Правилник за политиката за информационна сигурност на дружеството. Пример за подхода на Cisco Systems. Структура на концепцията за защита

Оставете коментар 6,950

Под политика за сигурносторганизации разбират набора от документирани управленски решениянасочени към защита на информацията и свързаните с нея ресурси. Политиката за сигурност е средството, чрез което се извършват дейности в компютърната информационна система на организацията. Като цяло политиките за сигурност се определят от използваната компютърна среда и отразяват специфичните нужди на организацията.

Обикновено корпоративната информационна система е сложен комплекс от хетерогенен, понякога лошо координиран хардуер и софтуер: компютри, операционни системи, мрежови съоръжения, СУБД, различни приложения. Всички тези компоненти обикновено имат свои собствени защити, които трябва да бъдат съчетани. Следователно ефективната политика за сигурност е от съществено значение като последователна платформа за защита на корпоративната система. Тъй като компютърната система расте и се интегрира в глобалната мрежа, е необходимо да се гарантира, че няма слаби точкизащото всички усилия за защита на информацията могат да бъдат намалени само с един пропуск.

Можете да проектирате политика за сигурност, която определя кой има достъп до конкретни активи и приложения, какви роли и отговорности имат конкретни лица и процедури за сигурност, които ясно диктуват как трябва да се изпълняват конкретни задачи за сигурност. Индивидуалните характеристики на работата на служителя може да изискват достъп до информация, която не трябва да е достъпна за други служители. Например, мениджърът по човешки ресурси може да има достъп до личната информация на всеки служител, докато специалист по отчитане може да има достъп само до финансовите данни на тези служители. И обикновен служител ще има достъп само до собствената си лична информация.

Политиката за сигурност определя позицията на организацията относно рационалното използване на компютрите и мрежата, както и процедурите за предотвратяване и реагиране на инциденти със сигурността. В голяма корпоративна система може да се прилага широк спектър от различни политики, от бизнес политики до специфични правила за достъп до набори от данни. Тези политики се определят изцяло от специфичните нужди на организацията.

Основни понятияполитики за сигурност

Политиката за сигурност определя стратегията за управление на информационната сигурност, както и нивото на внимание и количеството ресурси, които ръководството счита за подходящи.

Политиката за сигурност се основава на анализ на рискове, които са признати за реални за информационната система на организацията. При извършване на анализа на риска и определяне на стратегията за защита се съставя програма, чието изпълнение трябва да гарантира сигурността на информацията. За тази програма се разпределят ресурси, назначават се отговорни лица, определя се редът за контрол на изпълнението на програмата и др.

За да се запознаем с основните понятия на политиките за сигурност, нека разгледаме като конкретен пример хипотетична локална мрежа, принадлежаща на организация, и политика за сигурност, свързана с нея.

Политиката за сигурност на организацията трябва да бъде структурирана като сбит, лесно разбираем политически документ на високо ниво, подкрепен от набор от по-специфични документи за специализирани политики и процедури за сигурност.

Политиката за сигурност на високо ниво трябва да се преразглежда периодично, за да се гарантира, че отговаря на текущите нужди на организацията. Този документ е изготвен по такъв начин, че политиката да е относително независима от специфични технологии... Ако е така, този политически документ не трябва да се променя твърде често.

Политиката за сигурност обикновено се изготвя под формата на документ, който включва такива раздели като описание на проблема, обхват, позиция на организацията, разпределение на ролите и отговорностите, санкции и др.

Описание на проблема.Информация, циркулираща вътре локална мрежа, е критично. Локалната мрежа позволява на потребителите да споделят програми и данни, което увеличава риска за сигурността. Следователно всеки от компютрите в мрежата се нуждае от повече силна защита... Тези засилени мерки за сигурност са предмет на този документ. Документът има следните цели: да демонстрира на служителите на организацията важността на защитата на мрежовата среда, да опише тяхната роля за осигуряване на сигурността, както и да определи конкретни отговорности за защита на информацията, циркулираща в мрежата.

Област на приложение.Обхватът на тази политика обхваща всички хардуерни, софтуерни и информационни ресурси, включени в локалната мрежа на предприятието. Политиката също е насочена към хората, работещи с мрежата, включително потребители, подизпълнители и доставчици.

Позицията на организацията.Целта на организацията е да гарантира целостта, наличността и поверителността на данните, както и тяхната пълнота и уместност. По-конкретните цели са:

    осигуряване на ниво на сигурност, което отговаря на нормативните документи;

    следвайки икономическа осъществимостпри избора на защитни мерки (разходите за защита не трябва да надвишават предполагаемата вреда от нарушението информационна сигурност);

    осигуряване на сигурност във всяка функционална зона на локалната мрежа;

    осигуряване на отчетност за всички действия на потребителите с информация и ресурси;

    Предоставяне на анализ на регистрационна информация;

    предоставяне на потребителите на достатъчно информация за съзнателно поддържане на режима на сигурност;

    разработване на планове за възстановяване след аварии и други критични ситуации за всеки функционални зонис цел осигуряване на непрекъснатост на мрежата;

    осигуряване на съответствие с приложимите закони и политиката за корпоративна сигурност.

Разпределение на ролите и отговорностите.Съответните длъжностни лица и нетизи са отговорни за изпълнението на горните цели.

Началници на отдели отговарят за съобщаването на разпоредбите на политиката за сигурност на потребителите и за свързване с тях.

осигуряват непрекъснатото функциониране на мрежата и отговарят за прилагането на техническите мерки, необходими за прилагане на политиката за сигурност.

Администратори на услуги отговарят за конкретни услуги и по-специално за гарантиране, че защитата е изградена в съответствие с общата политика за сигурност.

Потребители са длъжни да работят с локалната мрежа в съответствие с политиката за сигурност, да се подчиняват на заповедите на лицата, отговорни за определени аспекти на сигурността, да информират ръководството за всички подозрителни ситуации.

Повече подробности за ролите и отговорностите на служителите и нетизените са предоставени по-долу.

Санкции.Нарушаването на политика за сигурност може да изложи локалната мрежа и информацията, циркулираща в нея, на неприемлив риск. Инцидентите, свързани със сигурността от страна на персонала, трябва незабавно да бъдат адресирани от ръководството за дисциплинарни действия до и включително прекратяване.

