Regelgeving over het informatiebeveiligingsbeleid van het bedrijf. Een voorbeeld van de aanpak van Cisco Systems. Opbouw van het beveiligingsconcept

laat een reactie achter 6,950

Onder veiligheidsbeleid organisaties begrijpen de set van gedocumenteerde managementbeslissingen gericht op het beschermen van informatie en bijbehorende bronnen. Beveiligingsbeleid is het middel waarmee activiteiten worden uitgevoerd in het computerinformatiesysteem van de organisatie. Over het algemeen wordt het beveiligingsbeleid bepaald door de gebruikte computeromgeving en weerspiegelt het de specifieke behoeften van de organisatie.

Een bedrijfsinformatiesysteem is typisch een complex complex van heterogene, soms slecht gecoördineerde hardware en software: computers, besturingssystemen, netwerkfaciliteiten, DBMS, verschillende applicaties. Al deze componenten hebben meestal hun eigen beveiligingen die moeten worden aangepast. Daarom is een effectief beveiligingsbeleid essentieel als een consistent platform voor het beveiligen van het bedrijfssysteem. Naarmate het computersysteem groeit en integreert in het wereldwijde netwerk, is het noodzakelijk ervoor te zorgen dat er geen zwakke punten omdat alle inspanningen om informatie te beschermen door slechts één onoplettendheid kunnen worden verdisconteerd.

U kunt een beveiligingsbeleid opstellen dat specificeert wie toegang heeft tot specifieke activa en applicaties, welke rollen en verantwoordelijkheden specifieke personen hebben, en beveiligingsprocedures die duidelijk bepalen hoe specifieke beveiligingstaken moeten worden uitgevoerd. De individuele kenmerken van het werk van een werknemer kunnen toegang vereisen tot informatie die niet beschikbaar zou moeten zijn voor andere werknemers. Een HR-manager kan bijvoorbeeld toegang hebben tot de privégegevens van een werknemer, terwijl een rapportagespecialist alleen toegang heeft tot de financiële gegevens van die werknemers. En een gewone werknemer heeft alleen toegang tot zijn eigen persoonlijke informatie.

Het beveiligingsbeleid definieert het standpunt van de organisatie ten aanzien van het rationeel gebruik van computers en het netwerk, evenals de procedures voor het voorkomen van en reageren op beveiligingsincidenten. In een groot bedrijfssysteem kan een breed scala aan verschillende beleidsregels worden toegepast, van bedrijfsbeleid tot specifieke regels voor toegang tot datasets. Dit beleid wordt volledig bepaald door de specifieke behoeften van de organisatie.

Basisconceptenbeveiligingsbeleid

Het beveiligingsbeleid definieert de managementstrategie voor informatiebeveiliging, evenals het aandachtsniveau en de hoeveelheid middelen die het management passend acht.

Het beveiligingsbeleid is gebaseerd op een analyse van risico's die als reëel worden erkend voor het informatiesysteem van de organisatie. Wanneer de risicoanalyse is uitgevoerd en de beveiligingsstrategie is bepaald, wordt een programma opgesteld waarvan de uitvoering moet zorgen voor informatiebeveiliging. Voor dit programma worden middelen toegewezen, verantwoordelijke personen aangesteld, de volgorde van controle van de uitvoering van het programma bepaald, enz.

Laten we, om vertrouwd te raken met de basisconcepten van beveiligingsbeleid, als specifiek voorbeeld een hypothetisch lokaal netwerk van een organisatie en een daaraan gekoppeld beveiligingsbeleid beschouwen.

Het beveiligingsbeleid van een organisatie moet worden gestructureerd als een beknopt, gemakkelijk te begrijpen beleidsdocument op hoog niveau, ondersteund door een reeks meer specifieke documenten met gespecialiseerd beveiligingsbeleid en -procedures.

Het beveiligingsbeleid op hoog niveau moet periodiek worden herzien om ervoor te zorgen dat het voldoet aan de huidige behoeften van de organisatie. Dit document is zo opgesteld dat het beleid relatief onafhankelijk is van: specifieke technologieën... Dan hoeft dit beleidsdocument niet al te vaak gewijzigd te worden.

Een beveiligingsbeleid wordt meestal opgesteld in de vorm van een document waarin onder meer de probleemomschrijving, de omvang, de positie van de organisatie, de rol- en verantwoordelijkhedenverdeling, sancties etc. zijn opgenomen.

Beschrijving van het probleem. Informatie die circuleert binnen lokaal netwerk, is kritisch. Een lokaal netwerk stelt gebruikers in staat om programma's en gegevens te delen, wat het veiligheidsrisico vergroot. Daarom heeft elk van de computers in het netwerk meer nodig sterke verdediging... Deze verhoogde veiligheidsmaatregelen zijn het onderwerp van dit document. Het document heeft de volgende doelstellingen: aan de medewerkers van de organisatie het belang van de bescherming van de netwerkomgeving aantonen, hun rol bij het waarborgen van de veiligheid beschrijven en ook specifieke verantwoordelijkheden toewijzen voor de bescherming van de informatie die in het netwerk circuleert.

Toepassingsgebied. De reikwijdte van dit beleid omvat alle hardware, software en informatiebronnen die deel uitmaken van het lokale netwerk van de onderneming. Het beleid richt zich ook op de mensen die met het netwerk werken, waaronder gebruikers, onderaannemers en leveranciers.

De positie van de organisatie. Het doel van de organisatie is het waarborgen van de integriteit, beschikbaarheid en vertrouwelijkheid van gegevens, evenals hun volledigheid en relevantie. Meer specifieke doelen zijn:

    zorgen voor een beveiligingsniveau dat voldoet aan de regelgevende documenten;

    volgend op economische haalbaarheid bij de keuze van beschermende maatregelen (de kosten van verdediging mogen de vermeende schade door de overtreding niet overschrijden) informatiebeveiliging);

    zorgen voor beveiliging in elk functioneel gebied van het lokale netwerk;

    zorgen voor verantwoording van alle gebruikersacties met informatie en middelen;

    het verstrekken van analyse van registratie-informatie;

    gebruikers voldoende informatie geven om het beveiligingsregime bewust te handhaven;

    ontwikkeling van herstelplannen na ongevallen en andere kritieke situaties voor iedereen functionele gebieden om de continuïteit van het netwerk te verzekeren;

    ervoor te zorgen dat de toepasselijke wetten en het bedrijfsbeveiligingsbeleid worden nageleefd.

Verdeling van rollen en verantwoordelijkheden. De respectievelijke ambtenaren en netizens zijn verantwoordelijk voor de uitvoering van bovenstaande doelstellingen.

Afdelingshoofden zijn verantwoordelijk voor het communiceren van de bepalingen van het beveiligingsbeleid aan gebruikers en voor het contact met hen opnemen.

zorgen voor de continue werking van het netwerk en zijn verantwoordelijk voor het implementeren van de technische maatregelen die nodig zijn om het beveiligingsbeleid te handhaven.

Servicebeheerders zijn verantwoordelijk voor specifieke diensten en, in het bijzonder, ervoor te zorgen dat de bescherming wordt gebouwd in overeenstemming met het algemene beveiligingsbeleid.

Gebruikers zijn verplicht om met het lokale netwerk te werken in overeenstemming met het beveiligingsbeleid, de bevelen op te volgen van personen die verantwoordelijk zijn voor bepaalde aspecten van de beveiliging, het management op de hoogte te stellen van alle verdachte situaties.

Hieronder vindt u meer informatie over de rollen en verantwoordelijkheden van functionarissen en netizens.

sancties. Het schenden van een beveiligingsbeleid kan het lokale netwerk en de informatie die erin circuleert blootstellen aan onaanvaardbare risico's. Beveiligingsincidenten door personeel moeten onmiddellijk worden aangepakt door het management voor disciplinaire maatregelen tot en met ontslag.

