Политика информационной безопасности в общем случае является. Внедрение и использование политики ИБ

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

• Уточнение важности информационных и технологических активов предприятия;
• определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
• Определение рисков на угрозы активам;
• Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
• Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
• Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

• указывать на причины и цели создания политики безопасности;
• осматривать, какие границы и ресурсы охватываются политикой безопасности;
• определить ответственных по политике безопасности;
• определить условие не выполнение и так званное наказание
• политики безопасности должны быть реальными и осуществимыми;
• политики безопасности должны быть доступными, краткими и однозначными для понимания;
• должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

• создание адекватной команды для создание политики;
• решить вопросы об возникающих особенностях при разработки.
• решить вопросы об области действии и цели создании политики;
• решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на . Сделав основные шаги нужно проанализировать есть ли выход локальной сети( или ) в интернет. Ведь при выходе сети в интернет возникает вопрос о . Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и .Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

Рисунок 1

На этом этапе реализуются следующие шаги:

• анализ которые непосредственно обозначены для объекта защиты;
• оценка и идентификация цены информационных и технологических активов;
• осмотр вероятности реализации угроз на практике;
• осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

• Вход , допустим это пользователь делает запрос на создания нового пароля;
• , определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора ;
• Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
• Выход , это результат процесса. Получение пароля.

Рисунок 2

Компоненты архитектуры безопасности

Физическая безопасность , важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

• открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
• контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
• особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Ресурсы делят на две категории, которые подвержены угрозам:

• Ресурсы ОС;
• Ресурсы пользователя.
• Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру ;

• должны определить полномочия для каждой системы и платформы;
• проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

• каждое нарушение безопасности должно давать сигнал события;
• Одно событие не есть поводом для утверждения, они должны накапливаться;
• должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Рисунок — 3

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

• Анализ информационных предприятия, который могут нанести максимальный ущерб.
• Создание политики безопасности, которая внедряет которые входят в рамки задач предприятия.
• Разработать планы действий при ЧС для уменьшения ущерба.
• Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

• Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
• Осмотр бизнес-стратегии предприятия.
• Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рисунок — 4

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

• анализа информационных угроз и методов их уменьшения
• создание норм и правил безопасности разных уровней предприятия
• уточнение методов защиты, которые будут реализованы на предприятии
• конкретное определение процедур безопасности
• анализ ожиданий относительно результатов от сотрудников и компании в целом
• реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Рисунок — 5

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз , сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

• управление бизнесом
• отдел защиты информации
• техническое управление
• департамент управления рисками
• отдел системного/сетевого администрирования
• юридический отдел
• департамент системных операций
• отдел кадров
• служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

• назначения ценности информационных активов
• управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
• управление информационной безопасностью
• обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

• Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
• Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
• Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
• Комплексность — должны учитываться все направления безопасности.
• Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
• Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
• Своевременность — все противодействия угрозам должны быть своевременны.
• Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
• Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
• Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Таблица 1.

Система	Описание	Уровень риска	Типы пользователей
АТМ-коммутаторы	Основные сетевые устройства	Высокий	Сетевые администраторы
Сетевые маршрутизаторы	Сетевые устройства распределения	Высокий	Сетевые администраторы
Коммутаторы доступа	Сетевые устройства доступа	Средний	Сетевые администраторы
ISDN/dial up -серверы	Сетевые устройства доступа	Средний
Межсетевые экраны	Сетевые устройства доступа	Высокий	Администратор безопасности
Серверы DNS и ВРСЗ	Сетевые приложения	Средний	Сетевые и системные администраторы
Внешние почтовые серверы	Сетевые приложения	Низкий
Внутренние почтовые серверы	Сетевые приложения	Средний	Администраторы и пользователи
Серверы баз данных Oracle	Сетевые приложения	Средний или высокий	Администраторы баз данных и пользователи

Под предупреждением нарушений специалисты Cisco считают подтверждение модификаций в системах безопасности. К таким изменениям можно отнести:

• списки контроля доступа
• конфигурация межсетевых экранов
• версия ПЗ
• конфигурация SNMP