Допълнителна информация.Конкретни екипи от внедряващи може да се нуждаят от допълнителни документи за преглед, като например специализирани политики и процедури за сигурност и други насоки. Необходимостта от допълнителни документи за политиката за сигурност зависи до голяма степен от размера и сложността на организацията. Една достатъчно голяма организация може да изисква специализирани политики за сигурност в допълнение към основната политика. По-малките организации се нуждаят само от подгрупа от специализирани политики. Много от тези подкрепящи документи могат да бъдат доста кратки - дължина от една до две страници.

От практическа гледна точка политиките за сигурност могат да бъдат разделени на три нива: горно, средно и долно.

Най-високо нивополитиката за сигурност определя решенията, засягащи организацията като цяло. Тези решения имат много общ характер и обикновено идват от ръководството на организацията.

Такива решения могат да включват следните елементи:

    формулирането на целите, които организацията преследва в областта на информационната сигурност, определянето на общи насоки за постигане на тези цели;

    формиране или ревизия интегрирана програмаосигуряване на информационната сигурност, идентифициране на лицата, отговорни за популяризирането на програмата;

    осигуряване на материалната база за спазване на законите и наредбите;

    формулиране на управленски решения по въпросите на изпълнението програми за сигурностда се разглежда на ниво организация като цяло.

Политика за сигурност от най-високо нивоформулира целите на организацията за информационна сигурност по отношение на целостта, наличността и поверителността. Ако една организация е отговорна за поддържането на критични за мисията бази данни, първият приоритет трябва да бъде интегритет данни. За търговска организация, уместността на информацията за предоставяните услуги и цени, както и нейната наличност максимален брой потенциални купувачи. На първо място ще се погрижи режимната организация конфиденциалност информация, тоест за нейната защита от неоторизиран достъп.

На Най-високо нивосе извършва управление на ресурсите за сигурност и координиране на използването на тези ресурси, разпределянето на специален персонал за защита критично важни системиподдържане на контакти с други организации, осигуряващи или наблюдаващи режима за сигурност.

Политика от най-високо нивотрябва ясно да определи сферата на своето влияние. Това могат да бъдат всички компютърни системи в една организация или дори повече, ако политиката регулира някои аспекти на използването на домашните им компютри от служителите. Възможно е също така в сферата на влияние да бъдат включени само най-важните системи.

Политиката трябва да дефинира отговорностите на длъжностните лица да разработват програмата за безопасност и да я прилагат, тоест политиката може да служи като основа за отчетност на персонала.

Политиката на най-високо ниво се занимава с три аспекта на спазването на закона и дисциплината на изпълнение. Първо, организацията трябва да спазва съществуващите закони. Второ, трябва да се наблюдават действията на отговорните за разработването на програмата за сигурност. Трето, необходимо е да се осигури изпълнителската дисциплина на персонала чрез система от награди и наказания.

Средно нивополитиката за сигурност определя решаването на въпроси, свързани с определени аспекти на информационната сигурност, но важни за различни системи, управлявани от организацията.

Примери за такива въпроси са отношението към достъпа до Интернет (проблемът за съчетаването на свободата за получаване на информация със защитата от външни заплахи), използване на домашни компютри и др.

Политиката за сигурност на средно ниво трябва да дефинира следните точки за всеки аспект на информационната сигурност:

    описание на аспекта- позицията на организацията може да бъде формулирана в достатъчна общ изгледкато набор от цели, които организацията преследва в този аспект;

    област на приложение- трябва да се уточни къде, кога, как, по отношение на кого и за какво се прилага. тази политикасигурност;

    роли и отговорности- документът трябва да съдържа информация за длъжностните лица, отговорни за прилагането на политиката за сигурност в живота;

    санкции -политиката трябва да съдържа общо описаниезабранени действия и наказания за тях;

    точки за контакт- трябва да знае къде да отиде за разяснения, помощ и допълнителна информация. Длъжностното лице обикновено е точката за контакт.

По-ниско нивополитиката за сигурност се прилага за конкретни услуги. Тази политика включва два аспекта: цели и правила за постигането им – поради което понякога е трудно да се отдели от въпросите, свързани с изпълнението. За разлика от горните две нива, въпросната политика трябва да бъде по-подробна.

Ето някои примери за въпроси, на които трябва да се отговори, когато следвате политика за сигурност на ниско ниво:

    кой има право на достъп до обекти, поддържани от услугата;

    как е организирано отдалечен достъпкъм сервиза.

Политика за сигурност на ниско нивоможе да идва от съображения за целостта, наличността и поверителността, но не трябва да се спира на тях. Като цяло целите трябва да свързват обектите на услугата и да взаимодействат смислено с тях.

От целите се извличат правила за безопасност, които описват кой какво може да прави и при какви условия. Колкото по-подробни са правилата, колкото по-ясно и формално са изложени, толкова по-лесно е да се подпомогне прилагането им със софтуерни и технически мерки. Разрешенията за обекти обикновено са най-формално определени.

Ето по-подробно описание на отговорностите на всяка категория персонал.

Началници на отдели отговарят за съобщаването на разпоредбите на политиката за сигурност на потребителите. Те са длъжни да:

    имайте предвид проблемите със сигурността по всяко време. Уверете се, че техните подчинени правят същото;

    извършва анализ на риска, идентифициране на активи, изискващи защита и системни уязвимости, оценка на размера на възможните щети от пробив в сигурността и избор ефективни средствазащита;

    организира обучение на персонала по мерки за сигурност. Обърнете специално внимание на въпроси, свързани с антивирусния контрол;

    информира администраторите на локална мрежа и администраторите на услуги за промени в статуса на всеки от подчинените (прехвърляне на друга работа, уволнение и др.);

    гарантират, че всеки компютър в техните подразделения има хост или системен администратор, който отговаря за сигурността и който е квалифициран да изпълнява тази роля.