Extra informatie. Specifieke teams van uitvoerders hebben mogelijk aanvullende documenten nodig om te beoordelen, zoals gespecialiseerd beveiligingsbeleid en -procedures en andere richtlijnen. De behoefte aan aanvullende beveiligingsbeleidsdocumenten hangt grotendeels af van de omvang en complexiteit van de organisatie. Een organisatie die groot genoeg is, kan naast het basisbeleid ook gespecialiseerd beveiligingsbeleid nodig hebben. Kleinere organisaties hebben slechts een subset van gespecialiseerd beleid nodig. Veel van deze ondersteunende documenten kunnen vrij kort zijn: één tot twee pagina's lang.

Vanuit praktisch oogpunt kan het beveiligingsbeleid worden onderverdeeld in drie niveaus: bovenste, middelste en onderste.

Top niveau beveiligingsbeleid definieert beslissingen die van invloed zijn op de organisatie als geheel. Deze beslissingen zijn zeer algemeen van aard en komen meestal van de leiding van de organisatie.

Dergelijke beslissingen kunnen de volgende elementen bevatten:

    het formuleren van de doelen die de organisatie nastreeft op het gebied van informatiebeveiliging, het definiëren van algemene richtingen om deze doelen te bereiken;

    formatie of revisie geïntegreerd programma zorgen voor informatiebeveiliging, identificeren van personen die verantwoordelijk zijn voor het promoten van het programma;

    het bieden van de materiële basis om te voldoen aan wet- en regelgeving;

    formuleren van managementbeslissingen over implementatiekwesties beveiligingsprogramma's te beschouwen op het niveau van de organisatie als geheel.

Beveiligingsbeleid op het hoogste niveau verwoordt de infovan de organisatie in termen van integriteit, beschikbaarheid en vertrouwelijkheid. Als een organisatie verantwoordelijk is voor het onderhouden van missiekritieke databases, moet de eerste prioriteit zijn: integriteit gegevens. Voor een verkooporganisatie is de relevantie van informatie over de geleverde diensten en prijzen, evenals de beschikbaarheid het maximale aantal potentiële kopers. De regime-organisatie zal in de eerste plaats zorgen voor vertrouwelijkheid informatie, dat wil zeggen over de bescherming ervan tegen ongeoorloofde toegang.

Op top niveau beheer van beveiligingsmiddelen en coördinatie van het gebruik van deze middelen wordt uitgevoerd, de toewijzing van speciaal personeel om kritisch te beschermen belangrijke systemen het onderhouden van contacten met andere organisaties die het beveiligingsregime verzorgen of bewaken.

Beleid op het hoogste niveau moet duidelijk de sfeer van zijn invloed afbakenen. Dit kunnen alle computersystemen in een organisatie zijn, of zelfs meer als het beleid bepaalde aspecten van het gebruik van hun thuiscomputer door werknemers regelt. Het is ook mogelijk dat alleen de belangrijkste systemen in de invloedssfeer vallen.

In het beleid moeten de verantwoordelijkheden van ambtenaren worden vastgelegd om het veiligheidsprogramma te ontwikkelen en uit te voeren, dat wil zeggen dat het beleid als basis kan dienen voor de verantwoording van het personeel.

Politiek op het hoogste niveau houdt zich bezig met drie aspecten van gezagsgetrouwe en uitvoerende discipline. Ten eerste moet de organisatie voldoen aan bestaande wetten. Ten tweede moeten de acties van degenen die verantwoordelijk zijn voor de ontwikkeling van het beveiligingsprogramma worden gecontroleerd. Ten derde is het noodzakelijk om de uitvoerende discipline van het personeel te waarborgen door middel van een systeem van beloningen en straffen.

Gemiddeld niveau beveiligingsbeleid bepaalt de oplossing van vraagstukken die betrekking hebben op bepaalde aspecten van informatiebeveiliging, maar die van belang zijn voor verschillende systemen die door de organisatie worden beheerd.

Voorbeelden van dergelijke vragen zijn de houding ten opzichte van internettoegang (het probleem van het combineren van vrijheid van informatieverkrijging met bescherming tegen internettoegang). externe bedreigingen), gebruik van thuiscomputers, enz.

Het mid-level beveiligingsbeleid moet de volgende punten definiëren voor elk aspect van informatiebeveiliging:

    aspectbeschrijving- de positie van de organisatie kan in voldoende mate worden geformuleerd algemeen beeld als een set van doelen die de organisatie daarbij nastreeft;

    toepassingsgebied- er moet worden gespecificeerd waar, wanneer, hoe, in relatie tot wie en waarvoor het wordt toegepast. dit beleid veiligheid;

    rollen en verantwoordelijkheden- het document moet informatie bevatten over de functionarissen die verantwoordelijk zijn voor de uitvoering van het veiligheidsbeleid in het leven;

    sancties - het beleid moet bevatten: algemene beschrijving verboden handelingen en straffen voor hen;

    contactpunten- moet weten waar hij terecht kan voor verduidelijking, hulp en aanvullende informatie. Meestal is een ambtenaar het aanspreekpunt.

Lager niveau het beveiligingsbeleid is van toepassing op specifieke diensten. Dit beleid omvat twee aspecten: doelen en regels om ze te bereiken - daarom is het soms moeilijk om het te scheiden van uitvoeringskwesties. In tegenstelling tot de bovenste twee niveaus, zou het betreffende beleid gedetailleerder moeten zijn.

Hier zijn enkele voorbeelden van vragen die moeten worden beantwoord bij het volgen van een laag beveiligingsbeleid:

    wie recht heeft op toegang tot door de dienst ondersteunde objecten;

    hoe is het georganiseerd? toegang op afstand naar de dienst.

Beveiligingsbeleid op laag niveau kan voortkomen uit overwegingen van integriteit, beschikbaarheid en vertrouwelijkheid, maar het mag er niet bij stilstaan. Over het algemeen moeten doelen serviceobjecten koppelen en er een zinvolle interactie mee hebben.

Uit de doelen worden veiligheidsregels afgeleid die beschrijven wie wat mag doen en onder welke voorwaarden. Hoe gedetailleerder de regels, hoe duidelijker en formeler ze zijn, hoe gemakkelijker het is om de implementatie ervan te ondersteunen met software en technische maatregelen. Objectmachtigingen zijn meestal het meest formeel gespecificeerd.

Hier volgt een meer gedetailleerde beschrijving van de verantwoordelijkheden van elke personeelscategorie.

Afdelingshoofden zijn verantwoordelijk voor het communiceren van de bepalingen van het beveiligingsbeleid aan gebruikers. Ze zijn verplicht om:

    houd beveiligingsproblemen te allen tijde in het oog. Zorg ervoor dat hun ondergeschikten hetzelfde doen;

    risicoanalyses uitvoeren, activa identificeren die bescherming nodig hebben en systeemkwetsbaarheden, de omvang van mogelijke schade door een beveiligingsinbreuk beoordelen en kiezen Effectieve middelen bescherming;

    opleiding van personeel over veiligheidsmaatregelen organiseren. Besteed speciale aandacht aan problemen met betrekking tot antiviruscontrole;

    lokale netwerkbeheerders en servicebeheerders informeren over wijzigingen in de status van elk van de ondergeschikten (overplaatsing naar een andere baan, ontslag, enz.);

    ervoor zorgen dat elke computer in hun divisies een host- of systeembeheerder heeft die verantwoordelijk is voor de beveiliging en gekwalificeerd is om deze rol uit te voeren.

