж на тримесечие, за да ги актуализирате.

За въпроси и предложения, добре дошли в коментарите и ЛС.

Въпрос% потребителско име%

Колкото до политиката, шефовете не харесват това, което искам. с прости думи... Казват ми: „Имаме тук, освен теб и мен, и още 10 ИТ служители, които сами знаят и разбират всичко, има 200, които нищо не разбират от това, половината от тях са пенсионери.“
Следвах пътя на средната краткост на описанията, например правилата антивирусна защита, а по-долу пиша все едно има политика за антивирусна защита и т.н. Но не разбирам дали потребителят подписва за политиката, но отново трябва да прочете куп други документи, изглежда, че е намалил политиката, но изглежда, че не е.

Тук бих тръгнал по пътя на анализиране на процеси.
Да речем антивирусна защита. Логично трябва да е така.

Какви са рисковете от вируси? Нарушаване на целостта (повреда) на информацията, нарушаване на наличността (престой на сървъри или компютри) на информация. В правилна организациямрежа, потребителят не трябва да има права локален администраторв системата, тоест той не трябва да има права да инсталира софтуер (и следователно вируси) в системата. Така пенсионерите отпадат, тъй като не правят бизнес тук.

Кой може да намали рисковете, свързани с вирусите? Потребители с администраторски права на домейн. Администратор на домейн - чувствителна роля, издавана на служители на ИТ отдели и др. Съответно те трябва да инсталират антивирусни програми. Оказва се, че те са отговорни и за дейността на антивирусната система. Съответно те трябва да подпишат и инструкциите за организиране на антивирусна защита. Всъщност тази отговорност трябва да бъде предписана в инструкциите. Например, bezopasnik кара, администраторите изпълняват.

Въпрос% потребителско име%

Тогава въпросът е каква отговорност за създаването и използването на вируси не трябва да се включва в инструкциите на Anti-Virus ZI (или има статия и не може да бъде спомената)? Или че са длъжни да докладват вирус или странно поведение на компютъра на Help Desk или на ИТ служителите?

Отново бих погледнал от страна на управлението на риска. Тук мирише, така да се каже, на GOST 18044-2007.
във вашия случай" странно поведение„Това не е непременно вирус. Това може да бъде системна спирачка или gposhek и т.н. Съответно това не е инцидент, а събитие за информационна сигурност. Отново, според GOST, всяко лице може да обяви събитие, но е възможно да се разбере инцидент или не само след анализ.

Така този ваш въпрос вече не се превръща в политика за информационна сигурност, а в управление на инциденти. Тук във вашата политика трябва да е посочено това компанията трябва да има система за обработка на инциденти.

Тоест, както можете да видите, административното изпълнение на политиката е поверено основно на администратори и служители по сигурността. Потребителите остават с персонализиран.

Следователно, трябва да съставите определена „Процедура за използване на CBT в компанията“, където трябва да посочите отговорностите на потребителите. Този документ трябва да корелира с политиката за информационна сигурност и да бъде, така да се каже, обяснение за потребителя.

V този документможете да посочите, че потребителят е длъжен да уведоми съответния орган за необичайна компютърна дейност. Е, всичко останало е персонализирано, можете да добавите там.

Като цяло трябва да запознаете потребителя с два документа:

  • Политика на IS (за да разбере какво се прави и защо, да не люлее лодката, да не псува при въвеждане на нови системи за управление и т.н.)
  • тази "Процедура за използване на CBT в компанията" (за да разбере какво точно да прави в конкретни ситуации)

Съответно при въвеждането нова система, просто добавяте нещо към „Поръчката“ и уведомявате служителите за това, като изпратите поръчката по имейл (или през EDMS, ако има такъв).

Етикети: Добавяне на етикети



© Авторско право 2017, https://qzoreteam.ru