Администратори на локална мрежа осигуряват непрекъснатото функциониране на мрежата и отговарят за прилагането на техническите мерки, необходими за прилагане на политиката за сигурност. Те са длъжни да:

    да осигури защита на локално мрежово оборудване, включително интерфейси с други мрежи;

    бързо и ефективно да реагират на заплашителни събития. Информирайте администраторите на услуги за опити за нарушаване на защитата;

    използвайте доказани средства за одитиране и откриване на подозрителни ситуации. Ежедневно анализирайте регистрационната информация, свързана с мрежата като цяло и за файлови сървъриособено;

    не злоупотребявайте с великите си сили. Потребителите имат право на поверителност;

    разработване на процедури и изготвяне на инструкции за защита на локалната мрежа от злонамерен софтуер. Подпомагане за откриване и елиминиране злонамерен код;

    изпълнявайте редовно архивиранеинформация, съхранявана на файлови сървъри;

    направете всички промени в конфигурацията на мрежовия хардуер и софтуер;

    гарантира, че процедурата за идентификация и удостоверяване е задължителна за достъп мрежови ресурси... Разпределете имена за вход на потребители и първоначални паролисамо след попълване на регистрационните форми;

    периодично проверявайте надеждността на защитата на локалната мрежа. Предотвратете неоторизирани потребители да получат привилегии.

Администратори на услуги отговарят за конкретни услуги и по-специално за гарантиране, че защитата е изградена в съответствие с общата политика за сигурност. Те са длъжни да:

    управлява правата на потребителски достъп до обслужвани обекти;

    бързо и ефективно да реагират на заплашителни събития. Оказва съдействие за отблъскване на заплахата, идентифициране на нарушителите и предоставяне на информация за тяхното наказание;

    редовно архивиране на информация, обработвана от услугата;

    предоставя на потребителите имена за вход и първоначални пароли само след попълване на регистрационни формуляри;

    анализирайте ежедневно регистрационната информация, свързана с услугата. Редовно следете услугата за злонамерен софтуер;

    периодично проверявайте надеждността на сервизната защита. Предотвратете неоторизирани потребители да получат привилегии.

Потребители са длъжни да работят с локалната мрежа в съответствие с политиката за сигурност, да се подчиняват на заповедите на лицата, отговорни за определени аспекти на сигурността, да информират ръководството за всички подозрителни ситуации. Те са длъжни да:

    познават и спазват законите, правилата, приети в тази организация, политиката за сигурност, процедурите за сигурност. Използват наличните механизми за сигурност, за да гарантират поверителността и целостта на тяхната информация;

    използвайте механизъм за защита на файлове и правилно задайте права за достъп;

    изберете висококачествени пароли, променяйте ги редовно. Не записвайте пароли на хартия, не ги споделяйте с други;

    информира администраторите или ръководството за пробиви в сигурността и други подозрителни ситуации;

    не използвайте слабости в защитата на услугите и локалната мрежа като цяло. Не извършвайте неоторизирана работа с данни, не пречи на други потребители;

    винаги предоставяйте правилна информация за идентификация и удостоверяване, не се опитвайте да работите от името на други потребители;

    предоставя резервна информация от твърд дисктвоят компютър;

    знаят как работи зловредният софтуер, как прониква и се разпространява. Познават и спазват процедурите за предотвратяване проникването на зловреден код, неговото откриване и унищожаване;

    познават и спазват правилата на поведение в извънредни ситуации, последователността на действията при отстраняване на последствията от аварии.

Мерки за управление на информационната сигурност.Основната цел на предприетите мерки на управленско ниво е да се формулира програма за работа в областта на информационната сигурност и да се осигури нейното изпълнение чрез разпределяне на необходимите ресурси и извършване на редовен мониторинг на състоянието на нещата. Основата на тази програма е многопластова политика за сигурност, която отразява интегрирания подход на организацията за защита на нейните ресурси и информационни активи.

Основният етап в изграждането на сигурна информационна система е етапът на разработване на политика за сигурност. За създаването е необходима подробна политика ефективна системакорпоративна сигурност По-долу са показани основните стъпки за гарантиране на сигурността:

  • Изясняване на значението на информационните и технологичните активи на предприятието;
  • определяне на нивото на сигурност за всеки актив, както и мерки за сигурност, които ще бъдат рентабилни за всеки актив
  • Определяне на рискове за заплахи за активи;
  • Привличане на необходимите финансови средства за осигуряване на политиката за сигурност, както и придобиването и конфигурирането необходимите средстваза безопасност;
  • Строг контрол на поетапното изпълнение на плана за сигурност, за идентифициране на текущата прошка и също така отчитане на промените външни факторис допълнителна промяна в необходимите методи за сигурност;
  • Извършване на разяснителни действия за персонала и други отговорни служители

Следните изисквания на политиката за сигурност са съставени от поредица от грешки и опити от повечето организации:

Политиките за сигурност трябва:

  • посочете причините и целите за създаване на политика за сигурност;
  • проверява кои граници и ресурси са обхванати от политиката за сигурност;
  • идентифициране на отговорните за политиката за сигурност;
  • определят условието за неизпълнение и т.нар. наказание
  • политиките за сигурност трябва да бъдат реални и приложими;
  • политиките за сигурност трябва да бъдат достъпни, кратки и недвусмислени за разбиране;
  • трябва да има средата между защита и производителност;

Основните стъпки за разработване на политика са:

  • създаване на адекватен екип за създаване на политика;
  • разрешаване на въпроси относно възникващи функции по време на разработката.
  • решаване на въпроси относно обхвата и целта на политиката;
  • решаване на въпроси относно лицата, отговорни за създаването и прилагането на този документ;

Трябва да анализирате локалната мрежа за. След като сте предприели основните стъпки, трябва да анализирате дали има връзка (или) с локална мрежа към Интернет. Всъщност, когато мрежата влезе онлайн, възниква въпросът за. Тогава какви компютри и мрежови услуги вече се използват в мрежата. Определете броя на служителите според редица критерии. Например колко хора се нуждаят от достъп до Интернет, колко използват чрез имейли други онлайн услуги... Също така определете дали има отдалечен достъп до вътрешна мрежа... Повечето основен въпрос, чрез който трябва да се дефинират всички въпроси, това „Тази услуга включена ли е в списъка с бизнес изисквания?“

След като анализира и организира информацията, екипът трябва да премине към анализ и. Анализ на риска- това е най-важният етап от формирането на политика за сигурност (фиг. 1).