Lokale netwerkbeheerders zorgen voor de continue werking van het netwerk en zijn verantwoordelijk voor het implementeren van de technische maatregelen die nodig zijn om het beveiligingsbeleid te handhaven. Ze zijn verplicht om:

    om de bescherming van lokale netwerkapparatuur te waarborgen, inclusief interfaces met andere netwerken;

    snel en effectief reageren op bedreigende gebeurtenissen. Servicebeheerders informeren over pogingen om de bescherming te schenden;

    beproefde middelen gebruiken om verdachte situaties te controleren en op te sporen. Analyseer dagelijks registratie-informatie met betrekking tot het netwerk als geheel en om bestandsservers vooral;

    misbruik uw grote krachten niet. Gebruikers hebben recht op privacy;

    procedures ontwikkelen en instructies voorbereiden om het lokale netwerk te beschermen tegen schadelijke software. Assisteren bij detectie en eliminatie kwaadaardige code;

    regelmatig optreden back-up informatie opgeslagen op bestandsservers;

    alle wijzigingen aanbrengen in de hardware- en softwareconfiguratie van het netwerk;

    ervoor zorgen dat de identificatie- en authenticatieprocedure verplicht is voor toegang tot: netwerkbronnen... Wijs inlognamen toe aan gebruikers en initiële wachtwoorden pas na het invullen van de registratieformulieren;

    controleer periodiek de betrouwbaarheid van de beveiliging van het lokale netwerk. Voorkom dat onbevoegde gebruikers privileges krijgen.

Servicebeheerders zijn verantwoordelijk voor specifieke diensten en, in het bijzonder, ervoor te zorgen dat de bescherming wordt gebouwd in overeenstemming met het algemene beveiligingsbeleid. Ze zijn verplicht om:

    toegangsrechten van gebruikers tot onderhouden objecten beheren;

    snel en effectief reageren op bedreigende gebeurtenissen. Hulp bieden bij het afweren van de dreiging, het identificeren van overtreders en het verstrekken van informatie voor hun bestraffing;

    regelmatig back-ups maken van informatie die door de service wordt verwerkt;

    gebruikers pas inlognamen en initiële wachtwoorden verstrekken na het invullen van registratieformulieren;

    dagelijks de registratie-informatie met betrekking tot de dienst analyseren. Controleer de service regelmatig op schadelijke software;

    controleer periodiek de betrouwbaarheid van de servicebeveiliging. Voorkom dat onbevoegde gebruikers privileges krijgen.

Gebruikers zijn verplicht om met het lokale netwerk te werken in overeenstemming met het beveiligingsbeleid, de bevelen op te volgen van personen die verantwoordelijk zijn voor bepaalde aspecten van de beveiliging, het management op de hoogte te stellen van alle verdachte situaties. Ze zijn verplicht om:

    kennen en naleven van de wetten, regels die in deze organisatie zijn aangenomen, beveiligingsbeleid, beveiligingsprocedures. Gebruik beschikbare beveiligingsmechanismen om de vertrouwelijkheid en integriteit van hun informatie te waarborgen;

    een bestandsbeveiligingsmechanisme gebruiken en toegangsrechten correct instellen;

    kies wachtwoorden van hoge kwaliteit, verander ze regelmatig. Schrijf wachtwoorden niet op papier, deel ze niet met anderen;

    informeer beheerders of management over beveiligingsinbreuken en andere verdachte situaties;

    gebruik geen zwakke punten in de bescherming van diensten en het lokale netwerk als geheel. Voer geen ongeoorloofd werk met gegevens uit, bemoei u niet met andere gebruikers;

    geef altijd correcte identificatie- en authenticatie-informatie, probeer niet namens andere gebruikers te werken;

    back-upinformatie verstrekken van harde schijf jouw computer;

    weten hoe kwaadaardige software werkt, hoe deze binnendringt en zich verspreidt. Ken en volg de procedures om het binnendringen van kwaadaardige code, de detectie en vernietiging ervan te voorkomen;

    ken en volg de gedragsregels in noodsituaties, de volgorde van acties bij het elimineren van de gevolgen van ongevallen.

Beheersmaatregelen voor informatiebeveiliging. Het belangrijkste doel van de maatregelen die op managementniveau worden genomen, is het formuleren van een werkprogramma op het gebied van informatiebeveiliging en het zorgen voor de uitvoering ervan door het toewijzen van de nodige middelen en het uitvoeren van regelmatige monitoring van de stand van zaken. De basis van dit programma is een meerlagig beveiligingsbeleid dat de geïntegreerde benadering van een organisatie voor het beschermen van haar middelen en informatiebronnen weerspiegelt.

De belangrijkste fase bij het bouwen van een veilig informatiesysteem is de fase van het ontwikkelen van een beveiligingsbeleid. Er is een gedetailleerd beleid nodig om te creëren effectief systeem bedrijfsbeveiliging Hieronder ziet u de belangrijkste stappen om de beveiliging te waarborgen:

  • Verduidelijking van het belang van informatie en technologische activa van de onderneming;
  • het bepalen van het beveiligingsniveau voor elk activum, evenals beveiligingsmaatregelen die kosteneffectief zijn voor elk activum
  • Bepaling van risico's voor bedreigingen van activa;
  • Aantrekken van de nodige financiële middelen om het veiligheidsbeleid te verzekeren, evenals de acquisitie en configuratie de nodige fondsen voor de veiligheid;
  • Strikte controle op de gefaseerde implementatie van het beveiligingsplan, om huidige vergevingsgezindheid te identificeren en ook rekening te houden met wijzigingen externe factoren met een verdere wijziging van de vereiste beveiligingsmethoden;
  • Uitvoeren van verklarende acties voor medewerkers en overige verantwoordelijke medewerkers

De volgende vereisten voor het beveiligingsbeleid zijn door de meeste organisaties samengesteld op basis van een reeks fouten en proeven:

Beveiligingsbeleid moet:

  • geef de redenen en doelen aan voor het maken van een beveiligingsbeleid;
  • nagaan welke grenzen en middelen onder het beveiligingsbeleid vallen;
  • identificeer degenen die verantwoordelijk zijn voor het beveiligingsbeleid;
  • het bepalen van de voorwaarde van niet-vervulling en de zogenaamde straf
  • beveiligingsbeleid moet reëel en afdwingbaar zijn;
  • beveiligingsbeleid moet toegankelijk, beknopt en ondubbelzinnig zijn om te begrijpen;
  • er moet een middenweg zijn tussen bescherming en prestatie;

De belangrijkste stappen voor het ontwikkelen van een beleid zijn:

  • het creëren van een adequaat team om een ​​beleid te maken;
  • tijdens de ontwikkeling vragen over opkomende functies oplossen.
  • het oplossen van vragen over de reikwijdte en het doel van het beleid;
  • het oplossen van vragen over degenen die verantwoordelijk zijn voor de totstandkoming en implementatie van dit document;

U moet het lokale netwerk analyseren voor. Nadat u de basisstappen heeft genomen, moet u analyseren of er een lokale netwerkverbinding (of) met internet is. Inderdaad, wanneer het netwerk online gaat, rijst de vraag over. Welke computers en netwerkdiensten worden dan al in het netwerk gebruikt. Bepaal het aantal medewerkers aan de hand van een aantal criteria. Hoeveel mensen hebben bijvoorbeeld internettoegang nodig, hoeveel gebruiken? per email en anderen online diensten... Bepaal ook of er toegang op afstand is tot: intern netwerk... Meest hoofdvraag:, waardoor alle vragen moeten worden gedefinieerd, dit "Staat deze service op de lijst met zakelijke vereisten?"

Na het analyseren en organiseren van de informatie, moet het team doorgaan met de analyse en. Risico analyse- dit is de belangrijkste fase in de vorming van een veiligheidsbeleid (Fig. 1).