Также согласно RFC 2196 должна быть обработка инцидента. Обработка инцидента — алгоритм реагирования на разные ситуации. Шаги по обработке:

• определения приоритета и типа атаки
• анализ времени начала/конца атаки
• анализ источника атаки
• анализ затронутых устройств атакой
• запись в журнал
• действия по остановки или уменьшения последствий атаки
• изолирования пострадавших участков системы
• уведомление соответствующих лиц
• защита доказательств атаки
• восстановление работоспособности изолированных участков

Пример подхода компании Microsoft

В сеть предприятия каждый день приходит близко 8 млн. почтовых сообщений, и 6.5 млн сообщений циркулируют внутри компании. Microsoft создала стратегию безопасности, которая состоит из:

• миссия корпоративной безопасности
• принципы операционной безопасности
• модель принятия решений, которая основана на осмотре рисков
• тактическое определение приоритета работы по уменьшению рисков

Подход компании Symantec

Политика определяет, почему предприятие защищает свои данные и активы. Стандарты — что предприятие будет делать для защиты и управления безопасностью информации. Процедуры описывают, как именно предприятие будет выполнять то, что описано в документах выше стоящих. Компания Symantec описывает следующие этапы разработки политики безопасности.

• Анализ и оценка информационных активов — что нужно защищать и с какими целями и задачами.
• Анализ угроз безопасности — выявление источников потенциальных проблем. Анализ возможных ущербом относительно угроз.
• Анализ информационных рисков — самый сложный этап, так как нужно определить вероятности угроз и сопутствующий ущерб.
• Определение ответственности — выбор людей или команду которая должна заниматься такими вопросами на предприятии.
• Создание комплексного документа — создание политики на основе дополнительных документов то ли законодательных то ли внутри корпоративных.
• Реализация — Политика должна четко описывать механизмы реализации защитных действий.
• Управление программой безопасности — область применения.

Что во внимании? Для эффективной работы политики нужно что бы:

• учитывались цели бизнеса
• была реальной
• держала баланс между безопасностью и производительностью
• все сотрудники могли ознакомится с содержимым политики
• не противоречила другим документам компании и требованием законодательства
• определяла четко ответственность сотрудников
• была обновляемой

Программное обеспечение TSF вне ядра состоит из доверяемых приложений, которые используются, чтобы реализовать функции безопасности. Обратите внимание на то, что совместно используемые библиотеки, включая модули PAM в некоторых случаях, используются доверяемыми приложениями. Однако, не существует экземпляра, где сама совместно используемая библиотека рассматривается как доверяемый объект. Доверяемые команды могут быть сгруппированы следующим образом.

• Системная инициализация
• Идентификация и аутентификация
• Сетевые приложения
• Пакетная обработка
• Управление системой
• Аудит пользовательского уровня
• Криптографическая поддержка
• Поддержка виртуальной машины

Компоненты исполнения ядра могут быть разделены на три составляющие части: основное ядро, потоки ядра и модули ядра, в зависимости от того, как они будут выполняться.

• Основное ядро включает код, который выполняется, чтобы предоставить услугу, такую как обслуживание системного вызова пользователя или обслуживание события исключения, или прерывание. Большинство скомпилированного кода ядра подпадает под эту категорию.
• Потоки ядра. Чтобы выполнить определенные стандартные задачи, такие как очистка дисковых кэшей или освобождение памяти, путем выгрузки неиспользованных страничных блоков, ядро создает внутренние процессы или потоки. Потоки запланированы точно так же, как обычные процессы, но у них нет контекста в непривилегированном режиме. Потоки ядра выполняют определенные функции языка C ядра. Потоки ядра размещены в пространстве ядра, и работают только в привилегированном режиме.
• Модуль ядра и модуль ядра драйверов устройств — фрагменты кода, которые могут быть загружены и выгружены в и из ядра по мере необходимости. Они расширяют функциональные возможности ядра без необходимости перезагружать систему. После загрузки объектный код модуля ядра может получить доступ к другому коду ядра и данным таким же образом, как статически скомпонованный код объекта ядра.