Снимка 1

На този етап се изпълняват следните стъпки:

  • анализи, които са пряко определени за обекта на защита;
  • оценка и идентифициране на цената на информационните и технологичните активи;
  • проверка на вероятността от реализиране на заплахите на практика;
  • проверка на рискове за активи;

След като разгледате рисковете за активите, трябва да продължите към задаване на нивото на сигурносткойто определя защитата за всеки актив. Има правило, че цената за защита на актива не трябва да надвишава цената на самия актив

Помислете за създаване на един от процесите за сигурност. Процесът е показан на фиг. 2.

  • вход, да кажем, че потребителят прави заявка за създаване на нова парола;
  • , определя кои роли участват в този процес. Потребителискания нова паролав Администратор;
  • Контрол- описва самия алгоритъм, който управлява процеса. Когато бъдете подканени за нова парола, потребителят трябва да бъде удостоверен;
  • Изход, това е резултатът от процеса. Извличане на парола.

Снимка 2

Компоненти на архитектурата за сигурност

Физическа охрана, важен компоненттъй като запълването на физическата зона, където се намират компонентите на защитения обект, не е еднакво. Ако в сградата има не само служители на организацията, но и други хора, трябва да се вземат предвид всички аспекти на защитата. Изпълнение физическа защитасе свежда до дефиницията на компоненти компютърна мрежакоито трябва да бъдат физически защитени, тъй като могат да бъдат обект на заплахи като загуба на поверителността, наличността и целостта.

Необходимо е да се обозначат зони с различни нива на сигурност:

  • отворена, зона от физическата среда, в която могат да влизат както служители, така и други хора
  • контролирана, зона от физическата среда, която трябва да бъде затворена при липса на надзор или надзор
  • особено контролиран, това е зона, в която достъпът е ограничен дори за служители с повишени правадостъп

Ресурсите са разделени на две категории, които са уязвими към заплахи:

  • ресурси на ОС;
  • Потребителски ресурси.
  • Може би теоретично ресурсите, които стоят зад физически достъпорганизации, например;
  • трябва да определи правомощията за всяка система и платформа;
  • проверете предоставянето на права на оторизирани потребители.

Управление на алармиважен компонент, тъй като за незабавен отговор обещанието е да се предотврати атака. Примерни процеси за откриване на проблеми и аларми:

  • всяко нарушение на сигурността трябва да даде сигнал за събитие;
  • Едно събитие не е причина за одобрение, те трябва да се натрупват;
  • трябва да има праг, спрямо който се сравняват данните и се правят изводите за конкретни действия.

Пример за корпоративен подход на IBM

IBM вярва, че корпоративните действия трябва да започнат със създаването на политика за сигурност. В същото време при създаването му е препоръчително да се придържаме към международния стандарт ISO 17799:2005 и да разглеждаме политиката на компанията като неразделна част от процеса на управление на риска (фиг. 3). Разработването на политика за сигурност е една от важните задачи на предприятието.

Фигура - 3

Специалистите на IBM идентифицират следните етапи на разработване на политика за сигурност:

  • Анализ информационни предприятиякоето може да причини максимална вреда.
  • Създайте политика за сигурност, която прилага, които са в обхвата на целите на предприятието.
  • Разработете планове за спешни случаи за смекчаване на щетите.
  • Остатъчен анализ информационни заплахи... Анализът се извършва въз основа на основните заплахи.
  • Преглед на ИТ стратегията, идентифициране на изискванията за информационна сигурност и анализ текущи проблемисигурност.
  • Проверка на бизнес стратегията на предприятието.
  • Разработване на политика за сигурност, която взема предвид ИТ стратегиите и целите за развитие на предприятието.

Фигура - 4

Под стандартите на IBM означава документи, които описват процедурата и структурата за прилагане на политиките за сигурност в такива аспекти като оторизация, контрол на достъпа, удостоверяване, идентификация и т.н. Такива стандарти могат да бъдат променени във връзка с изискванията на политиката за сигурност, тъй като вече са засегнати от малко други, по-специфични заплахи. IBM се ангажира да създава стандарти за:

  • анализ на информационните заплахи и методи за тяхното намаляване
  • създаване на стандарти и правила за безопасност различни нивапредприятия
  • изясняване на методите за защита, които ще се прилагат в предприятието
  • конкретно определение на процедурите за сигурност
  • анализ на очакванията относно резултатите от служителите и компанията като цяло
  • осъществяване на правна подкрепа

Стандартите се създават с помощта на практики и/или процедури. Те подробно описват услугите, които са инсталирани на ОС, както и процедурата за създаване на други моменти. IBM предлага специфичен подход за разработване на документи за сигурност (Фигура 5).

Фигура - 5

Пример за UNIX-базиран стандарт за сигурност

Обхват и цел на действие- документът описва изискванията за защита на персонални компютри, работещи на unix OS.

Публика- персонал от службите за информационна сигурност и информационни технологии.

Акредитивни писма- Отделът за информационна сигурност на предприятието е надарен с всички права за достъп до сървърите на информационната система на предприятието и отговаря за тях. Отделът за управление на риска одобрява всички отклонения от изискванията на стандарта.

Изключения- Всякакви отклонения от прилагането на стандарта трябва да бъдат потвърдени в отдела за информационна сигурност на предприятието.

поддържа- Всички въпроси, свързани със стандарта, питайте отдела за информационна сигурност.

Ревизия на стандарта- ревизира се ежегодно.

Пример за подход на Sun Microsystems

Sun смята, че политиката е необходима за ефективна организациярежима на информационната сигурност на предприятието. Под политика за сигурност разбират и стратегически документ, който описва изискванията и очакванията на ръководството на компанията. Те препоръчват създаване на подход отгоре надолу, първо създайте политика за сигурност, а след това изградете архитектурата на информационната система. За да създадат политика за сигурност, те препоръчват включване на такива служители на отдели като:

  • управление на бизнес
  • отдел за информационна сигурност
  • техническо управление
  • отдел за управление на риска
  • отдел системна/мрежова администрация
  • правен отдел
  • отдел за системни операции
  • Отдел човешки ресурси
  • обслужване вътрешно качествои одит

Основната цел на политиката за сигурност- информиране на ръководството и служителите на дружеството за актуалните изисквания за защита на данните в информационната система.