Foto 1

In deze fase worden de volgende stappen uitgevoerd:

  • analyses die direct bestemd zijn voor het object van bescherming;
  • beoordeling en identificatie van de prijs van informatie en technologische activa;
  • onderzoek naar de kans op implementatie van dreigingen in de praktijk;
  • inspectie van risico's voor activa;

Nadat u de risico's voor activa heeft onderzocht, gaat u verder met: het beveiligingsniveau instellen die de bescherming voor elk activum definieert. Er is een regel dat de prijs van het beschermen van het actief mag niet hoger zijn dan de prijs van het actief zelf

Overweeg een van de beveiligingsprocessen te maken. Het proces wordt getoond in Fig. 2.

  • Ingang, laten we zeggen dat de gebruiker een verzoek doet om een ​​nieuw wachtwoord aan te maken;
  • , bepaalt welke rollen bij dit proces betrokken zijn. Gebruiker verzoeken nieuw paswoord Bij Beheerder;
  • Controle- beschrijft het algoritme zelf dat het proces bestuurt. Wanneer om een ​​nieuw wachtwoord wordt gevraagd, moet de gebruiker worden geverifieerd;
  • Uitgang:, dit is het resultaat van het proces. Een wachtwoord ophalen.

Afbeelding 2

Onderdelen van de beveiligingsarchitectuur

Fysieke bewaking, belangrijk onderdeel aangezien de vulling van het fysieke gebied waar de onderdelen van het beschermde object zich bevinden niet uniform is. Als er niet alleen medewerkers van de organisatie in het gebouw zijn, maar ook andere mensen, moet met alle aspecten van beveiliging rekening worden gehouden. Implementatie fysieke bescherming wordt gereduceerd tot de definitie van componenten computer netwerk die fysiek moeten worden beschermd, omdat ze onderhevig kunnen zijn aan bedreigingen zoals verlies van vertrouwelijkheid, beschikbaarheid en integriteit.

Het is noodzakelijk om gebieden met verschillende beveiligingsniveaus aan te wijzen:

  • open, een deel van de fysieke omgeving dat zowel door medewerkers als door anderen kan worden betreden
  • gecontroleerd, een gebied van de fysieke omgeving dat moet worden afgesloten bij afwezigheid van toezicht of toezicht
  • vooral gecontroleerd, dit is een gebied waar de toegang zelfs beperkt is tot werknemers met: verhoogde rechten toegang

Bronnen zijn onderverdeeld in twee categorieën die kwetsbaar zijn voor bedreigingen:

  • OS-bronnen;
  • Gebruikersbronnen.
  • Misschien in theorie, de middelen die achter zijn fysieke toegang organisaties, bijvoorbeeld;
  • moet de autoriteit voor elk systeem en platform definiëren;
  • controleer de toewijzing van rechten aan geautoriseerde gebruikers.

Alarmbeheer een belangrijk onderdeel, want voor een onmiddellijke reactie is de belofte om een ​​aanval te voorkomen. Voorbeeldprocessen voor het detecteren van problemen en alarmen:

  • elke veiligheidsschending moet een gebeurtenissignaal geven;
  • Eén gebeurtenis is geen reden voor goedkeuring, ze moeten zich opstapelen;
  • er moet een drempel zijn waartegen de gegevens worden vergeleken en de conclusies worden getrokken voor specifieke acties.

Een voorbeeld van een IBM enterprise-benadering

IBM is van mening dat corporate action moet beginnen met het opstellen van een beveiligingsbeleid. Tegelijkertijd wordt aanbevolen om bij het maken ervan de internationale norm ISO 17799: 2005 te volgen en het bedrijfsbeleid te beschouwen als een integraal onderdeel van het risicobeheerproces (Fig. 3). Het ontwikkelen van een beveiligingsbeleid is een van de belangrijke taken van een onderneming.

Figuur 3

IBM-specialisten identificeren de volgende stadia van het ontwikkelen van een beveiligingsbeleid:

  • Analyse informatie bedrijven die maximale schade kan veroorzaken.
  • Maak een beveiligingsbeleid dat implementeert dat binnen de reikwijdte van de doelstellingen van de onderneming valt.
  • Ontwikkel noodplannen om de schade te beperken.
  • Restanalyse informatie bedreigingen... De analyse wordt uitgevoerd op basis van de belangrijkste dreigingen.
  • Herziening van IT-strategie, identificatie van informatiebeveiligingsvereisten en analyse huidige problemen veiligheid.
  • Inspectie van de bedrijfsstrategie van de onderneming.
  • Een beveiligingsbeleid ontwikkelen dat rekening houdt met IT-strategieën en doelstellingen voor bedrijfsontwikkeling.

Figuur - 4

Met IBM-standaarden worden documenten bedoeld die de procedure en structuur beschrijven voor de implementatie van beveiligingsbeleid in aspecten als autorisatie, toegangscontrole, authenticatie, identificatie, enzovoort. Dergelijke standaarden kunnen worden aangepast aan de eisen van het beveiligingsbeleid, omdat ze al worden beïnvloed door iets andere, meer specifieke dreigingen. IBM zet zich in voor het creëren van standaarden voor:

  • analyse van informatiebedreigingen en methoden om deze te verminderen
  • creatie van veiligheidsnormen en regels verschillende niveaus ondernemingen
  • verduidelijking van beveiligingsmethoden die bij de onderneming zullen worden geïmplementeerd
  • specifieke definitie van beveiligingsprocedures
  • analyse van verwachtingen ten aanzien van resultaten van medewerkers en het bedrijf als geheel
  • uitvoering van juridische ondersteuning

Normen komen tot stand met behulp van praktijken en/of procedures. Ze beschrijven de services die op het besturingssysteem zijn geïnstalleerd, evenals de procedure voor het maken van andere momenten. IBM biedt een specifieke benadering voor het ontwikkelen van beveiligingsdocumenten (Figuur 5).

Figuur - 5

Een voorbeeld van een op UNIX gebaseerde beveiligingsstandaard

Reikwijdte en doel van de actie- het document beschrijft de vereisten voor de bescherming van pc's die op unix OS draaien.

Publiek- personeel van informatiebeveiligings- en informatietechnologiediensten.

Referenties- De afdeling informatiebeveiliging van de onderneming beschikt over alle toegangsrechten tot de servers van het bedrijfsinformatiesysteem en is hiervoor verantwoordelijk. De afdeling Risicomanagement keurt alle afwijkingen van de eisen van de norm goed.

Uitzonderingen- Eventuele afwijkingen van de implementatie van de standaard moeten worden bevestigd in de informatiebeveiligingsafdeling van de onderneming.

Steun- Voor vragen over de norm kunt u terecht bij de afdeling informatiebeveiliging.

Herziening van de norm- jaarlijks herzien.

Een voorbeeld van een benadering van Sun Microsystems

Sun is van mening dat het beleid nodig is om: efficiënte organisatie het informatiebeveiligingsregime van de onderneming. Ze bedoelen ook met het beveiligingsbeleid een strategisch document dat de vereisten en verwachtingen van het management van het bedrijf beschrijft. Ze raden aan om een ​​aanpak te creëren ondersteboven, maak eerst een beveiligingsbeleid en bouw vervolgens de architectuur van het informatiesysteem. Om een ​​beveiligingsbeleid op te stellen, raden ze aan om medewerkers van afdelingen te betrekken als:

  • bedrijfsmanagement
  • afdeling informatiebeveiliging
  • technisch management
  • afdeling risicobeheer
  • afdeling systeem / netwerkbeheer
  • juridische afdeling
  • afdeling systeembeheer
  • Afdeling Personeelszaken
  • onderhoud interne kwaliteit en audit

Het belangrijkste doel van het beveiligingsbeleid:- het informeren van de directie en medewerkers van het bedrijf over de huidige eisen voor gegevensbescherming in het informatiesysteem.

