Forskrift om til selskapet. Et eksempel på Cisco Systems-tilnærmingen. Oppbygning av vernekonseptet

Legg igjen en kommentar 6,950

Under sikkerhetspolitikk organisasjoner forstår settet med dokumentert ledelsesbeslutninger rettet mot å beskytte informasjon og tilhørende ressurser. Sikkerhetspolicy er måten aktiviteter utføres på i organisasjonens datainformasjonssystem. Generelt bestemmes sikkerhetspolicyer av datamiljøet som brukes og reflekterer de spesifikke behovene til organisasjonen.

Vanligvis er et bedriftsinformasjonssystem et komplekst kompleks av heterogen, noen ganger dårlig koordinert maskinvare og programvare: datamaskiner, operativsystemer, nettverksfasiliteter, DBMS og forskjellige applikasjoner. Alle disse komponentene har vanligvis sine egne beskyttelser som må matches. Derfor er en effektiv sikkerhetspolicy avgjørende som en konsistent plattform for å sikre bedriftssystemet. Etter hvert som datasystemet vokser og integreres i det globale nettverket, er det nødvendig å sikre at det ikke er noen svake punkter fordi alle anstrengelser for å beskytte informasjon kan utelukkes ved bare én forglemmelse.

Du kan utforme en sikkerhetspolicy som spesifiserer hvem som har tilgang til spesifikke eiendeler og applikasjoner, hvilke roller og ansvar spesifikke individer har, og sikkerhetsprosedyrer som klart dikterer hvordan spesifikke sikkerhetsoppgaver skal utføres. De individuelle egenskapene til en ansatts arbeid kan kreve tilgang til informasjon som ikke bør være tilgjengelig for andre ansatte. For eksempel kan en HR-leder ha tilgang til den private informasjonen til enhver ansatt, mens en rapporteringsspesialist bare kan ha tilgang til de økonomiske dataene til de ansatte. Og en ordinær ansatt vil kun ha tilgang til sine egne personopplysninger.

Sikkerhetspolicyen definerer organisasjonens holdning til rasjonell bruk av datamaskiner og nettverk, samt prosedyrer for å forebygge og reagere på sikkerhetshendelser. I et stort bedriftssystem kan et bredt spekter av ulike policyer brukes, fra forretningspolicyer til spesifikke regler for tilgang til datasett. Disse retningslinjene er helt bestemt av de spesifikke behovene til organisasjonen.

Enkle konseptersikkerhetspolitikk

Sikkerhetspolicyen definerer styringsstrategien for informasjonssikkerhet, samt oppmerksomhetsnivået og mengden ressurser som ledelsen anser som passende.

Sikkerhetspolitikken er basert på en analyse av risikoer som er anerkjent som reelle for organisasjonens informasjonssystem. Når risikoanalysen er gjennomført og beskyttelsesstrategien er fastlagt, utarbeides et program som skal ivareta informasjonssikkerheten. For dette programmet tildeles ressurser, utnevnes ansvarlige personer, bestemmes rekkefølgen for kontroll av programgjennomføringen osv.

For å gjøre deg kjent med de grunnleggende konseptene for sikkerhetspolitikk, la oss som et spesifikt eksempel vurdere et hypotetisk lokalnettverk som tilhører en organisasjon og en sikkerhetspolicy knyttet til den.

En organisasjons sikkerhetspolicy bør struktureres som et kortfattet, lett forståelig policydokument på høyt nivå støttet av et sett med mer spesifikke dokumenter med spesialiserte sikkerhetspolicyer og prosedyrer.

Sikkerhetspolitikken på høyt nivå bør gjennomgås med jevne mellomrom for å sikre at den dekker organisasjonens nåværende behov. Dette dokumentet er utformet på en slik måte at politikken er relativt uavhengig av spesifikke teknologier... I så fall trenger ikke dette policydokumentet endres for ofte.

En sikkerhetspolicy er vanligvis utarbeidet i form av et dokument som inkluderer avsnitt som problembeskrivelse, omfang, posisjon i organisasjonen, fordeling av roller og ansvar, sanksjoner mv.

Beskrivelse av problemet. Informasjon som sirkulerer innenfor lokalt nettverk, er kritisk. Et lokalt nettverk lar brukere dele programmer og data, noe som øker sikkerhetsrisikoen. Derfor trenger hver av datamaskinene i nettverket mer sterkt forsvar... Disse økte sikkerhetstiltakene er gjenstand for dette dokumentet. Dokumentet har følgende mål: å demonstrere for de ansatte i organisasjonen viktigheten av å beskytte nettverksmiljøet, beskrive deres rolle i å sikre sikkerhet, og også tildele spesifikke ansvarsområder for å beskytte informasjonen som sirkulerer i nettverket.

Bruksområde. Omfanget av denne policyen dekker all maskinvare, programvare og informasjonsressurser som er inkludert i bedriftens lokale nettverk. Policyen retter seg også mot personer som jobber med nettverket, inkludert brukere, underleverandører og leverandører.

Organisasjonens stilling. Formålet med organisasjonen er å sikre integriteten, tilgjengeligheten og konfidensialiteten til data, samt deres fullstendighet og relevans. Mer spesifikke mål er:

    å sikre et sikkerhetsnivå som er i samsvar med forskriftsdokumenter;

    følgende økonomisk gjennomførbarhet i valget av beskyttelsestiltak (kostnadene for forsvar bør ikke overstige den påståtte skaden fra bruddet informasjonssikkerhet);

    å sikre sikkerhet i hvert funksjonsområde i det lokale nettverket;

    sikre ansvarlighet for alle brukerhandlinger med informasjon og ressurser;

    gi analyse av registreringsinformasjon;

    gi brukere tilstrekkelig informasjon til bevisst å opprettholde sikkerhetsregimet;

    utvikling av planer for utvinning etter ulykker og andre kritiske situasjoner for alle funksjonsområder for å sikre kontinuiteten i nettverket;

    sikre overholdelse av gjeldende lover og bedriftens sikkerhetspolicy.

Fordeling av roller og ansvar. De respektive tjenestemennene og nettbrukerne er ansvarlige for gjennomføringen av målene ovenfor.

Avdelingsledere er ansvarlig for å kommunisere bestemmelsene i sikkerhetspolicyen til brukerne og for å kontakte dem.

sikre fortsatt drift av nettverket og er ansvarlig for å implementere de tekniske tiltakene som er nødvendige for å håndheve sikkerhetspolitikken.

Tjenesteadministratorer er ansvarlige for spesifikke tjenester og spesielt for å sikre at beskyttelse bygges i samsvar med den generelle sikkerhetspolitikken.

Brukere er forpliktet til å jobbe med det lokale nettverket i samsvar med sikkerhetspolicyen, adlyde ordrene fra personer som er ansvarlige for visse aspekter av sikkerheten, informere ledelsen om alle mistenkelige situasjoner.

Flere detaljer om rollene og ansvaret til offiserer og nettbrukere er gitt nedenfor.