Идея за политиката на сигурностосновните идеи включват:

  • присвояване на стойност на информационните активи
  • управление на остатъчния риск; R = H × P, където H - оценка на щетите, P - вероятност за заплаха
  • управление на информационната сигурност
  • оправдано доверие

Принцип на безопасност- това е първата стъпка в създаването на политика, те включват:

  • Запознаване – участниците в информационната система трябва да са запознати с изискванията на политиката за сигурност и отговорност.
  • Всеки потребител носи отговорност за всички свои действия в информационната мрежа.
  • Етика – дейностите на служителите на компанията трябва да бъдат в съответствие с етичните стандарти.
  • Изчерпателност – трябва да се вземат предвид всички области на сигурност.
  • Икономическа обосновка - всички действия за развитие на предприятието трябва да бъдат икономически обосновани.
  • Интеграция – всички области на политики, процедури или стандарти трябва да бъдат интегрирани и координирани една с друга.
  • Своевременност – Всички мерки за противодействие на заплахите трябва да бъдат навременни.
  • Демокрация - всички действия за защита на активите в предприятието трябва да бъдат в съответствие с нормите на демокрацията.
  • Акредитация и сертифициране – фирмата и цялата й дейност трябва да бъдат сертифицирани
  • Разделяне на привилегиите – всички права на служителите трябва да бъдат разделени по отношение на техния достъп до ресурси.

Пример за подхода на Cisco Systems

Cisco смята, че липсата на политика за мрежова сигурност води до сериозни инциденти със сигурността. Определянето на нивата на заплахи и видовете достъп, които са необходими за всяка мрежа, ви позволява да създадете матрица за сигурност (Таблица 1). Такава матрица е отправна точка за създаване на политика за сигурност.

Маса 1.

Система Описание Ниво на риск Типове потребители
Превключватели за банкомати Основни мрежови устройства Високо Мрежови администратори
Мрежови рутери Мрежови разпределителни устройства Високо Мрежови администратори
Превключватели за достъп Устройства за достъп до мрежата Средно аритметично Мрежови администратори
ISDN / комутируеми сървъри Устройства за достъп до мрежата Средно аритметично
Защитни стени Устройства за достъп до мрежата Високо Администратор по сигурността
DNS и VRSZ сървъри Мрежови приложения Средно аритметично Мрежови и системни администратори
Външни пощенски сървъри Мрежови приложения Къс
Вътрешни пощенски сървъри Мрежови приложения Средно аритметично Администратори и потребители
Сървъри за бази данни на Oracle Мрежови приложения Среден или висок Администратори и потребители на база данни

Под вниманиена нарушения, експертите на Cisco считат за потвърждение на модификациите на системите за сигурност. Тези промени включват:

  • списъци за контрол на достъпа
  • конфигурация на защитната стена
  • PZ версия
  • SNMP конфигурация

Също така, според RFC 2196, трябва да има обработка на инциденти. Обработка на инциденти- алгоритъм за отговор различни ситуации... Стъпки на обработка:

  • определяне на приоритета и вида на атаката
  • анализ на началния/крайния час на атаката
  • анализ на източника на атака
  • анализ на устройствата, засегнати от атаката
  • запис в дневника
  • действия за спиране или смекчаване на последиците от атака
  • изолиране на засегнатите области на системата
  • уведомяване на заинтересованите лица
  • защита на доказателства за нападение
  • възстановяване на работата на изолирани зони

Пример за подхода на Microsoft

Всеки ден в мрежата на предприятието идват близо 8 милиона долара. пощенски съобщения, а 6,5 милиона съобщения циркулират в компанията. Microsoft създаде стратегия за сигурност, която се състои от:

  • мисия за корпоративна сигурност
  • принципи за оперативна безопасност
  • модел за вземане на решения, който се основава на изследване на рисковете
  • тактическо приоритизиране на работата по намаляване на риска

Подходът на Symantec

Политиката определя защо едно предприятие защитава своите данни и активи. Стандарти – какво ще направи едно предприятие, за да защити и управлява сигурността на информацията. Процедурите описват как точно предприятието ще изпълни описаното в документите по-горе. Symantec описва следните стъпки в разработването на политика за сигурност.

  • Анализ и оценка на информационните активи- какво трябва да бъде защитено и с какви цели и задачи.
  • Анализ на заплахите за сигурността- идентифициране на източниците потенциални проблеми... Анализ на възможни щети във връзка със заплахи.
  • Анализ информационни рискове - най-трудният етап, тъй като е необходимо да се определят вероятностите от заплахи и свързаните с тях щети.
  • Определение за отговорност- избор на хора или екип, който да се занимава с подобни въпроси в предприятието.
  • Създаване на цялостен документ- създаване на политика на базата на допълнителни документи, независимо дали са законодателни или в рамките на корпоративни.
  • Изпълнение- Политиката трябва ясно да описва механизмите за прилагане на защитни действия.
  • Управление на програми за сигурност- област на приложение.

Какво има във вниманието?За ефективна работаполитиците трябва:

  • бизнес целите бяха взети предвид
  • беше истинско
  • поддържа баланс между безопасност и производителност
  • всички служители можеха да се запознаят със съдържанието на политиката
  • не противоречи на други фирмени документи и законови изисквания
  • ясно дефинирани отговорностите на служителите
  • беше възобновяема
Политиката за информационна сигурност (ИС) е набор от мерки, правила и принципи, които се ръководят в ежедневната си практика от служители на предприятие/организация с цел защита на информационните ресурси.

През времето, изминало от възникването на самата концепция за информационна сигурност, са разработени много такива политики - във всяка компания ръководството сам решава как и каква информация да защитава (в допълнение към тези случаи, които се прилагат). официални изискваниязаконодателство Руска федерация). Политиките обикновено се формализират: разработват се съответните разпоредби. Служителите на предприятието са длъжни да спазват такъв документ. Въпреки това, не всички от тези документи влизат в сила в крайна сметка. По-долу ще разгледаме всички компоненти на политиката за информационна сигурност и ще определим основните аспекти, които са необходими за нейната ефективност.

За какво е формализирането на защитата на информацията?