Idee voor beveiligingsbeleid de belangrijkste ideeën zijn:

  • toewijzing van waarde aan informatieactiva
  • restrisicobeheer; R = H × P, waarbij H - schadebeoordeling, P - dreigingskans
  • beheer van informatiebeveiliging
  • gerechtvaardigd vertrouwen

Veiligheidsprincipe:- dit is de eerste stap bij het maken van een beleid, ze omvatten:

  • Kennismaking - deelnemers aan het informatiesysteem moeten bekend zijn met de eisen van het beveiligingsbeleid en de verantwoordelijkheid.
  • De verantwoordelijkheid ligt bij elke gebruiker voor al zijn handelingen in het informatienetwerk.
  • Ethiek - de activiteiten van medewerkers van het bedrijf moeten in overeenstemming zijn met ethische normen.
  • Volledigheid - er moet rekening worden gehouden met alle beveiligingsgebieden.
  • Economische rechtvaardiging - alle acties voor de ontwikkeling van een onderneming moeten economisch verantwoord zijn.
  • Integratie - alle beleidsterreinen, procedures of standaarden moeten met elkaar worden geïntegreerd en gecoördineerd.
  • Tijdigheid - Alle tegenmaatregelen tegen bedreigingen moeten op tijd zijn.
  • Democratie - alle acties om activa in de onderneming te beschermen moeten in overeenstemming zijn met de normen van democratie.
  • Accreditatie en certificering - het bedrijf en al zijn activiteiten moeten gecertificeerd zijn
  • Scheiding van privileges - alle rechten van werknemers moeten worden gescheiden met betrekking tot hun toegang tot middelen.

Een voorbeeld van de aanpak van Cisco Systems

Cisco is van mening dat het ontbreken van een netwerkbeveiligingsbeleid leidt tot ernstige beveiligingsincidenten. Door de niveaus van bedreigingen en soorten toegang te bepalen die nodig zijn voor elk netwerk, kunt u een beveiligingsmatrix maken (tabel 1). Zo’n matrix is ​​het startpunt voor het maken van een beveiligingsbeleid.

Tafel 1.

Systeem Beschrijving Risico niveau Gebruikerstypes
ATM-schakelaars Basis netwerkapparaten Hoog Netwerkbeheerders
Netwerkrouters Apparaten voor netwerkdistributie Hoog Netwerkbeheerders
Toegangsschakelaars Apparaten voor netwerktoegang Gemiddeld Netwerkbeheerders
ISDN / inbelservers Apparaten voor netwerktoegang Gemiddeld
Firewalls Apparaten voor netwerktoegang Hoog Beveiligingsbeheerder
DNS- en VRSZ-servers Netwerktoepassingen Gemiddeld Netwerk- en systeembeheerders
Externe mailservers Netwerktoepassingen Kort
Interne mailservers Netwerktoepassingen Gemiddeld Beheerders en gebruikers
Oracle-databaseservers Netwerktoepassingen Gemiddeld of hoog Databasebeheerders en -gebruikers

Onder waarschuwing van overtredingen overwegen Cisco-experts de bevestiging van wijzigingen aan de beveiligingssystemen. Deze wijzigingen omvatten:

  • toegangscontrolelijsten
  • firewall configuratie
  • PZ-versie
  • SNMP-configuratie

Ook moet er volgens RFC 2196 een incidentafhandeling plaatsvinden. Incidentafhandeling- algoritme om te reageren op verschillende situaties... Verwerkingsstappen:

  • bepalen van de prioriteit en het type aanval
  • analyse van de start/eindtijd van de aanval
  • analyse van aanvalsbronnen
  • analyse van de apparaten die door de aanval zijn getroffen
  • logboekinvoer
  • acties om de effecten van een aanval te stoppen of te verzachten
  • het isoleren van de getroffen delen van het systeem
  • kennisgeving van de betrokken personen
  • verdediging van bewijs van aanval
  • herstel van de prestaties van geïsoleerde gebieden

Een voorbeeld van de aanpak van Microsoft

Bijna $ 8 miljoen komt elke dag naar het netwerk van de onderneming. e-mailberichten en 6,5 miljoen berichten circuleren binnen het bedrijf. Microsoft heeft een beveiligingsstrategie ontwikkeld die bestaat uit:

  • bedrijfsbeveiligingsmissie
  • operationele veiligheidsprincipes
  • een besluitvormingsmodel dat gebaseerd is op risicoanalyse
  • tactische prioritering van risicobeperkende werkzaamheden

De aanpak van Symantec

Het beleid definieert waarom een ​​onderneming haar gegevens en bedrijfsmiddelen beschermt. Normen - wat een onderneming zal doen om de beveiliging van informatie te beschermen en te beheren. De procedures beschrijven hoe de onderneming precies zal uitvoeren wat in bovenstaande documenten is beschreven. Symantec beschrijft de volgende stappen bij het ontwikkelen van een beveiligingsbeleid.

  • Analyse en waardering van informatie-assets- wat er beschermd moet worden en met welke doelen en doelstellingen.
  • Analyse van beveiligingsbedreigingen- identificatie van bronnen mogelijke problemen... Analyse van mogelijke schade in relatie tot dreigingen.
  • Analyse informatie risico's - de moeilijkste fase, omdat het noodzakelijk is om de waarschijnlijkheid van dreigingen en bijbehorende schade vast te stellen.
  • Definitie van verantwoordelijkheid- de keuze van mensen of een team dat dergelijke kwesties in de onderneming moet behandelen.
  • Opstellen van een uitgebreid document- creatie van een beleid op basis van aanvullende documenten, zowel wetgevend als binnen het bedrijfsleven.
  • Implementatie- Het beleid moet duidelijk de mechanismen beschrijven voor het implementeren van beschermende maatregelen.
  • Beheer van beveiligingsprogramma's- toepassingsgebied.

Wat zit er in de aandacht? Voor effectief werk politici moeten:

  • er is rekening gehouden met bedrijfsdoelen
  • was echt
  • hield een balans tussen veiligheid en prestatie
  • alle medewerkers konden kennis nemen van de inhoud van het beleid
  • was niet in tegenspraak met andere bedrijfsdocumenten en wettelijke vereisten
  • duidelijk omschreven verantwoordelijkheden van medewerkers
  • was hernieuwbaar
Informatiebeveiligingsbeleid (IS) is een geheel van maatregelen, regels en principes die in de dagelijkse praktijk door medewerkers van een onderneming/organisatie worden geleid om informatiebronnen te beschermen.

Gedurende de tijd die is verstreken sinds de opkomst van het concept van informatiebeveiliging zelf, zijn veel van dergelijke beleidslijnen ontwikkeld - in elk bedrijf beslist het management zelf hoe en welke informatie wordt beschermd (naast de gevallen die van toepassing zijn officiële vereisten wetgeving Russische Federatie). Beleid is meestal geformaliseerd: de bijbehorende regelgeving wordt ontwikkeld. Werknemers van de onderneming zijn verplicht om aan een dergelijk document te voldoen. Maar niet al deze documenten worden uiteindelijk van kracht. Hieronder gaan we in op alle onderdelen van een informatiebeveiligingsbeleid en definiëren we de belangrijkste aspecten die nodig zijn voor de effectiviteit ervan.

Waarvoor dient de formalisering van informatiebescherming?

Bepalingen inzake informatiebeveiligingsbeleid verschijnen meestal in de vorm van een afzonderlijk document in overeenstemming met de vereisten van de regelgever - een organisatie die de arbeidsregels regelt rechtspersonen in een bepaalde branche. Als er geen bepaling is over informatiebeveiliging, dan zijn bepaalde represailles tegen de overtreder niet uitgesloten, die zelfs kunnen leiden tot het stopzetten van diens activiteiten.