Sanksjoner. Brudd på en sikkerhetspolicy kan utsette det lokale nettverket og informasjonen som sirkulerer i det for uakseptabel risiko. Sikkerhetshendelser av personell bør omgående behandles av ledelsen for disiplinære tiltak opp til og inkludert oppsigelse.

Tilleggsinformasjon. Spesifikke team av implementere kan trenge ytterligere dokumenter å gjennomgå, for eksempel spesialiserte sikkerhetspolicyer og -prosedyrer og annen veiledning. Behovet for ytterligere sikkerhetspolitiske dokumenter avhenger i stor grad av størrelsen og kompleksiteten til organisasjonen. En organisasjon som er stor nok, kan kreve spesialiserte sikkerhetspolicyer i tillegg til grunnlinjepolicyen. Mindre organisasjoner trenger bare et undersett av spesialiserte retningslinjer. Mange av disse støttedokumentene kan være ganske korte - en til to sider lange.

Fra et praktisk synspunkt kan sikkerhetspolicyer deles inn i tre nivåer: øvre, midtre og nedre.

Toppnivå sikkerhetspolicy definerer beslutninger som påvirker organisasjonen som helhet. Disse beslutningene er svært generelle og kommer vanligvis fra ledelsen i organisasjonen.

Slike avgjørelser kan omfatte følgende elementer:

    formuleringen av målene som organisasjonen forfølger innen informasjonssikkerhet, definisjonen av generelle retninger for å oppnå disse målene;

    dannelse eller revisjon integrert program sikre informasjonssikkerhet, identifisere personer som er ansvarlige for å promotere programmet;

    å gi det materielle grunnlaget for å overholde lover og forskrifter;

    utforming av ledelsesbeslutninger om gjennomføringsspørsmål sikkerhetsprogrammer vurderes på organisasjonsnivå som helhet.

Sikkerhetspolitikk på toppnivå artikulerer organisasjonens informasjonssikkerhetsmål når det gjelder integritet, tilgjengelighet og konfidensialitet. Hvis en organisasjon er ansvarlig for å vedlikeholde virksomhetskritiske databaser, bør førsteprioritet være integritet data. For en salgsorganisasjon, relevansen av informasjon om tjenestene og prisene som tilbys, samt dens tilgjengelighet maksimalt antall potensielle kjøpere. Regimorganisasjonen skal først og fremst ta seg av konfidensialitet informasjon, det vil si om beskyttelsen mot uautorisert tilgang.

toppnivå styring av sikkerhetsressurser og koordinering av bruken av disse ressursene utføres, tildeling av spesialpersonell for å beskytte kritisk viktige systemer opprettholde kontakt med andre organisasjoner som leverer eller overvåker sikkerhetsregimet.

Politikk på toppnivå må klart definere sin innflytelsessfære. Dette kan være alle datasystemene i en organisasjon, eller enda flere hvis policyen regulerer noen aspekter ved ansattes bruk av hjemmedatamaskiner. Det er også mulig at bare de viktigste systemene er inkludert i innflytelsessfæren.

Retningslinjene bør definere ansvaret til tjenestemenn for å utvikle sikkerhetsprogrammet og implementere det, det vil si at politikken kan tjene som grunnlag for ansvarlighet til ansatte.

Toppnivåpolitikk omhandler tre aspekter ved lovlydig og utøvende disiplin. For det første må organisasjonen overholde eksisterende lover. For det andre bør handlingene til de ansvarlige for å utvikle sikkerhetsprogrammet overvåkes. For det tredje er det nødvendig å sikre den utøvende disiplinen til personalet gjennom et system med belønninger og straff.

Gjennomsnittlig nivå sikkerhetspolitikk bestemmer løsningen av spørsmål knyttet til visse aspekter av informasjonssikkerhet, men viktig for ulike systemer som drives av organisasjonen.

Eksempler på slike spørsmål er holdninger til Internett-tilgang (problemet med å kombinere frihet til å innhente informasjon med beskyttelse fra eksterne trusler), bruk av hjemmedatamaskiner osv.

Sikkerhetspolicyen på mellomnivå bør definere følgende punkter for hvert aspekt av informasjonssikkerhet:

    aspektbeskrivelse- posisjonen til organisasjonen kan formuleres i en tilstrekkelig generelt syn som et sett med mål som organisasjonen forfølger i dette aspektet;

    bruksområde- det bør spesifiseres hvor, når, hvordan, i forhold til hvem og hva det gjelder. denne politikken sikkerhet;

    roller og ansvar- dokumentet må inneholde informasjon om tjenestemennene som er ansvarlige for gjennomføringen av sikkerhetspolitikken i livet;

    sanksjoner - politikken skal inneholde generell beskrivelse forbudte handlinger og straff for dem;

    kontaktpunkter- må vite hvor du skal henvende deg for avklaring, hjelp og tilleggsinformasjon. En tjenestemann er vanligvis kontaktpunktet.

Lavere nivå sikkerhetspolicyen gjelder for spesifikke tjenester. Denne policyen inkluderer to aspekter: mål og regler for å nå dem - derfor er det noen ganger vanskelig å skille den fra implementeringsspørsmål. I motsetning til de to øverste nivåene, bør den aktuelle politikken være mer detaljert.

Her er noen eksempler på spørsmål som må besvares når du følger en sikkerhetspolicy på lavt nivå:

    hvem som har rett til tilgang til objekter som støttes av tjenesten;

    hvordan er det organisert fjerntilgang til tjenesten.

Sikkerhetspolicy på lavt nivå kan komme fra hensyn til integritet, tilgjengelighet og konfidensialitet, men det bør ikke dvele ved dem. Generelt bør mål knytte sammen tjenesteobjekter og samhandle meningsfullt med dem.

Fra målene er det utledet sikkerhetsregler som beskriver hvem som kan gjøre hva og under hvilke forutsetninger. Jo mer detaljerte reglene er, jo klarere og mer formelt de er satt opp, jo lettere er det å støtte implementeringen av dem med programvare og tekniske tiltak. Objekttillatelser er vanligvis mest formelt spesifisert.

Her er en mer detaljert beskrivelse av ansvaret til hver kategori personell.

Avdelingsledere er ansvarlig for å kommunisere bestemmelsene i sikkerhetspolicyen til brukerne. De er forpliktet til å:

    ha sikkerhetsproblemer i øyesyn til enhver tid. Sørg for at deres underordnede gjør det samme;

    utføre risikoanalyse, identifisere eiendeler som krever beskyttelse og systemsårbarheter, vurdere mengden mulig skade fra et sikkerhetsbrudd og velge effektive midler beskyttelse;

    organisere opplæring av personell om sikkerhetstiltak. Vær spesielt oppmerksom på problemer knyttet til antiviruskontroll;

    informere lokale nettverksadministratorer og tjenesteadministratorer om endringer i statusen til hver av de underordnede (overføring til en annen jobb, oppsigelse, etc.);

    sikre at hver datamaskin i deres avdelinger har en verts- eller systemadministrator som er ansvarlig for sikkerheten og som er kvalifisert til å utføre denne rollen.