Драйвер устройства — специальный тип модуля ядра, который позволяет ядру получать доступ к аппаратным средствам, соединенным с системой. Эти устройства могут быть жесткими дисками, мониторами или сетевыми интерфейсами. Драйвер взаимодействует с остающейся частью ядра через определенный интерфейс, который позволяет ядру иметь дело со всеми устройствами универсальным способом, независимо от их базовых реализаций.

Ядро состоит из логических подсистем, которые обеспечивают различные функциональные возможности. Даже при том, что ядро — единственная исполняемая программа, различные сервисы, которые оно предоставляет, могут быть разделены и объединены в разные логические компоненты. Эти компоненты взаимодействуют, чтобы обеспечить определенные функции. Ядро состоит из следующих логических подсистем:

• Файловая подсистема и подсистема ввода-вывода : Эта подсистема реализует функции, связанные с объектами файловой системы. Реализованные функции включают те, которые позволяют процессу создавать, поддерживать, взаимодействовать и удалять объекты файловой системы. К этим объектам относятся регулярные файлы, каталоги, символьные ссылки, жесткие ссылки, файлы, специфичные для определенных типов устройств, именованные каналы и сокеты.
• Подсистема процессов : Эта подсистема реализует функции, связанные с управлением процессами и управлением потоками. Реализованные функции позволяют создавать, планировать, исполнять и удалять процессы и субъекты потоков.
• Подсистема памяти : Эта подсистема реализует функции, связанные с управлением ресурсами памяти системы. Реализованные функции включают в себя те, которые создают и управляют виртуальной памятью, включая управление алгоритмами разбивки на страницы и таблицами страниц.
• Сетевая подсистема : Эта подсистема реализует сокеты UNIX и Интернет-домена, а также алгоритмы, используемые для планирования сетевых пакетов.
• Подсистема IPC : Эта подсистема реализует функции, связанные с механизмами IPC. Реализованные функции включают в себя те, которые упрощают управляемый обмен информацией между процессами, позволяя им совместно использовать данные и синхронизировать их выполнение при взаимодействии с общим ресурсом.
• Подсистема модулей ядра : Эта подсистема реализует инфраструктуру, позволяющую поддерживать загружаемые модули. Реализованные функции включают загрузку, инициализацию и выгрузку модулей ядра.
• Расширения безопасности Linux : Расширения безопасности Linux реализуют различные аспекты безопасности, которые обеспечиваются для всего ядра, включая каркас Модуля безопасности Linux (Linux Security Module, LSM). Каркас LSM служит основой для модулей, позволяющей реализовать различные политики безопасности, включая SELinux. SELinux — важная логическая подсистема. Эта подсистема реализует функции мандатного управления доступом, чтобы добиться доступа между всеми предметами и объектами.
• Подсистема драйвера устройства : Эта подсистема реализует поддержку различных аппаратных и программных устройств через общий, не зависящий от устройств интерфейс.
• Подсистема аудита : Эта подсистема реализует функции, связанные с записью критических по отношению к безопасности событий в системе. Реализованные функции включают в себя те, которые захватывают каждый системный вызов, чтобы записать критические по отношению к безопасности события и те, которые реализуют набор и запись контрольных данных.
• Подсистема KVM : Эта подсистема реализует сопровождение жизненного цикла виртуальной машины. Она выполняет завершение инструкции, используемое для инструкций, требующих только небольших проверок. Для любого другого завершения инструкции KVM вызывает компонент пространства пользователя QEMU.
• Крипто API : Эта подсистема предоставляет внутреннюю по отношению к ядру криптографическую библиотеку для всех компонентов ядра. Она обеспечивает криптографические примитивы для вызывающих сторон.