Ook is een beveiligingsbeleid een verplicht onderdeel van bepaalde standaarden (lokaal of internationaal). Het is noodzakelijk om te voldoen aan de specifieke eisen die doorgaans worden gesteld door externe auditors die de activiteiten van de organisatie bestuderen. Het ontbreken van een beveiligingsbeleid genereert negatieve reacties en dergelijke beoordelingen hebben een negatief effect op indicatoren zoals rating, betrouwbaarheidsniveau, aantrekkelijkheid van investeringen, enz.

Informatiebeveiligingsmaterialen ontstaan ​​wanneer het topmanagement de noodzaak van een gestructureerde benadering van het onderwerp informatiebeveiliging gaat inzien. Dergelijke oplossingen kunnen worden geïmplementeerd na de introductie van technische middelen, wanneer men zich ervan bewust is dat deze middelen moeten worden beheerd, moeten ze constant onder controle zijn. Vaak omvat informatiebeveiliging ook het probleem van relaties met personeel (een werknemer kan niet alleen worden beschouwd als een te beschermen persoon, maar ook als een object waartegen informatie moet worden beschermd), andere aspecten en factoren die verder gaan dan de enige bescherming van een computernetwerk en het voorkomen van ongeoorloofde toegang ertoe.

De aanwezigheid van relevante bepalingen geeft de consistentie van de organisatie aan op het gebied van informatiebeveiliging, haar volwassenheid. Een duidelijke formulering van informatiebeveiligingsregels is het bewijs dat in dit proces aanzienlijke vooruitgang is geboekt.

Mislukt beleid

De loutere aanwezigheid van een document met de naam "Regelgeving Informatiebeveiliging" is geen garantie voor informatiebeveiliging als zodanig. Als het alleen wordt beschouwd in het kader van het voldoen aan enkele vereisten, maar zonder praktische toepassing, is het effect nul.

Ineffectief beveiligingsbeleid, zoals de praktijk laat zien, is van twee soorten: competent geformuleerd, maar niet geïmplementeerd, en geïmplementeerd, maar niet duidelijk geformuleerd.

De eerste komt in de regel vrij veel voor in organisaties waarin de persoon die verantwoordelijk is voor informatiebescherming eenvoudig vergelijkbare documenten van internet downloadt, minimale bewerkingen uitvoert en algemene regels voor goedkeuring van het management. Deze benadering lijkt op het eerste gezicht pragmatisch. Veiligheidsprincipes in verschillende organisaties, zelfs als de focus van hun activiteiten verschillend is, zijn ze vaak vergelijkbaar. Maar problemen met informatiebeveiliging kunnen ontstaan ​​bij de overgang van een algemeen concept van informatiebeveiliging naar het dagelijkse werk met documenten zoals procedures, methoden, standaarden, enz. Omdat het beveiligingsbeleid oorspronkelijk voor een andere structuur is geformuleerd, zijn er bepaalde moeilijkheden mogelijk bij de aanpassing van alledaagse documenten.

Het ineffectieve beleid van het tweede type omvat een poging om het probleem op te lossen, niet door algemene strategische plannen aan te nemen, maar door onmiddellijke beslissingen te nemen. Bijvoorbeeld, Systeem administrator moe van het feit dat gebruikers door hun onzorgvuldige manipulaties het netwerk verstoren, neemt de volgende acties:: pakt een vel papier en noteert in tien minuten de regels (wat mag en wat niet, wie mag de gegevens van een bepaalde woning inzien en wie niet) en zet daar onder "Beleid". Als het management zo'n "Beleid" goedkeurt, kan het vervolgens jarenlang als basis dienen voor de activiteiten van de structuur op het gebied van informatiebeveiliging, waardoor tastbare problemen ontstaan: bijvoorbeeld met de introductie van nieuwe technologieën is het niet altijd mogelijk het nodige instellen software... Als gevolg hiervan worden uitzonderingen op de regels toegestaan ​​(er is bijvoorbeeld een soort programma nodig, het is duur en de medewerker overtuigt het management om de niet-gelicentieerde versie te gebruiken ondanks de vorige vastgestelde regels beveiliging), die alle bescherming tenietdoet.

Ontwikkeling van een effectief informatiebeveiligingssysteem

Om een ​​effectief informatiebeveiligingssysteem te creëren, moet het volgende worden ontwikkeld:

  • het concept van informatiebeveiliging (definieert het algemene beleid, de principes en doelen);
  • normen (regels en beginselen van informatiebescherming voor elk specifiek gebied);
  • procedure (beschrijving van specifieke acties om informatie te beschermen bij het werken ermee: persoonsgegevens, procedure voor toegang tot informatiedragers, systemen en middelen);
  • instructies ( gedetailleerde beschrijving wat en hoe te doen voor de organisatie? informatie bescherming en het waarborgen van bestaande normen).

Alle bovenstaande documenten moeten met elkaar verbonden zijn en mogen elkaar niet tegenspreken.

Voor een effectieve organisatie van informatiebescherming moeten ook noodplannen worden ontwikkeld. Ze zijn nodig in geval van herstel van informatiesystemen in geval van overmacht: ongevallen, rampen, enz.

Opbouw van het beveiligingsconcept

Laten we meteen opmerken: het begrip informatiebeveiliging is niet identiek aan een strategie. De eerste is statisch, terwijl de tweede dynamisch is.

De belangrijkste onderdelen van het beveiligingsconcept zijn:

  • definitie van informatiebeveiliging;
  • veiligheidsstructuur;
  • een beschrijving van het beveiligingscontrolemechanisme;
  • risicobeoordeling;
  • informatiebeveiliging: principes en standaarden;
  • taken en verantwoordelijkheden van elke divisie, kantoor of afdeling bij de uitvoering van de verdediging informatiedragers en andere gegevens;
  • verwijzingen naar andere veiligheidsvoorschriften.

Daarnaast is een paragraaf waarin de belangrijkste criteria voor effectiviteit op het gebied van bescherming worden beschreven niet overbodig. belangrijke gegevens... Indicatoren voor beschermingsefficiëntie zijn in de eerste plaats noodzakelijk voor het topmanagement. Ze stellen u in staat om de organisatie van beveiliging objectief te beoordelen, zonder in te gaan op: technische nuances... De persoon die verantwoordelijk is voor de organisatie van de beveiliging moet ook de duidelijke criteria kennen voor het beoordelen van de effectiviteit van informatiebeveiliging om te begrijpen hoe het management zijn werk zal evalueren.

Lijst met basisvereisten voor veiligheidsdocumentatie

Bij het opstellen van een veiligheidsbeleid moet rekening worden gehouden met twee hoofdaspecten:

  1. De doelgroep voor alle informatie over veiligheid - middenmanagers en gewone werknemers kennen geen specifieke technische terminologie, maar moeten de informatie die wordt verstrekt bij het lezen van de instructies begrijpen en verwerken.
  2. De instructie moet beknopt zijn en tegelijkertijd alles bevatten Nodige informatie over het huidige beleid. Niemand zal het volumetrische "folio" in detail bestuderen, laat staan ​​onthouden.

Uit het bovenstaande zijn er twee vereisten voor: methodologische materialen voor de veiligheid:

  • ze moeten worden opgesteld in eenvoudig Russisch, zonder het gebruik van speciale technische termen;
  • de tekst over beveiliging moet doelen en manieren bevatten om deze te bereiken, met vermelding van de toewijzing van verantwoordelijke maatregelen voor niet-naleving van informatiebeveiliging. Alles! Geen technische of andere specifieke informatie.