Lokale nettverksadministratorer sikre fortsatt drift av nettverket og er ansvarlig for å implementere de tekniske tiltakene som er nødvendige for å håndheve sikkerhetspolitikken. De er forpliktet til å:

    å sikre beskyttelse av lokalt nettverksutstyr, inkludert grensesnitt med andre nettverk;

    raskt og effektivt reagere på truende hendelser. Informer tjenesteadministratorer om forsøk på å bryte beskyttelsen;

    bruke påviste metoder for å revidere og oppdage mistenkelige situasjoner. Analysere registreringsinformasjon på daglig basis knyttet til nettverket som helhet og til filservere særlig;

    ikke misbruk dine store krefter. Brukere har rett til personvern;

    utvikle prosedyrer og utarbeide instruksjoner for å beskytte det lokale nettverket mot skadelig programvare. Hjelp til å oppdage og eliminere ondsinnet kode;

    regelmessig utføre backup informasjon lagret på filservere;

    gjøre alle endringer i nettverkets maskinvare og programvarekonfigurasjon;

    sikre at identifikasjons- og autentiseringsprosedyren er obligatorisk for tilgang til nettverksressurser... Tildel innloggingsnavn til brukere og innledende passord bare etter å ha fylt ut registreringsskjemaene;

    kontroller med jevne mellomrom påliteligheten til beskyttelsen av det lokale nettverket. Hindre uautoriserte brukere fra å få privilegier.

Tjenesteadministratorer er ansvarlige for spesifikke tjenester og spesielt for å sikre at beskyttelse bygges i samsvar med den generelle sikkerhetspolitikken. De er forpliktet til å:

    administrere brukertilgangsrettigheter til betjente objekter;

    raskt og effektivt reagere på truende hendelser. Gi hjelp til å avvise trusselen, identifisere overtredere og gi informasjon for deres straff;

    regelmessig sikkerhetskopiere informasjon behandlet av tjenesten;

    gi brukere påloggingsnavn og innledende passord kun etter å ha fylt ut registreringsskjemaer;

    analysere registreringsinformasjonen knyttet til tjenesten på daglig basis. Overvåk tjenesten regelmessig for skadelig programvare;

    kontroller med jevne mellomrom påliteligheten til tjenestebeskyttelsen. Hindre uautoriserte brukere fra å få privilegier.

Brukere er forpliktet til å jobbe med det lokale nettverket i samsvar med sikkerhetspolicyen, adlyde ordrene fra personer som er ansvarlige for visse aspekter av sikkerheten, informere ledelsen om alle mistenkelige situasjoner. De er forpliktet til å:

    kjenne til og overholde lovene, reglene vedtatt i denne organisasjonen, sikkerhetspolicy, sikkerhetsprosedyrer. Bruk tilgjengelige sikkerhetsmekanismer for å sikre konfidensialiteten og integriteten til informasjonen deres;

    bruke en filbeskyttelsesmekanisme og riktig angi tilgangsrettigheter;

    velg passord av høy kvalitet, bytt dem regelmessig. Ikke skriv ned passord på papir, ikke del dem med andre;

    informere administratorer eller ledelse om sikkerhetsbrudd og andre mistenkelige situasjoner;

    ikke bruk svakheter i beskyttelsen av tjenester og det lokale nettverket som helhet. Ikke utfør uautorisert arbeid med data, ikke forstyrre andre brukere;

    oppgi alltid korrekt identifikasjon og autentiseringsinformasjon, ikke prøv å jobbe på vegne av andre brukere;

    gi sikkerhetskopiinformasjon fra hardisk din datamaskin;

    vite hvordan skadelig programvare fungerer, hvordan den trenger inn og sprer seg. Kjenne til og følg prosedyrene for å forhindre penetrering av ondsinnet kode, oppdagelse og ødeleggelse av den;

    kjenne til og følge oppførselsreglene i nødsituasjoner, rekkefølgen av handlinger for å eliminere konsekvensene av ulykker.

Tiltak for styring av informasjonssikkerhet. Hovedmålet med tiltak på ledelsesnivå er å formulere et arbeidsprogram innen informasjonssikkerhet og sikre gjennomføringen ved å tildele nødvendige ressurser og gjennomføre regelmessig overvåking av tingenes tilstand. Grunnlaget for dette programmet er en flerlags sikkerhetspolicy som gjenspeiler en organisasjons integrerte tilnærming til å beskytte ressursene og informasjonsmidlene.

Hovedstadiet i å bygge et sikkert informasjonssystem er stadiet for å utvikle en sikkerhetspolicy. En detaljert policy er nødvendig for å lage effektivt system bedriftssikkerhet Følgende viser hovedtrinnene for å sikre sikkerhet:

  • Avklaring av viktigheten av informasjon og teknologiske eiendeler til bedriften;
  • bestemme sikkerhetsnivået for hver eiendel, samt sikkerhetstiltak som vil være kostnadseffektive for hver eiendel
  • Bestemmelse av risiko for trusler mot eiendeler;
  • Tiltrekning av nødvendige økonomiske ressurser for å sikre sikkerhetspolitikk, samt anskaffelse og konfigurasjon nødvendige midler for sikkerhet;
  • Streng kontroll av den trinnvise implementeringen av sikkerhetsplanen, for å identifisere gjeldende tilgivelse og også ta hensyn til endringer eksterne faktorer med en ytterligere endring i de nødvendige sikkerhetsmetodene;
  • Gjennomføring av forklarende handlinger for ansatte og andre ansvarlige ansatte

Følgende sikkerhetspolicykrav er satt sammen fra en rekke feil og utprøving av de fleste organisasjoner:

Sikkerhetspolicyer bør:

  • angi årsakene og målene for å lage en sikkerhetspolitikk;
  • inspisere hvilke grenser og ressurser som omfattes av sikkerhetspolitikken;
  • identifisere de ansvarlige for sikkerhetspolitikken;
  • fastsette betingelsen om manglende oppfyllelse og den såkalte straffen
  • sikkerhetspolicyer må være reelle og håndhevbare;
  • sikkerhetspolicyer bør være tilgjengelige, konsise og utvetydige for forståelse;
  • det må være en mellomting mellom beskyttelse og ytelse;

Hovedtrinnene for å utvikle en policy er:

  • skape et tilstrekkelig team for å lage en policy;
  • løse spørsmål om nye funksjoner under utvikling.
  • løse spørsmål om omfanget og formålet med policyen;
  • løse spørsmål om de som er ansvarlige for opprettelsen og implementeringen av dette dokumentet;

Du må analysere det lokale nettverket for. Etter å ha tatt de grunnleggende trinnene, må du analysere om det er en lokal nettverkstilkobling (eller) til Internett. Faktisk, når nettverket går online, oppstår spørsmålet om. Så hvilke datamaskiner og nettverkstjenester som allerede brukes i nettverket. Bestem antall ansatte etter en rekke kriterier. For eksempel hvor mange som trenger Internett-tilgang, hvor mange bruker via epost og andre nettjenester... Finn også ut om det er ekstern tilgang til internt nettverk... Mest hovedspørsmålet, der alle spørsmål må defineres, dette "Er denne tjenesten inkludert i listen over forretningskrav?"