Ядро — это основная часть операционной системы. Оно взаимодействует непосредственно с аппаратными средствами, реализует совместное использование ресурсов, предоставляет общие сервисы для приложений, и предотвращает прямой доступ приложений к аппаратно-зависимым функциям. К числу сервисов, предоставляемых ядром, относятся:

1. У правление выполнением процессов, включая операции их создания, завершения или приостановки и межпроцессоного обмена данными. Они включают:

• Равнозначное планирование процессов для выполнения на ЦП.
• Разделение процессов в ЦП с использованием режима разделения по времени.
• Выполнение процесса в ЦП.
• Приостановка ядра по истечениии отведенного ему кванта времени.
• Выделение времени ядра для выполнения другого процесса.
• Перепланирование времени ядра для выполнения приостановленного процесса.
• Управление метаданными, связанными с безопасностью процесса, такими как идентификаторы UID, GID, метки SELinux, идентификаторы функциональных возможностей.

2. Выделение оперативной памяти для исполняемого процесса. Данная операция включает в себя:

• Разрешение, выдаваемое ядром для процессов, на совместное использование части их адресного пространства при определенных условиях; однако, при этом ядро защает собственное адресное пространство процесса от внешнего вмешательства.
• Если система испытывает нехватку свободной памяти, ядро освобождает память путем записи процесса временно в память второго уровня или раздел подкачки.
• Согласованное взаимодействие с аппаратными средствами машины, чтобы установить отображение виртуальных адресов на физические адреса, которое устанавливает соответствие между адресами, сгенерированными компилятором, и физическими адресами.

3. Обслуживание жизненного цикла виртуальных машин, которое включает:

• Установление ограничений для ресурсов, сконфигурированных приложением эмуляции для данной виртуальной машины.
• Запуск программного кода виртуальной машины на исполнение.
• Обработка завершения работы виртуальных машин или путем завершения инструкции или задержкой завершения инструкции для эмуляции пространства пользователя.

4. Обслуживание файловой системы. Это включает в себя:

• Выделение вторичной памяти для эффективного хранения и извлечения пользовательских данных.
• Выделение внешней памяти для пользовательских файлов.
• Утилизация неиспользованного пространства для хранения данных.
• Организация структуры файловой системы (использование понятных принципов структурирования).
• Защита пользовательских файлов от несанкционированного доступа.
• Организация контролируемого доступа процессов к периферийным устройствам, таким как терминалы, лентопротяжные устройства, дисководы и сетевые устройства.
• Организация взаимного доступа к данным для субъектов и объектов, предоставление управляемого доступа, основанного на политике DAC и любой другой политике, реализуемой загруженной LSM.

Ядро Linux относится к типу ядер ОС, реализующих планирование с вытеснением задач. В ядрах, не обладающих такой возможностью, выполнение кода ядра продолжается до завершения, т.е. планировщик не способен к перепланированию задачи в то время, когда она находится в ядре. Кроме того, планирование исполнения кода ядра осуществляется совместно, без вытесняющего планирования, и исполнение этого кода продолжается до момента завершения и возврата к пространству пользователя, либо до явной блокировки. В вытесняющих ядрах возможно выгрузить задачу в любой точке, пока ядро находится в состоянии, в котором безопасно выполнять перепланирование.

В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.

Здесь вы сможете найти ответы на вопросы:

• для чего нужна политика информационной безопасности;
• как ее составить;
• как ее использовать.

Необходимость наличия политики ИБ

В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.

Понимание целей и задач подразделения информационной безопасности

Прежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно - в повышении прибыльности компании.

Требования политики - основание для внедрения защитных мер

Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)

Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.

При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:

• почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
• кто это все придумал

Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток.
При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:

данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании

Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да? При разработке политики следует помнить о двух моментах.

• Целевая аудитория политики ИБ - конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
• Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все - материалы для инструкций и регламентов.

Конечный документ должен удовлетворять следующим требованиям:

• лаконичность - большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
• доступность простому обывателю - конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)

Каким образом этого добиться?

На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.

Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.