Organisatie en implementatie van informatiebeveiliging

Nadat de ingereed is, is een geplande werkorganisatie noodzakelijk voor de implementatie ervan in het dagelijkse werk. Dit vereist:

  • het team vertrouwd maken met het goedgekeurde informatieverwerkingsbeleid;
  • dit informatieverwerkingsbeleid introduceren bij alle nieuwe medewerkers (bijvoorbeeld gedragsregels) informatieseminars of cursussen om uitgebreide uitleg te geven);
  • de bestaande bedrijfsprocessen zorgvuldig bestuderen om risico's te detecteren en te minimaliseren;
  • actief deelnemen aan het bevorderen van nieuwe bedrijfsprocessen, om niet hopeloos achterop te raken op het gebied van informatiebeveiliging;
  • gedetailleerde methodologische en informatiemateriaal, instructies die het informatieverwerkingsbeleid aanvullen (bijvoorbeeld de regels voor het verlenen van toegang tot werk op internet, de procedure voor het betreden van gebouwen met beperkte toegang, lijst informatie kanalen, waarmee u vertrouwelijke gegevens kunt overdragen, instructies voor het werken met informatiesystemen, enz.);
  • eens per drie maanden, de toegang tot informatie herzien en corrigeren, de procedure om ermee te werken, de documentatie die is aangenomen voor informatiebeveiliging bijwerken, de bestaande bedreigingen voor de informatiebeveiliging voortdurend monitoren en bestuderen.

Personen die ongeautoriseerde toegang tot informatie proberen te verkrijgen

Tot slot classificeren we degenen die kunnen of willen ontvangen onbevoegde toegang naar informatie.

Potentiële indringers van buitenaf:

  1. Kantoor bezoekers.
  2. Eerder ontslagen werknemers (vooral degenen die met een schandaal zijn vertrokken en weten hoe ze toegang moeten krijgen tot informatie).
  3. Hackers.
  4. Structuren van derden, inclusief concurrenten, evenals criminele groepen.

Potentiële ingewijden:

  1. Gebruikers computer technologie uit het aantal medewerkers.
  2. Programmeurs, systeembeheerders.
  3. Technisch personeel.

Voor de organisatie betrouwbare bescherming informatie van elk van de vermelde groepen vereist zijn eigen regels. Als een bezoeker gewoon een soort folder met belangrijke gegevens mee kan nemen, dan moet een persoon van de technische staf een niet-geregistreerd entry- en exitpunt van het LAN creëren. Elk van de gevallen is een informatielek. In het eerste geval volstaat het om gedragsregels voor het personeel op kantoor te ontwikkelen, in het tweede geval - om toevlucht te nemen tot technische middelen die de informatiebeveiliging verhogen, zoals DLP-systemen en SIEM-systemen die lekken uit computernetwerken voorkomen.

Bij het ontwikkelen van informatiebeveiliging is het noodzakelijk om rekening te houden met de specifieke kenmerken van de genoemde groepen en te voorzien in effectieve maatregelen om het lekken van informatie voor elk van hen te voorkomen.

In dit onderwerp zal ik proberen een handleiding samen te stellen voor de ontwikkeling van regelgevende documentatie op het gebied van informatiebeveiliging voor een commerciële structuur, gebaseerd op persoonlijke ervaring en materialen uit het netwerk.

Hier vindt u antwoorden op vragen:

  • waar is het informatiebeveiligingsbeleid voor;
  • hoe het te componeren;
  • hoe te gebruiken.

De noodzaak van een informatiebeveiligingsbeleid
Deze sectie beschrijft de noodzaak om een ​​informatiebeveiligingsbeleid en gerelateerde documenten te implementeren die niet op mooie taal leerboeken en normen, en voorbeelden uit persoonlijke ervaring.
Inzicht in de doelen en doelstellingen van de afdeling informatiebeveiliging
Allereerst is een beleid nodig om de doelen en doelstellingen van de informatiebeveiliging van het bedrijf over te brengen op de business. De business moet begrijpen dat een security officer niet alleen een hulpmiddel is bij het onderzoeken van datalekken, maar ook een assistent bij het minimaliseren van de bedrijfsrisico's en daarmee bij het vergroten van de winstgevendheid van het bedrijf.
Beleidsvereisten - Basis voor implementatie van waarborgen
Informatiebeveiligingsbeleid is nodig om de invoering van beveiligingsmaatregelen in het bedrijf te rechtvaardigen. De polis moet worden goedgekeurd door het hoogste bestuursorgaan van de onderneming ( algemeen manager, raad van bestuur, enz.)

Elke beschermende maatregel is een afweging tussen risicobeperking en gebruikerservaring. Wanneer een beveiligingsbeambte zegt dat het proces op geen enkele manier zou moeten plaatsvinden vanwege de schijn van risico's, wordt hem altijd een redelijke vraag gesteld: "Hoe moet het gebeuren?" De beveiliger moet een procesmodel aangeboden krijgen waarin deze risico's tot op zekere hoogte worden verkleind, hetgeen voor de business bevredigend is.

Tegelijkertijd veroorzaakt elke toepassing van eventuele beschermende maatregelen met betrekking tot de interactie van de gebruiker met het informatiesysteem van het bedrijf altijd een negatieve reactie van de gebruiker. Ze willen niet opnieuw leren, de voor hen ontwikkelde instructies lezen, enz. Heel vaak stellen gebruikers redelijke vragen:

  • waarom zou ik werken volgens jouw verzonnen schema, en niet zo? op een eenvoudige manier die ik altijd heb gebruikt
  • wie heeft dit allemaal uitgevonden?
De praktijk leert dat de gebruiker zich niets aantrekt van de risico's, je kunt hem lang en moeizaam uitleggen over hackers, de strafwet, enzovoort, er komt niets anders van af dan zenuwcellen verspillen.
Als het bedrijf een informatiebeveiligingsbeleid heeft, kunt u een beknopt en bondig antwoord geven:
deze maatregel is ingevoerd om te voldoen aan de vereisten van het informatiebeveiligingsbeleid van het bedrijf, dat is goedgekeurd door het hoogste bestuursorgaan van het bedrijf

In de regel verdwijnt de energie van de meeste gebruikers. De rest kan worden uitgenodigd om een ​​memo te schrijven aan dit allerhoogste bestuursorgaan van de onderneming. De rest wordt hier geëlimineerd. Want zelfs als het briefje daar gaat, kunnen we de noodzaak van de genomen maatregelen altijd bewijzen voor de leiding. We eten ons brood niet voor niets, toch? Bij het ontwikkelen van uw beleid zijn twee zaken van belang.
  • De doelgroep van het informatiebeveiligingsbeleid zijn eindgebruikers en het topmanagement van het bedrijf die complexe technische uitdrukkingen niet begrijpen, maar bekend moeten zijn met de bepalingen van het beleid.
  • Het is niet nodig om iets onopvallends te proppen en alles wat je kunt in dit document op te nemen! Er zouden alleen doelen op het gebied van informatiebeveiliging, methoden om deze te bereiken en verantwoordelijkheid moeten zijn! Nee technische details als ze specifieke kennis nodig hebben. Dit zijn allemaal materialen voor instructies en voorschriften.


Het definitieve document moet aan de volgende eisen voldoen:
  • beknoptheid - een groot volume van een document zal elke gebruiker afschrikken, niemand zal uw document ooit lezen (en u zult de uitdrukking meer dan eens gebruiken: "dit is een schending van het informatiebeveiligingsbeleid waarmee u kennis hebt gemaakt")
  • bereikbaarheid voor een gewone man op straat - eindgebruiker moet begrijpen WAT er in het beleid staat (hij zal de woorden en zinnen "logging", "indringermodel", "informatiebeveiligingsincident", " nooit lezen of onthouden informatie-infrastructuur"," Technogeen "," antropogeen "," risicofactor ", enz.)
Hoe kan dit worden bereikt?