Etter å ha analysert og organisert informasjonen, må teamet gå videre til analysen og. Risikoanalyse- dette er det viktigste stadiet i utformingen av en sikkerhetspolitikk (fig. 1).

Bilde 1

På dette stadiet implementeres følgende trinn:

  • analyser som er direkte utpekt for beskyttelsesobjektet;
  • vurdering og identifikasjon av prisen på informasjon og teknologiske eiendeler;
  • undersøkelse av sannsynligheten for implementering av trusler i praksis;
  • inspeksjon av risiko for eiendeler;

Etter å ha undersøkt risikoen for eiendeler, må du fortsette til stille inn sikkerhetsnivået som definerer beskyttelsen for hver eiendel. Det er en regel som prisen for å beskytte eiendelen må ikke overstige prisen på selve eiendelen

Vurder å opprette en av sikkerhetsprosessene. Prosessen er vist i fig. 2.

  • inngang, la oss si at brukeren sender en forespørsel om å opprette et nytt passord;
  • , bestemmer hvilke roller som er involvert i denne prosessen. Bruker forespørsler Nytt passordAdministrator;
  • Kontroll- beskriver selve algoritmen som styrer prosessen. Når du blir bedt om et nytt passord, må brukeren være autentisert;
  • Produksjon, dette er resultatet av prosessen. Henter et passord.

Bilde 2

Sikkerhetsarkitekturkomponenter

Fysisk sikkerhet, viktig komponent siden fyllingen av det fysiske området der komponentene til det beskyttede objektet befinner seg ikke er ensartet. Dersom det ikke bare er ansatte i organisasjonen i bygget, men også andre personer, må alle aspekter av vern tas i betraktning. Gjennomføring fysisk beskyttelse er redusert til definisjonen av komponenter datanettverk som må beskyttes fysisk da de kan utsettes for trusler som tap av konfidensialitet, tilgjengelighet og integritet.

Det er nødvendig å utpeke områder med ulike sikkerhetsnivåer:

  • åpent, et område av det fysiske miljøet som både ansatte og andre mennesker kan gå inn i
  • kontrollert, et område av det fysiske miljøet som må stenges i fravær av tilsyn eller tilsyn
  • spesielt kontrollert er dette et område hvor tilgangen er begrenset selv for ansatte med forhøyede rettigheter adgang

Ressurser er delt inn i to kategorier som er sårbare for trusler:

  • OS-ressurser;
  • Brukerressurser.
  • Kanskje teoretisk sett ressursene som ligger bak fysisk tilgang organisasjoner, for eksempel;
  • må definere autoriteten for hvert system og plattform;
  • kontrollere tildelingen av rettigheter til autoriserte brukere.

Alarmhåndtering en viktig komponent, siden for en umiddelbar reaksjon er løftet å forhindre et angrep. Eksempel på prosesser for å oppdage problemer og alarmer:

  • hvert sikkerhetsbrudd må gi et hendelsessignal;
  • Én hendelse er ikke en grunn for godkjenning, de må samle seg;
  • det må være en terskel som dataene sammenlignes mot og konklusjonene trekkes for konkrete handlinger.

Et eksempel på en IBM-bedriftstilnærming

IBM mener at bedriftens handling bør begynne med opprettelsen av en sikkerhetspolicy. Samtidig, når du oppretter den, anbefales det å følge den internasjonale standarden ISO 17799: 2005 og se på selskapets policy som en integrert del av risikostyringsprosessen (fig. 3). Utviklingen av en sikkerhetspolitikk er en av virksomhetens viktige oppgaver.

Figur - 3

IBM-spesialister identifiserer følgende stadier i utviklingen av en sikkerhetspolicy:

  • Analyse informasjonsbedrifter som kan forårsake maksimal skade.
  • Lag en sikkerhetspolicy som implementerer som er innenfor rammen av virksomhetens mål.
  • Utvikle beredskapsplaner for å redusere skader.
  • Restanalyse informasjonstrusler... Analysen er utført med utgangspunkt i hovedtruslene.
  • Gjennomgang av IT-strategi, identifisering av informasjonssikkerhetskrav og analyse aktuelle problemer sikkerhet.
  • Inspeksjon av bedriftens forretningsstrategi.
  • Utvikle en sikkerhetspolicy som tar hensyn til IT-strategier og bedriftsutviklingsmål.

Figur - 4

Med IBM-standarder menes dokumenter som beskriver prosedyren og strukturen for implementering av sikkerhetspolicyer i slike aspekter som autorisasjon, tilgangskontroll, autentisering, identifikasjon og så videre. Slike standarder kan endres i forhold til kravene i sikkerhetspolitikken, siden de allerede er påvirket av litt andre, mer spesifikke trusler. IBM er forpliktet til å lage standarder for:

  • analyse av informasjonstrusler og metoder for å redusere dem
  • opprettelse av sikkerhetsstandarder og regler ulike nivåer bedrifter
  • avklaring av beskyttelsesmetoder som skal implementeres ved virksomheten
  • spesifikk definisjon av sikkerhetsprosedyrer
  • analyse av forventninger til resultater fra ansatte og selskapet som helhet
  • implementering av juridisk støtte

Standarder er laget ved hjelp av praksis og/eller prosedyrer. De beskriver tjenestene som er installert på operativsystemet, samt prosedyren for å lage andre øyeblikk. IBM tilbyr en spesifikk tilnærming til utvikling av sikkerhetsdokumenter (figur 5).

Figur - 5

Et eksempel på en UNIX-basert sikkerhetsstandard

Handlingens omfang og formål- dokumentet beskriver kravene til beskyttelse av PC-er som kjører på unix OS.

Publikum- personell for informasjonssikkerhet og informasjonsteknologitjenester.

Legitimasjon- Informasjonssikkerhetsavdelingen til bedriften er utstyrt med alle tilgangsrettigheter til serverne til bedriftsinformasjonssystemet og er ansvarlig for dem. Risikostyringsavdelingen godkjenner alle avvik fra kravene i standarden.

Unntak- Eventuelle avvik fra implementeringen av standarden skal bekreftes i i virksomheten.

Brukerstøtte– Eventuelle spørsmål knyttet til standarden, spør.

Revisjon av standarden- revideres årlig.

Et eksempel på en Sun Microsystems-tilnærming

Sun mener politikken er nødvendig for å effektiv organisasjon informasjonssikkerhetsregimet til virksomheten. De mener også med sikkerhetspolitikken et strategisk dokument som beskriver kravene og forventningene til virksomhetens ledelse. De anbefaler å lage en tilnærming ovenfra og ned, lag først en sikkerhetspolicy, og bygg deretter arkitekturen til informasjonssystemet. For å lage en sikkerhetspolicy anbefaler de å involvere slike ansatte i avdelinger som:

  • bedriftsledelse
  • informasjonssikkerhetsavdelingen
  • teknisk ledelse
  • risikostyringsavdelingen
  • system/nettverksadministrasjonsavdeling
  • Justisdepartementet
  • systemdriftsavdelingen
  • Personalavdelingen
  • service intern kvalitet og revisjon

Hovedformålet med sikkerhetspolitikken- informere ledelsen og ansatte i selskapet om gjeldende krav til databeskyttelse i informasjonssystemet.