Разпоредбите на политиката за информационна сигурност най-често се появяват под формата на отделен документ в изпълнение на изискванията на регулатора - организация, която регулира правилата за работа юридически лицав определена индустрия. Ако няма разпоредба за информационната сигурност, не са изключени определени репресии срещу нарушителя, които могат да доведат дори до спиране на дейността на последния.

Също така политиката за сигурност е задължителен компонент на определени стандарти (местни или международни). Необходимо е да се изпълнят специфичните изисквания, които обикновено се поставят от външни одитори, които изучават дейността на организацията. Липсата на политика за сигурност генерира негативни реакции и подобни оценки влияят негативно на показатели като рейтинг, ниво на надеждност, инвестиционна привлекателност и др.

Материалите за информационна сигурност се появяват, когато висшето ръководство разбере необходимостта от структуриран подход към темата за информационната сигурност. Такива решения могат да се реализират след въвеждането на технически средства, когато има съзнание, че тези средства трябва да се управляват, те трябва да бъдат под постоянен контрол. Често информационната сигурност включва и проблема с отношенията с персонала (служител може да се разглежда не само като лице, което трябва да бъде защитено, но и като обект, от който информацията трябва да бъде защитена), други аспекти и фактори, които надхвърлят единствената защита на компютърна мрежа и предотвратяване на неоторизиран достъп до нея.

Наличието на съответните разпоредби показва последователността на организацията по въпросите на информационната сигурност, нейната зрялост. Ясната формулировка на правилата за информационна сигурност е доказателство, че в този процесе постигнат значителен напредък.

Неуспешни политики

Самото наличие на документ с наименованието „Правила за информационна сигурност” не е гаранция за информационната сигурност като такава. Ако се разглежда само в контекста на спазването на някои изисквания, но без практическо приложение, ефектът ще бъде нулев.

Неефективната политика за сигурност, както показва практиката, е от два вида: компетентно формулирана, но не прилагана, и приложена, но неясно формулирана.

Първият, като правило, е доста често срещан в организации, в които лицето, отговорно за защитата на информацията, просто изтегля подобни документи от Интернет, прави минимални редакции и прави Общи правилаза одобрение от ръководството. На пръв поглед този подход изглежда прагматичен. Принципите на безопасност в различни организации, дори и фокусът на техните дейности да е различен, те често са сходни. Но проблеми с информационната сигурност могат да възникнат при преминаване от обща концепция за информационна сигурност към ежедневна работа с документи като процедури, методи, стандарти и т.н. Тъй като политиката за сигурност първоначално е формулирана за различна структура, са възможни определени трудности при адаптирането. на ежедневните документи.

Неефективната политика от втория тип включва опит за решаване на проблема не чрез приемане на общи стратегически планове, а чрез вземане на незабавни решения. Например, Системен администраторуморен от факта, че потребителите чрез небрежните си манипулации нарушават мрежата, отнема следните действия: взема лист хартия и след десет минути записва правилата (какво е позволено и какво не, кой има право на достъп до данни за определен имот и кой не) и го озаглавява „Политика“. Ако ръководството одобри такава "Политика", тогава тя може впоследствие да служи като основа за дейностите на структурата в областта на информационната сигурност в продължение на години, създавайки осезаеми проблеми: например с въвеждането на нови технологии не винаги можете да поставите необходимо софтуер... В резултат на това започват да се допускат изключения от правилата (например необходима е някаква програма, тя е скъпа и служителят убеждава ръководството да използва нелицензираната версия, въпреки по-ранната установени правиласигурност), което отрича всякаква защита.

Разработване на ефективна система за информационна сигурност

За да се създаде ефективна система за информационна сигурност, трябва да се разработи следното:

  • концепцията за информационна сигурност (определя цялостната политика, нейните принципи и цели);
  • стандарти (правила и принципи за защита на информацията за всяка конкретна област);
  • процедура (описание на конкретни действия за защита на информацията при работа с нея: лични данни, процедура за достъп до информационни носители, системи и ресурси);
  • инструкции ( Подробно описаниекакво и как да направим за организацията защита на информациятаи осигуряване на съществуващи стандарти).

Всички горепосочени документи трябва да са взаимосвързани и да не си противоречат.

Също така, за ефективната организация на защитата на информацията, трябва да се разработят аварийни планове. Те са необходими в случай на възстановяване на информационните системи в случай на форсмажорни обстоятелства: аварии, бедствия и др.

Структура на концепцията за защита

Нека отбележим веднага: концепцията за информационна сигурност не е идентична със стратегия. Първият е статичен, докато вторият е динамичен.

Основните раздели на концепцията за сигурност са:

  • определение за информационна сигурност;
  • охранителна структура;
  • описание на механизма за контрол на сигурността;
  • оценка на риска;
  • информационна сигурност: принципи и стандарти;
  • задължения и отговорности на всяко поделение, служба или отдел при осъществяване на отбраната носители на информацияи други данни;
  • препратки към други правила за безопасност.

Освен това няма да бъде излишен раздел, описващ основните критерии за ефективност в областта на защитата. важна информация... Индикаторите за ефективност на защитата са необходими преди всичко за висшето ръководство. Те ви позволяват обективно да оцените организацията на сигурността, без да се задълбочавате технически нюанси... Лицето, отговорно за организацията на сигурността, също трябва да познава ясни критерии за оценка на ефективността на информационната сигурност, за да разбере как ръководството ще оцени работата му.

Списък на основните изисквания към документацията за безопасност

Политиката за сигурност трябва да бъде формулирана, като се вземат предвид два основни аспекта:

  1. Целевата аудитория за цялата информация за безопасността е, че мениджърите на средно ниво и обикновените служители не знаят конкретна техническа терминология, но трябва да разберат и усвоят информацията, предоставена при четене на инструкциите.
  2. Инструкцията трябва да е кратка и в същото време да съдържа всичко необходимата информацияотносно текущата политика. Никой няма да изучава обемното „фолио“ в детайли, камо ли да запомня.

От горното има две изисквания за методически материализа безопасност:

  • те трябва да бъдат съставени на прост руски език, без да се използват специални технически термини;
  • текстът за сигурността трябва да съдържа цели, начини за постигането им, посочвайки назначаването на мерки за отговорност за неспазване на информационната сигурност. Всичко! Няма техническа или друга конкретна информация.