In feite is alles heel eenvoudig: een informatiebeveiligingsbeleid moet een document op het eerste niveau zijn, het moet worden uitgebreid en aangevuld met andere documenten (voorschriften en instructies), die al iets specifieks zullen beschrijven.
Je kunt een analogie trekken met de staat: het document van het eerste niveau is de grondwet, en de doctrines, concepten, wetten en andere normatieve handelingen die in de staat bestaan, vullen en reguleren alleen de uitvoering van de bepalingen ervan. Een benaderend diagram wordt getoond in de afbeelding.

Laten we, om geen pap op een bord te smeren, eens kijken naar voorbeelden van informatiebeveiligingsbeleid dat op internet te vinden is.

Nuttig aantal pagina's * Geladen met termen Totale score
OJSC "Gazprombank" 11 Heel hoog
Damu Entrepreneurship Development Fund JSC 14 Hoog Een moeilijk document om doordacht te lezen, de leek zal niet lezen, en als hij leest, zal hij het niet begrijpen en zich niet herinneren
JSC NC "KazMunayGas" 3 Laag Een gemakkelijk te begrijpen document, niet vol met technische termen
JSC "Radio Engineering Institute vernoemd naar academicus A.L. Mints" 42 Heel hoog Een moeilijk document om doordacht te lezen, de leek zal het niet lezen - er zijn te veel pagina's

* Nuttig noem ik het aantal pagina's zonder inhoudsopgave, titelpagina en andere pagina's die geen specifieke informatie bevatten

Samenvatting

Een informatiebeveiligingsbeleid moet in meerdere pagina's passen, voor de leek gemakkelijk te begrijpen zijn, in algemene termen de doelen van informatiebeveiliging beschrijven, de methoden om deze te bereiken en de verantwoordelijkheid van medewerkers.
Implementatie en gebruik van informatiebeveiligingsbeleid
Na goedkeuring van het IS-beleid is het noodzakelijk:
  • alle reeds werkende medewerkers kennis te laten maken met het beleid;
  • om alle nieuwe medewerkers kennis te laten maken met het beleid (hoe je dit het beste kunt doen is een apart gesprek, we hebben een introductiecursus voor nieuwkomers, waarin ik met uitleg spreek);
  • analyseer bestaande bedrijfsprocessen om risico's te identificeren en te minimaliseren;
  • deel te nemen aan het creëren van nieuwe bedrijfsprocessen, om later niet achter de trein aan te rennen;
  • het ontwikkelen van reglementen, procedures, instructies en andere documenten ter aanvulling van het beleid (instructies voor het verlenen van toegang tot internet, instructies voor het verlenen van toegang tot kamers met beperkte toegang, instructies voor het werken met informatie Systemen bedrijven, enz.);
  • ten minste eenmaal per kwartaal het IB-beleid en overige IB-documenten herzien om deze te actualiseren.

Voor vragen en suggesties, welkom in de comments en PM.

Vraag% gebruikersnaam%

Wat de politiek betreft, de bazen houden niet van wat ik wil. in eenvoudige woorden... Ze zeggen tegen mij: "We hebben hier, behalve jij en ik, en nog 10 IT'ers die zelf alles weten en begrijpen, er zijn er tweehonderd die hier niets van begrijpen, de helft daarvan is gepensioneerd."
Ik volgde het pad van gemiddelde beknoptheid van beschrijvingen, bijvoorbeeld de regels antivirus bescherming, en hieronder schrijf ik alsof er een antivirusbeschermingsbeleid is, enz. Maar ik begrijp niet of de gebruiker tekent voor het beleid, maar nogmaals, hij moet een heleboel andere documenten lezen, het lijkt erop dat hij het beleid heeft verlaagd, maar het lijkt erop dat hij dat niet deed.

Hier zou ik het pad van het analyseren van processen volgen.
Laten we zeggen antivirusbescherming. Logischerwijs zou het zo moeten zijn.

Wat zijn de risico's van virussen? Schending van de integriteit (beschadiging) van informatie, schending van de beschikbaarheid (downtime van servers of pc's) informatie. Bij juiste organisatie netwerk, zou de gebruiker niet de rechten moeten hebben lokale beheerder in het systeem, dat wil zeggen dat hij niet de rechten mag hebben om software (en dus virussen) op het systeem te installeren. Gepensioneerden vallen dus af, omdat ze hier geen zaken doen.

Wie kan de risico's van virussen verminderen? Gebruikers met domeinbeheerdersrechten. Domeinbeheerder - een gevoelige rol, toegekend aan medewerkers van IT-afdelingen, enz. Dienovereenkomstig moeten ze antivirusprogramma's installeren. Het blijkt wat voor soort activiteit antivirus systeem zij zijn ook verantwoordelijk. Dienovereenkomstig moeten ze ook de instructies voor het organiseren van antivirusbescherming ondertekenen. Eigenlijk moet deze verantwoordelijkheid in de instructies worden voorgeschreven. Bijvoorbeeld, bezopasnik-schijven, beheerders voeren uit.

Vraag% gebruikersnaam%

Dan is de vraag, welke verantwoordelijkheid voor het maken en gebruiken van virussen mag niet worden opgenomen in de instructies van de Anti-Virus ZI (of er is een artikel en kan niet worden genoemd)? Of dat ze verplicht zijn een virus of vreemd pc-gedrag te melden bij de helpdesk of IT-medewerkers?

Nogmaals, ik zou het van de kant van risicobeheer bekijken. Hier ruikt het als het ware naar GOST 18044-2007.
In jouw geval " vreemd gedrag"Het is niet per se een virus. Dit kan een systeemrem zijn of gposhek, enz. Het gaat dus niet om een ​​incident, maar om een ​​informatiebeveiligingsgebeurtenis. Nogmaals, volgens GOST kan iedereen een gebeurtenis melden, maar het is mogelijk om een ​​incident te begrijpen of niet alleen na analyse.

Deze vraag van jou vertaalt zich dus niet meer in informatiebeveiligingsbeleid, maar in incidentmanagement. Hier in uw beleid moet worden vermeld dat: het bedrijf moet beschikken over een systeem voor incidentafhandeling.

Dat wil zeggen, zoals u ziet, is de administratieve uitvoering van het beleid vooral toevertrouwd aan beheerders en beveiligingspersoneel. Gebruikers blijven achter met een aangepaste.

Daarom moet u een bepaalde "Procedure voor het gebruik van CGT in het bedrijf" opstellen, waarin u de verantwoordelijkheden van gebruikers moet aangeven. Dit document moet aansluiten bij het informatiebeveiligingsbeleid en als het ware een toelichting zijn voor de gebruiker.

V dit document u kunt aangeven dat de gebruiker verplicht is de bevoegde autoriteit op de hoogte te stellen van abnormale computeractiviteit. Welnu, al het andere is maatwerk dat u daar kunt toevoegen.

In totaal moet u de gebruiker vertrouwd maken met twee documenten:

  • IS-beleid (zodat hij begrijpt wat er wordt gedaan en waarom, laat de boot niet schommelen, vloekt niet bij het invoeren van nieuwe controlesystemen, enz.)
  • deze "Procedure voor het gebruik van CGT in het bedrijf" (zodat hij begrijpt wat hij precies moet doen in specifieke situaties)

Dienovereenkomstig, bij de introductie van nieuw systeem, je voegt gewoon iets toe aan de "Bestelling" en brengt de medewerkers hiervan op de hoogte door de bestelling per e-mail te verzenden (of via het EDMS, als die er is).

Tags: Tags toevoegen



© Copyright 2017, https://qzoreteam.ru