Sikkerhetspolitisk idé hovedideene inkluderer:

  • tildeling av verdi til informasjonsmidler
  • gjenværende risikostyring; R = H × P, hvor H - skadevurdering, P - trusselsannsynlighet
  • styring av informasjonssikkerhet
  • berettiget tillit

Sikkerhetsprinsipp- Dette er det første trinnet i å lage en policy, de inkluderer:

  • Bekjentskap - deltakere i informasjonssystemet skal være kjent med kravene i sikkerhetspolitikken og ansvar.
  • Ansvaret ligger hos hver bruker for alle hans handlinger i informasjonsnettverket.
  • Etikk - virksomheten til selskapets ansatte må være i samsvar med etiske standarder.
  • Helhet – alle sikkerhetsområder må tas i betraktning.
  • Økonomisk begrunnelse - alle handlinger for utvikling av en virksomhet må være økonomisk begrunnet.
  • Integrasjon - alle områder av policyer, prosedyrer eller standarder må integreres og koordineres med hverandre.
  • Aktualitet - Alle trusselmottiltak må komme i tide.
  • Demokrati - alle handlinger for å beskytte eiendeler ved bedriften må være i samsvar med demokratiets normer.
  • Akkreditering og sertifisering – bedriften og all dens virksomhet skal være sertifisert
  • Separasjon av privilegier - alle rettigheter til ansatte bør skilles med hensyn til tilgang til ressurser.

Et eksempel på Cisco Systems-tilnærmingen

Cisco mener at mangelen på en nettverkssikkerhetspolicy fører til alvorlige sikkerhetshendelser. Ved å bestemme trusselsnivåene og tilgangstypene som er nødvendig for hvert nettverk, kan du lage en sikkerhetsmatrise (tabell 1). En slik matrise er utgangspunktet for å lage en sikkerhetspolicy.

Tabell 1.

System Beskrivelse Risikonivå Brukertyper
ATM-brytere Grunnleggende nettverksenheter Høy Nettverksadministratorer
Nettverksrutere Nettverksdistribusjonsenheter Høy Nettverksadministratorer
Tilgangsbrytere Nettverkstilgangsenheter Gjennomsnitt Nettverksadministratorer
ISDN / oppringt servere Nettverkstilgangsenheter Gjennomsnitt
Brannmurer Nettverkstilgangsenheter Høy Sikkerhetsadministrator
DNS- og VRSZ-servere Nettverksapplikasjoner Gjennomsnitt Nettverks- og systemadministratorer
Eksterne e-postservere Nettverksapplikasjoner Kort
Interne e-postservere Nettverksapplikasjoner Gjennomsnitt Administratorer og brukere
Oracle databaseservere Nettverksapplikasjoner Middels eller høy Databaseadministratorer og brukere

Under advarsel av brudd vurderer Cisco-eksperter bekreftelsen av modifikasjoner av sikkerhetssystemene. Disse endringene inkluderer:

  • tilgangskontrolllister
  • brannmurkonfigurasjon
  • PZ versjon
  • SNMP-konfigurasjon

Også, ifølge RFC 2196, må det være en hendelseshåndtering. Hendelseshåndtering- Algoritme for å svare på ulike situasjoner... Behandlingstrinn:

  • bestemme prioritet og type angrep
  • analyse av start-/sluttidspunktet for angrepet
  • angrepskildeanalyse
  • analyse av enhetene som er berørt av angrepet
  • loggoppføring
  • handlinger for å stoppe eller dempe virkningene av et angrep
  • isolere berørte områder av systemet
  • melding til de berørte personer
  • forsvar av bevis for angrep
  • restaurering av ytelsen til isolerte områder

Et eksempel på Microsofts tilnærming

Nesten 8 millioner dollar kommer til bedriftens nettverk hver dag. e-postmeldinger, og 6,5 millioner meldinger sirkulerer i selskapet. Microsoft har laget en sikkerhetsstrategi som består av:

  • bedriftens sikkerhetsoppdrag
  • driftssikkerhetsprinsipper
  • en beslutningsmodell som er basert på en undersøkelse av risiko
  • taktisk prioritering av risikoreduserende arbeid

Symantecs tilnærming

Policyen definerer hvorfor en bedrift beskytter sine data og eiendeler. Standarder - hva en bedrift vil gjøre for å beskytte og administrere informasjonssikkerheten. Prosedyrene beskriver nøyaktig hvordan virksomheten skal gjennomføre det som er beskrevet i dokumentene ovenfor. Symantec beskriver følgende trinn for å utvikle en sikkerhetspolicy.

  • Analyse og verdivurdering av informasjonsmidler- hva som må beskyttes og med hvilke mål og formål.
  • Sikkerhetstrusselanalyse- identifisering av kilder potensielle problemer... Analyse av mulig skade i forhold til trusler.
  • Analyse informasjonsrisiko - det vanskeligste stadiet, da det er nødvendig å bestemme sannsynligheten for trusler og tilhørende skade.
  • Definisjon av ansvar- valg av personer eller et team som skal håndtere slike spørsmål i virksomheten.
  • Oppretting av et omfattende dokument- opprettelse av en policy basert på tilleggsdokumenter, enten det er lovgivende eller internt.
  • Gjennomføring– Politikken bør tydelig beskrive mekanismene for å iverksette vernetiltak.
  • Styring av sikkerhetsprogram- bruksområde.

Hva er i oppmerksomheten? Til effektivt arbeid politikere må:

  • forretningsmål ble tatt i betraktning
  • var ekte
  • holdt en balanse mellom sikkerhet og ytelse
  • alle ansatte kunne gjøre seg kjent med innholdet i policyen
  • ikke var i strid med andre selskapsdokumenter og lovkrav
  • klart definert de ansattes ansvar
  • var fornybar
Informasjonssikkerhetspolicy (IS) er et sett med tiltak, regler og prinsipper som veiledes i deres daglige praksis av ansatte i en virksomhet/organisasjon for å beskytte informasjonsressurser.

I løpet av tiden som har gått siden fremveksten av selve begrepet informasjonssikkerhet har det blitt utviklet mange slike retningslinjer - i hvert selskap bestemmer ledelsen selv hvordan og hvilken informasjon som skal beskyttes (i tillegg til de tilfellene som gjelder offisielle krav lovgivning Den russiske føderasjonen). Retningslinjer er vanligvis formalisert: de tilsvarende forskriftene er utviklet. Ansatte i virksomheten er forpliktet til å følge et slikt dokument. Imidlertid blir ikke alle disse dokumentene effektive til slutt. Nedenfor vil vi vurdere alle komponentene i en informasjonssikkerhetspolicy og definere hovedaspektene som er nødvendige for effektiviteten.

Hva er formaliseringen av informasjonsbeskyttelsen til for?

Informasjonssikkerhetspolitiske bestemmelser vises oftest i form av et eget dokument i henhold til regulatorens krav - en organisasjon som regulerer arbeidsreglene juridiske enheter i en bestemt bransje. Hvis det ikke er noen bestemmelse om informasjonssikkerhet, er visse represalier mot overtrederen ikke utelukket, som til og med kan føre til stans av sistnevntes virksomhet.