Организация и изпълнение на информационната сигурност

След като документацията за информационна сигурност е готова, е необходима планова организация на работа за нейното внедряване в ежедневната работа. Това изисква:

  • запознаване на екипа с одобрената политика за обработка на информация;
  • въведе тази политика за обработка на информация на всички нови служители (например поведение информационни семинариили курсове, в които да се предоставят изчерпателни обяснения);
  • внимателно проучете съществуващите бизнес процеси с цел откриване и минимизиране на рисковете;
  • участва активно в популяризирането на нови бизнес процеси, за да не изоставате безнадеждно в областта на информационната сигурност;
  • изготвят подробни методически и информационни материали, инструкции, които допълват политиката за обработка на информация (например правилата за предоставяне на достъп до работа в Интернет, процедурата за влизане в помещения с ограничен достъп, списък информационни канали, чрез който можете да прехвърляте поверителни данни, инструкции за работа с информационни системи и др.);
  • веднъж на всеки три месеца преразглеждайте и коригирайте достъпа до информация, процедурата за работа с нея, актуализирайте документацията, приета за информационна сигурност, непрекъснато наблюдавайте и изучавайте съществуващите заплахи за информационната сигурност.

Лица, които се опитват да получат неоторизиран достъп до информация

В заключение класифицираме тези, които могат или искат да получат неоторизиран достъпкъм информация.

Потенциални външни натрапници:

  1. Посетители на офиса.
  2. По-рано уволнени служители (особено тези, които са напуснали със скандал и знаят как да получат достъп до информация).
  3. хакери.
  4. Структури на трети страни, включително конкуренти, както и престъпни групи.

Потенциални вътрешни лица:

  1. Потребители компютърна технологияот броя на служителите.
  2. Програмисти, системни администратори.
  3. Технически персонал.

За организацията надеждна защитаинформацията от всяка от изброените групи изисква свои собствени правила. Ако посетител може просто да вземе със себе си някакъв вид листовка с важни данни, тогава човек от техническия персонал трябва да създаде нерегистрирана входна и изходна точка от LAN. Всеки един от случаите е изтичане на информация. В първия случай е достатъчно да се разработят правилата за поведение на персонала в офиса, във втория - да се прибегне до технически средствакоито повишават информационната сигурност, като DLP системи и SIEM системи, които предотвратяват течове от компютърни мрежи.

При разработването на информационна сигурност е необходимо да се вземат предвид спецификите на изброените групи и да се предвидят ефективни мерки за предотвратяване на изтичане на информация за всяка от тях.

В тази тема ще се опитам да съставя ръководство за разработване на нормативна документация в областта на информационната сигурност за търговска структура, на базата на личен опити материали от мрежата.

Тук можете да намерите отговори на въпроси:

  • за какво е политиката за информационна сигурност;
  • как да го композирате;
  • как се използва.

Необходимостта от политика за информационна сигурност
Този раздел описва необходимостта от прилагане на политика за информационна сигурност и свързани документи, които не са включени красив езикучебници и стандарти, и примери от личен опит.
Разбиране на целите и задачите на отдела за информационна сигурност
На първо място е необходима политика, за да се предадат на бизнеса целите и задачите на информационната сигурност на компанията. Бизнесът трябва да разбере, че служителят по сигурността е не само инструмент за разследване на течове на данни, но и помощник за минимизиране на рисковете на компанията и следователно за повишаване на рентабилността на компанията.
Изисквания на политиката – основа за прилагане на предпазни мерки
Политиката за информационна сигурност е необходима, за да оправдае въвеждането на защитни мерки в компанията. Политиката трябва да бъде одобрена от най-висшия административен орган на дружеството ( управител, борд на директорите и др.)

Всяка защитна мярка е компромис между намаляването на риска и потребителското изживяване. Когато служител по сигурността каже, че процесът не трябва да се случва по никакъв начин поради появата на някакви рискове, винаги му се задава резонен въпрос: "Как трябва да се случи?" На служителя по сигурността трябва да се предложи процесен модел, при който тези рискове са намалени до известна степен, което е задоволително за бизнеса.

В същото време всяко прилагане на каквито и да било защитни мерки по отношение на взаимодействието на потребителя с информационната система на компанията винаги предизвиква негативна реакция от страна на потребителя. Те не искат да се учат отново, да четат разработените за тях инструкции и т.н. Много често потребителите задават разумни въпроси:

  • защо да работя по твоята измислена схема, а не така по прост начинкойто винаги съм използвал
  • който е измислил всичко това
Практиката показва, че потребителят не се интересува от рисковете, можете да му обяснявате дълго и досадно за хакерите, наказателния кодекс и така нататък, нищо няма да излезе от това, освен загуба на нервни клетки.
Ако компанията има политика за информационна сигурност, можете да дадете кратък и кратък отговор:
тази мярка е въведена за изпълнение на изискванията на фирмената политика за информационна сигурност, която е одобрена от висшия административен орган на дружеството

Като правило, след като енергията на повечето потребители изчезва. Останалите могат да бъдат поканени да напишат бележка до този най-висш административен орган на компанията. Останалите се елиминират тук. Защото дори и нотата да отиде там, винаги можем да докажем необходимостта от предприетите мерки пред ръководството. Ние не ядем хляба си за нищо, нали? Има две неща, които трябва да имате предвид, когато разработвате политиката си.
  • Целевата аудитория на политиката за информационна сигурност са крайните потребители и висшето ръководство на компанията, които не разбират сложни технически изрази, но трябва да са запознати с разпоредбите на политиката.
  • Няма нужда да се опитвате да натъпчете нещо ненатрапчиво и да включите всичко, което можете в този документ! Трябва да има само цели за информационна сигурност, методи за постигането им и отговорност! Не технически подробностиако изискват специфични познания. Всичко това са материали за инструкции и разпоредби.


Окончателният документ трябва да отговаря на следните изисквания:
  • сбитост - голям обем от документ ще изплаши всеки потребител, никой никога няма да прочете вашия документ (и ще използвате фразата повече от веднъж: "това е нарушение на политиката за информационна сигурност, с която сте запознати")
  • достъпност за обикновен човек на улицата - краен потребителтрябва да разбере КАКВО е написано в политиката (той никога няма да прочете или запомни думите и фразите „регистриране“, „модел на натрапник“, „инцидент по сигурността на информацията“, „ информационна инфраструктура"," техногенен "," антропогенен "," рисков фактор " и др.)
Как може да се постигне това?