En sikkerhetspolicy er også en obligatorisk komponent i visse standarder (lokale eller internasjonale). Det er nødvendig å oppfylle de spesifikke kravene som vanligvis stilles av eksterne revisorer som studerer virksomheten til organisasjonen. Fraværet av en sikkerhetspolicy genererer negative svar, og slike vurderinger påvirker negativt indikatorer som rating, pålitelighetsnivå, investeringsattraktivitet, etc.

Informasjonssikkerhetsmateriell blir til når toppledelsen forstår behovet for en strukturert tilnærming til temaet informasjonssikkerhet. Slike løsninger kan implementeres etter innføring av tekniske midler, når det er en bevissthet om at disse midlene må administreres, må de være under konstant kontroll. Ofte inkluderer informasjonssikkerhet også problemet med forhold til personell (en ansatt kan betraktes ikke bare som en person som skal beskyttes, men også som et objekt som informasjonen må beskyttes mot), andre aspekter og faktorer som går utover den eneste beskyttelsen av et datanettverk og hindring av uautorisert tilgang til det.

Tilstedeværelsen av relevante bestemmelser indikerer konsistensen til organisasjonen i spørsmål om informasjonssikkerhet, dens modenhet. En klar formulering av informasjonssikkerhetsregler er bevis på at i denne prosessen betydelig fremgang er gjort.

Mislykkede retningslinjer

Bare tilstedeværelsen av et dokument med navnet «Forskrift om informasjonssikkerhet» er ikke en garanti for informasjonssikkerhet som sådan. Hvis det kun vurderes i sammenheng med overholdelse av noen krav, men uten praktisk anvendelse, vil effekten være null.

Ineffektiv sikkerhetspolitikk, som praksis viser, er av to typer: kompetent formulert, men ikke implementert, og implementert, men ikke klart formulert.

Den første er som regel ganske vanlig i organisasjoner der den ansvarlige for informasjonsbeskyttelse bare laster ned lignende dokumenter fra Internett, gjør minimale endringer og gjør generelle regler for ledelsens godkjenning. Ved første øyekast virker denne tilnærmingen pragmatisk. Sikkerhetsprinsipper i ulike organisasjoner Selv om fokuset for aktivitetene deres er forskjellig, er de ofte like. Men problemer med informasjonssikkerhet kan oppstå når man går fra et generelt begrep om informasjonssikkerhet til det daglige arbeidet med dokumenter som prosedyrer, metoder, standarder osv. Siden sikkerhetspolitikken opprinnelig ble utformet for en annen struktur, er det mulig med visse vanskeligheter med tilpasningen. av dagligdagse dokumenter.

Den ineffektive politikken av den andre typen inkluderer et forsøk på å løse problemet ikke ved å vedta generelle strategiske planer, men ved å ta umiddelbare beslutninger. For eksempel, Systemadministrator lei av det faktum at brukere ved sine uforsiktige manipulasjoner forstyrrer nettverket, tar følgende handlinger: tar et ark og noter ned reglene på ti minutter (hva som er tillatt og hva som ikke er tillatt, hvem som har tilgang til data for en bestemt eiendom, og hvem som ikke har det) og overskriften "Retningslinjer". Hvis ledelsen godkjenner en slik "policy", kan den senere tjene som grunnlag for strukturens aktiviteter innen informasjonssikkerhet i årevis, og skape konkrete problemer: for eksempel med introduksjon av nye teknologier er det ikke alltid mulig. å stille inn det nødvendige programvare... Som et resultat begynner unntak fra reglene å bli tillatt (for eksempel er det nødvendig med et slags program, det er dyrt, og den ansatte overbeviser ledelsen om å bruke den ulisensierte versjonen til tross for den forrige etablerte regler sikkerhet), som opphever all beskyttelse.

Utvikling av et effektivt informasjonssikkerhetssystem

For å skape et effektivt informasjonssikkerhetssystem, bør følgende utvikles:

  • begrepet informasjonssikkerhet (definerer den overordnede politikken, dens prinsipper og mål);
  • standarder (regler og prinsipper for informasjonsbeskyttelse på hvert spesifikt område);
  • prosedyre (beskrivelse av spesifikke handlinger for å beskytte informasjon når du arbeider med den: personopplysninger, prosedyre for tilgang til informasjonsbærere, systemer og ressurser);
  • bruksanvisning ( Detaljert beskrivelse hva og hvordan gjøre for organisasjonen informasjonsbeskyttelse og sikre eksisterende standarder).

Alle de ovennevnte dokumentene skal henge sammen og ikke motsi hverandre.

For effektiv organisering av informasjonsbeskyttelse bør det også utarbeides beredskapsplaner. De er nødvendige i tilfelle restaurering av informasjonssystemer i tilfelle force majeure-omstendigheter: ulykker, katastrofer, etc.

Oppbygning av vernekonseptet

La oss merke med en gang: konseptet informasjonssikkerhet er ikke identisk med en strategi. Den første er statisk mens den andre er dynamisk.

Hoveddelene av sikkerhetskonseptet er:

  • definisjon av informasjonssikkerhet;
  • sikkerhetsstruktur;
  • en beskrivelse av sikkerhetskontrollmekanismen;
  • risikovurdering;
  • informasjonssikkerhet: prinsipper og standarder;
  • plikter og ansvar for hver avdeling, kontor eller avdeling i gjennomføringen av forsvaret informasjonsbærere og andre data;
  • henvisninger til andre sikkerhetsforskrifter.

I tillegg vil et avsnitt som beskriver hovedkriteriene for effektivitet på beskyttelsesområdet ikke være overflødig. viktig informasjon... Besker først og fremst nødvendige for toppledelsen. De lar deg objektivt vurdere organiseringen av sikkerhet, uten å gå i dybden tekniske nyanser... Den ansvarlige for organiseringen av sikkerheten trenger også å kjenne til de klare kriteriene for å vurdere effektiviteten av informasjonssikkerhet for å forstå hvordan ledelsen vil vurdere hans arbeid.

Liste over grunnleggende krav til sikkerhetsdokumentasjon

En sikkerhetspolicy bør utformes under hensyntagen til to hovedaspekter:

  1. Målgruppen for all sikkerhetsinformasjon er at mellomledere og ordinære ansatte ikke kan spesifikk fagterminologi, men må forstå og tilegne seg informasjonen som gis ved lesing av instruksjonene.
  2. Instruksjonen skal være kortfattet og samtidig inneholde alt nødvendig informasjon om gjeldende politikk. Ingen vil studere den volumetriske "folioen" i detalj, enn si huske.

Av ovenstående er det to krav til metodisk materiale for sikkerhet:

  • de bør utarbeides på enkel russisk, uten bruk av spesielle tekniske termer;
  • Teksten om sikkerhet bør inneholde mål, måter å oppnå dem på, og angi tildeling av tiltak for ansvar for manglende overholdelse av informasjonssikkerhet. Alt! Ingen teknisk eller annen spesifikk informasjon.

Organisering og implementering av informasjonssikkerhet

Etter at inforer klar, er en planlagt organisering av arbeidet nødvendig for implementering i det daglige arbeidet. Dette krever:

  • gjøre teamet kjent med den godkjente informasjonsbehandlingspolicyen;
  • introdusere denne informasjonsbehandlingspolicyen for alle nye ansatte (for eksempel oppførsel informasjonsseminarer eller kurs for å gi omfattende forklaringer);
  • studere de eksisterende forretningsprosessene nøye for å oppdage og minimere risikoer;
  • delta aktivt i promoteringen av nye forretningsprosesser, for ikke å bli håpløst hengende etter innen informasjonssikkerhet;
  • utarbeide detaljerte metodiske og informasjonsmateriell, instruksjoner som supplerer retningslinjene for informasjonsbehandling (for eksempel reglene for å gi tilgang til arbeid på Internett, prosedyren for å gå inn i lokaler med begrenset tilgang, liste informasjonskanaler, der du kan overføre konfidensielle data, instruksjoner for arbeid med informasjonssystemer, etc.);
  • en gang hver tredje måned, revidere og korrigere tilgang til informasjon, prosedyren for å jobbe med den, oppdatere dokumentasjonen som er vedtatt for informasjonssikkerhet, kontinuerlig overvåke og studere eksisterende trusler om informasjonssikkerhet.

Personer som prøver å få uautorisert tilgang til informasjon

Avslutningsvis klassifiserer vi de som kan eller vil ta imot uautorisert tilgang til informasjon.

Potensielle inntrengere utenfor:

  1. Kontorbesøkende.
  2. Tidligere oppsagte ansatte (spesielt de som dro med en skandale og vet hvordan de skal få tilgang til informasjon).
  3. Hackere.
  4. Tredjepartsstrukturer, inkludert konkurrenter, så vel som kriminelle grupper.

Potensielle innsidere:

  1. Brukere datateknologi fra antall ansatte.
  2. Programmerere, systemadministratorer.
  3. Teknisk personale.

For organisasjonen pålitelig beskyttelse informasjon fra hver av de listede gruppene krever sine egne regler. Hvis en besøkende ganske enkelt kan ta med seg en slags brosjyre med viktige data, bør en person fra det tekniske personalet opprette et uregistrert inngangs- og utgangspunkt fra LAN. Hver av sakene er en informasjonslekkasje. I det første tilfellet er det nok å utvikle atferdsreglene for ansatte på kontoret, i det andre - å ty til tekniske midler som øker informasjonssikkerheten, som DLP-systemer og SIEM-systemer som forhindrer lekkasjer fra datanettverk.

Når du utvikler informasjonssikkerhet, er det nødvendig å ta hensyn til spesifikasjonene til de listede gruppene og sørge for effektive tiltak for å forhindre informasjonslekkasje for hver av dem.

I dette emnet vil jeg forsøke å utarbeide en manual for utvikling av regulatorisk dokumentasjon innen informasjonssikkerhet for en kommersiell struktur, basert på personlig erfaring og materiell fra nettverket.

Her kan du finne svar på spørsmål:

  • hva gjelder informasjonssikkerhetspolicyen;
  • hvordan komponere den;
  • Hvordan bruke det.

Behovet for en informasjonssikkerhetspolicy
Denne delen beskriver behovet for å implementere en informasjonssikkerhetspolicy og relaterte dokumenter som ikke er på vakkert språk lærebøker og standarder, og eksempler fra egen erfaring.
Forstå målene og målene for
For det første er en policy nødvendig for å formidle til virksomheten målene og målene for selskapets informasjonssikkerhet. Virksomheten må forstå at en sikkerhetsansvarlig ikke bare er et verktøy for å undersøke datalekkasjer, men også en assistent for å minimere selskapets risiko, og dermed øke selskapets lønnsomhet.
Policykrav - Grunnlag for implementering av sikkerhetstiltak
Informasjonssikkerhetspolicy er nødvendig for å rettferdiggjøre innføring av beskyttelsestiltak i virksomheten. Policyen må godkjennes av selskapets høyeste administrative organ ( daglig leder, styre, etc.)

Ethvert beskyttelsestiltak er en avveining mellom risikoreduksjon og brukeropplevelse. Når en sikkerhetsoffiser sier at prosessen ikke bør skje på noen måte på grunn av tilsynelatende risikoer, blir han alltid stilt et rimelig spørsmål: "Hvordan skal det skje?" Sikkerhetsansvarlig må tilbys en prosessmodell der disse risikoene i noen grad reduseres, noe som er tilfredsstillende for virksomheten.

Samtidig forårsaker enhver anvendelse av eventuelle beskyttelsestiltak angående brukerens interaksjon med selskapets informasjonssystem alltid en negativ reaksjon fra brukeren. De ønsker ikke å lære på nytt, lese instruksjonene som er utviklet for dem, osv. Svært ofte stiller brukere rimelige spørsmål:

  • hvorfor skulle jeg jobbe i henhold til din oppfunne ordning, og ikke så på en enkel måte som jeg alltid har brukt
  • som fant opp alt dette
Praksis har vist at brukeren ikke bryr seg om risikoen, du kan forklare ham i lang tid og kjedelig om hackere, straffeloven og så videre, ingenting kommer ut av det bortsett fra å kaste bort nerveceller.
Hvis selskapet har en informasjonssikkerhetspolicy, kan du gi et kort og kortfattet svar:
dette tiltaket ble innført for å oppfylle kravene i selskapets informasjonssikkerhetspolicy, som ble godkjent av selskapets høyeste administrative organ

Som regel forsvinner energien til de fleste brukere. Resten kan inviteres til å skrive et notat til selskapets aller høyeste administrative organ. Resten er eliminert her. For selv om lappen går der, kan vi alltid bevise behovet for de tiltakene som er gjort før ledelsen. Vi spiser ikke brødet vårt for ingenting, ikke sant? Det er to ting du må huske på når du utvikler policyen din.
  • Målgruppen for informasjonssikkerhetspolicyen er sluttbrukere og toppledelsen i virksomheten som ikke forstår komplekse tekniske uttrykk, men må være kjent med policyens bestemmelser.
  • Det er ingen grunn til å prøve å stappe noe upåklagelig og inkludere alt du kan i dette dokumentet! Det skal kun være informasjonssikkerhetsmål, metoder for å nå dem og ansvar! Nei tekniske detaljer hvis de trenger spesifikk kunnskap. Dette er alt materiale for instruksjoner og forskrifter.


Det endelige dokumentet må oppfylle følgende krav:
  • kortfattethet - et stort volum av et dokument vil skremme av enhver bruker, ingen vil noen gang lese dokumentet ditt (og du vil bruke uttrykket mer enn én gang: "dette er et brudd på retningslinjene for informasjonssikkerhet du har blitt introdusert for")
  • tilgjengelighet for en vanlig mann på gaten - slutt bruker må forstå HVA som er skrevet i policyen (han vil aldri lese eller huske ordene og uttrykkene "logging", "inntrengermodell", "informasjonssikkerhetshendelse", " informasjonsinfrastruktur"," Teknogen "," antropogen "," risikofaktor ", etc.)
Hvordan kan dette oppnås?