Всъщност всичко е много просто: политиката за информационна сигурност трябва да бъде документ от първо ниво, тя трябва да бъде разширена и допълнена с други документи (регламенти и инструкции), които вече ще описват нещо конкретно.
Можете да направите аналогия с държавата: документът от първо ниво е конституцията, а доктрините, концепциите, законите и други нормативни актове, съществуващи в държавата, само допълват и регулират прилагането на нейните разпоредби. На фигурата е показана приблизителна диаграма.

За да не размазваме овесена каша в чиния, нека просто разгледаме примери за политики за информационна сигурност, които могат да бъдат намерени в интернет.

Полезен брой страници * Заредени с условия Обща оценка
OJSC "Газпромбанк" 11 Много високо
Фонд за развитие на предприемачеството Даму АД 14 Високо Труден документ за внимателно четене, мирянинът няма да прочете, а ако чете, няма да разбере и няма да запомни
АД НК "КазМунайГаз" 3 Ниска Лесен за разбиране документ, не претрупан с технически термини
АД "Радиотехнически институт на името на акад. А. Л. Минц" 42 Много високо Труден документ за внимателно четене, лаикът няма да прочете - има твърде много страници

* Полезно наричам броя на страниците без съдържание, заглавна страницаи други страници, които не съдържат конкретна информация

Резюме

Политиката за информационна сигурност трябва да се побере в няколко страници, да бъде лесна за разбиране за лаика, да описва в общи линии целите на информационната сигурност, методите за постигането им и отговорността на служителите.
Внедряване и използване на политика за информационна сигурност
След одобрението на политиката за IS е необходимо:
  • да запознае всички вече работещи служители с политиката;
  • да запознаем всички нови служители с политиката (как най-добре да направите това е тема за отделен разговор, имаме въвеждащ курс за новодошлите, в който говоря с обяснения);
  • анализирайте съществуващите бизнес процеси с цел идентифициране и минимизиране на рисковете;
  • участвайте в създаването на нови бизнес процеси, за да не бягате по-късно след влака;
  • разработва наредби, процедури, инструкции и други документи, допълващи политиката (инструкции за предоставяне на достъп до Интернет, инструкции за осигуряване на достъп до стаи с ограничен достъп, инструкции за работа с информационни системифирми и др.);
  • преразглеждайте политиката на IS и другите документи за IS поне веднъж на тримесечие, за да ги актуализирате.

За въпроси и предложения, добре дошли в коментарите и ЛС.

Въпрос% потребителско име%

Колкото до политиката, шефовете не харесват това, което искам. с прости думи... Казват ми: „Имаме тук, освен теб и мен, и още 10 ИТ служители, които сами знаят и разбират всичко, има 200, които нищо не разбират от това, половината от тях са пенсионери.“
Следвах пътя на средната краткост на описанията, например правилата антивирусна защита, а по-долу пиша все едно има политика за антивирусна защита и т.н. Но не разбирам дали потребителят подписва за политиката, но отново трябва да прочете куп други документи, изглежда, че е намалил политиката, но изглежда, че не е.

Тук бих тръгнал по пътя на анализиране на процеси.
Да речем антивирусна защита. Логично трябва да е така.

Какви са рисковете от вируси? Нарушаване на целостта (повреда) на информацията, нарушаване на наличността (престой на сървъри или компютри) на информация. В правилна организациямрежа, потребителят не трябва да има права локален администраторв системата, тоест той не трябва да има права да инсталира софтуер (и следователно вируси) в системата. Така пенсионерите отпадат, тъй като не правят бизнес тук.

Кой може да намали рисковете, свързани с вирусите? Потребители с администраторски права на домейн. Администратор на домейн - чувствителна роля, издавана на служители на ИТ отдели и др. Съответно те трябва да инсталират антивирусни програми. Оказва се каква дейност антивирусна системате също са отговорни. Съответно те трябва да подпишат и инструкциите за организиране на антивирусна защита. Всъщност тази отговорност трябва да бъде предписана в инструкциите. Например, bezopasnik кара, администраторите изпълняват.

Въпрос% потребителско име%

Тогава въпросът е каква отговорност за създаването и използването на вируси не трябва да се включва в инструкциите на Anti-Virus ZI (или има статия и не може да бъде спомената)? Или че са длъжни да докладват за вирус или странно поведение на компютъра на Help Desk или на ИТ служителите?

Отново бих погледнал от страна на управлението на риска. Тук мирише, така да се каже, на GOST 18044-2007.
във вашия случай" странно поведение„Това не е непременно вирус. Това може да бъде системна спирачка или gposhek и т.н. Съответно това не е инцидент, а събитие за информационна сигурност. Отново, според GOST, всяко лице може да обяви събитие, но е възможно да се разбере инцидент или не само след анализ.

Така този ваш въпрос вече не се превръща в политика за информационна сигурност, а в управление на инциденти. Тук във вашата политика трябва да е посочено това компанията трябва да има система за обработка на инциденти.

Тоест, както можете да видите, административното изпълнение на политиката е поверено основно на администратори и служители по сигурността. Потребителите остават с персонализиран.

Следователно, трябва да съставите определена „Процедура за използване на CBT в компанията“, където трябва да посочите отговорностите на потребителите. Този документ трябва да корелира с политиката за информационна сигурност и да бъде, така да се каже, обяснение за потребителя.

V този документможете да посочите, че потребителят е длъжен да уведоми съответния орган за необичайна компютърна дейност. Е, всичко останало е персонализирано, можете да добавите там.

Като цяло трябва да запознаете потребителя с два документа:

  • Политика на IS (за да разбере какво се прави и защо, да не клати лодката, да не псува при въвеждане на нови системи за контрол и т.н.)
  • тази "Процедура за използване на CBT в компанията" (за да разбере какво точно да прави в конкретни ситуации)

Съответно при въвеждането нова система, просто добавяте нещо към „Поръчката“ и уведомявате служителите за това, като изпратите поръчката по имейл (или през EDMS, ако има такъв).

Етикети: Добавяне на етикети



© Авторско право 2017, https://qzoreteam.ru