Faktisk er alt veldig enkelt: en informasjonssikkerhetspolicy skal være et førstenivådokument, den bør utvides og suppleres med andre dokumenter (forskrifter og instruksjoner), som allerede vil beskrive noe spesifikt.
Du kan tegne en analogi med staten: dokumentet på det første nivået er grunnloven, og doktrinene, konseptene, lovene og andre normative handlinger som eksisterer i staten, supplerer og regulerer bare gjennomføringen av dens bestemmelser. Et omtrentlig diagram er vist i figuren.

For ikke å smøre grøt på en tallerken, la oss bare se på eksempler på informasjonssikkerhetspolicyer som finnes på Internett.

Nyttig antall sider * Lastet med vilkår Total poengsum
OJSC "Gazprombank" 11 Veldig høy
Damu Entreprenørskapsutviklingsfond JSC 14 Høy Et vanskelig dokument for gjennomtenkt lesing, lekmannen vil ikke lese, og hvis han leser, vil han ikke forstå og ikke huske
JSC NC "KazMunayGas" 3 Lav Et lettfattelig dokument, ikke rotete med faguttrykk
JSC "Radio Engineering Institute oppkalt etter akademiker A. L. Mints" 42 Veldig høy Et vanskelig dokument for gjennomtenkt lesing, vil ikke lekmannen lese - det er for mange sider

* Nyttig jeg kaller antall sider uten innholdsfortegnelse, tittelside og andre sider som ikke inneholder spesifikk informasjon

Sammendrag

En informasjonssikkerhetspolicy skal passe inn på flere sider, være lettfattelig for lekmannen, beskrive i generelle termer målene for informasjonssikkerhet, metoder for å nå dem og ansattes ansvar.
Implementering og bruk av informasjonssikkerhetspolicy
Etter godkjenning av IS-policyen er det nødvendig:
  • å gjøre alle allerede arbeidende ansatte kjent med politikken;
  • å gjøre alle nyansatte kjent med policyen (hvordan dette best gjøres er et tema for en egen samtale, vi har et introduksjonskurs for nyankomne, der jeg snakker med forklaringer);
  • analysere eksisterende forretningsprosesser for å identifisere og minimere risikoer;
  • ta del i etableringen av nye forretningsprosesser, for ikke å løpe etter toget senere;
  • utvikle forskrifter, prosedyrer, instruksjoner og andre dokumenter som utfyller policyen (instruksjoner for å gi tilgang til Internett, instruksjoner for å gi tilgang til rom med begrenset tilgang, instruksjoner for å arbeide med informasjonssystemer selskaper, etc.);
  • revidere IS-policyen og andre IS-dokumenter minst en gang i kvartalet for å oppdatere dem.

For spørsmål og forslag, velkommen til kommentarene og PM.

Spørsmål% brukernavn%

Når det gjelder politikk, liker ikke sjefene det jeg vil. med enkle ord... De sier til meg: «Vi har her, foruten deg og meg, og 10 IT-ansatte til som selv vet og forstår alt, det er 2 hundre som ikke skjønner noe av dette, halvparten av dem er pensjonister».
Jeg fulgte veien med middels korte beskrivelser, for eksempel reglene antivirusbeskyttelse, og nedenfor skriver jeg som om det er en policy for antivirusbeskyttelse osv. Men jeg forstår ikke om brukeren signerer for policyen, men igjen må han lese en haug med andre dokumenter, det ser ut til at han har redusert policyen, men det ser ut til at han ikke gjorde det.

Her ville jeg gå langs veien med å analysere prosesser.
La oss si antivirusbeskyttelse. Logisk sett burde det være slik.

Hva er risikoen for virus? Brudd på integriteten (skaden) av informasjon, brudd på tilgjengeligheten (nedetid på servere eller PC-er) informasjon. På riktig organisering nettverk, skal brukeren ikke ha rettighetene lokal administrator i systemet, det vil si at han ikke skal ha rettigheter til å installere programvare (og dermed virus) i systemet. Dermed faller pensjonistene fra, da de ikke driver virksomhet her.

Hvem kan redusere risikoen forbundet med virus? Brukere med domeneadministratorrettigheter. Domeneadministrator - en sensitiv rolle, utstedt til ansatte i IT-avdelinger, etc. Følgelig bør de installere antivirus. Det viser seg hva slags aktivitet antivirus system de er også ansvarlige. Følgelig bør de også signere instruksjonene om organisering av antivirusbeskyttelse. Egentlig må dette ansvaret være foreskrevet i instruksjonene. For eksempel, bezopasnik-stasjoner, administratorer kjører.

Spørsmål% brukernavn%

Så er spørsmålet, hvilket ansvar for oppretting og bruk av virus bør ikke inkluderes i instruksjonene til Anti-Virus ZI (eller det er en artikkel og kan ikke nevnes)? Eller at de er forpliktet til å rapportere virus eller merkelig PC-adferd til Help Desk eller IT-ansvarlige?

Igjen, jeg ville se fra risikostyringssiden. Her lukter det så å si GOST 18044-2007.
I ditt tilfelle" merkelig oppførsel"Det er ikke nødvendigvis et virus. Dette kan være en systembrems eller gposhek, etc. Dette er følgelig ikke en hendelse, men en informasjonssikkerhetshendelse. Igjen, ifølge GOST, kan enhver person erklære en hendelse, men det er mulig å forstå en hendelse eller ikke bare etter analyse.

Dermed oversettes dette spørsmålet ditt ikke lenger til informasjonssikkerhetspolitikk, men til hendelseshåndtering. Her i politikken din bør det presiseres det virksomheten skal ha et hendelseshåndteringssystem.

Det vil si, som du kan se, er den administrative gjennomføringen av policyen hovedsakelig overlatt til administratorer og sikkerhetspersonell. Brukere sitter igjen med en egendefinert.

Derfor må du utarbeide en viss "Prosedyre for bruk av CBT i bedriften", der du må angi brukernes ansvar. Dette dokumentet skal samsvare med informasjonssikkerhetspolicyen og være så å si en forklaring for brukeren.

V dette dokumentet du kan spesifisere at brukeren er forpliktet til å varsle den aktuelle myndigheten om unormal dataaktivitet. Vel, alt annet er tilpasset du kan legge til der.

Totalt må du gjøre brukeren kjent med to dokumenter:

  • IS-politikk (slik at han forstår hva som gjøres og hvorfor, ikke vugger båten, ikke banner ved innføring av nye kontrollsystemer osv.)
  • denne "Prosedyre for bruk av CBT i bedriften" (slik at han forstår hva han skal gjøre i spesifikke situasjoner)

Følgelig, ved introduksjon nytt system, du legger ganske enkelt til noe i "Bestillingen" og varsler de ansatte om det ved å sende bestillingen på e-post (eller gjennom EDMS, hvis det finnes).

Tags: Legg til tagger



© Copyright 2017, https://qzoreteam.ru