	Полезное количество страниц*	Загруженность терминами	Общая оценка
ОАО „Газпромбанк“	11	Очень высокая
АО „Фонд развития предпринимательства “Даму»	14	Высокая	Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО НК «КазМунайГаз»	3	Низкая	Простой для понимания документ, не перегруженный техническими терминами
ОАО «Радиотехнический институт имени академика А. Л. Минца»	42	Очень высокая	Сложный документ для вдумчивого чтения, обыватель не станет читать - слишком много страниц

* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации

Резюме

Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.

Внедрение и использование политики ИБ

После утверждения политики ИБ необходимо:

• ознакомить с политикой всех уже работающих сотрудников;
• ознакамливать с политикой всех новых сотрудников (как это лучше делать - тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
• проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
• принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
• разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
• не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.

По вопросам и предложениям добро пожаловать в комментарии и личку.

Вопрос %username%

Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.

Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.

Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.

Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена - роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.

Вопрос %username%

Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?

Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.

Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов .

То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.

Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.

В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.

Итого, у вас появляется необходимость ознакомить юзера с двумя документами:

• политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
• этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)

Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).

Теги:

• информационная безопасность
• управление рисками
• политика безопасности

Добавить метки

Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.

Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.

Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.

Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.

Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности:

• определение какие данные и насколько серьезно необходимо защищать,
• определение кто и какой ущерб может нанести фирме в информационном аспекте,
• вычисление рисков и определение схемы уменьшения их до приемлимой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы - злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".

Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:

• 
  концепция безопасности информации;
• определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
• сопоставление угроз с объектами защиты;
• оценка рисков;
• оценка величины возможных убытков, связанных с реализацией угроз;
• оценка расходов на построение системы информационной безопасности;
• определение требований к методам и средствам обеспечения информационной безопасности;
• выбор основных решений обеспечения информационной безопасности;
• организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
• правила разграничения доступа.

Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений .

Публикации по теме

29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.

Политика информационной безопасности (Пример)

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Введение

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность - это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Область действия

Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

1. Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

2. Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

3. Сохранение целостности материалов бухгалтерского учета.

4. Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

Принципы информационной безопасности

1. Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

2. Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.

3. Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.

4. Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.

5. Отчеты о состоянии информационной безопасности должны быть доступны.

6. Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.

7. Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.

8. Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.

Сферы ответственности

1. Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.

2. Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.

3. Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.

4. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.

Ключевые результаты

1. Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.

2. Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.

3. Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг

Связанные политики

Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:

1. Политика системы менеджмента информационной безопасности (СМИБ);

2. Политика контроля доступа;

3. Политика чистого стола и чистого экрана;

4. Политика неразрешенного программного обеспечения;

5. Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;

6. Политика, касающаяся мобильного кода;

7. Политика резервного копирования;

8. Политика, касающаяся обмена информацией между организациями;

9. Политика, касающаяся допустимого использования электронных средств связи;

10. Политика сохранения записей;

11. Политика использования сетевых служб;

12. Политика, касающаяся мобильных вычислений и связи;

13. Политика дистанционной работы;

14. Политика использования криптографического контроля;

15. Политика соответствия;

16. Политика лицензирования программного обеспечения;

17. Политика удаления программного обеспечения;

18. Политика защиты и секретности данных.

Все эти политики подкрепляют:

· идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;

· обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.

Политика информационной безопасности компании

· 1. Общие положения

o 1.1. Цель и назначение настоящей Политики

o 1.2. Область применения настоящей Политики

o 2.1. Ответственность за информационные активы

o 2.2. Контроль доступа к информационным системам

§ 2.2.1. Общие положения

§ 2.2.2. Доступ третьих лиц к системам Компании

§ 2.2.3. Удаленный доступ

§ 2.2.4. Доступ к сети Интернет

o 2.3. Защита оборудования

§ 2.3.1. Аппаратное обеспечение

§ 2.3.2. Программное обеспечение

o 2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность

o 2.6. Помещения с техническими средствами информационной безопасности

o 2.7. Управление сетью

o 2.7.1. Защита и сохранность данных

o 2.8. Разработка систем и управление внесением изменений

Общие положения

Информация является ценным и жизненно важным ресурсом ВАША_КОПАНИЯ (далее – Компания). Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Компании.

Ответственность за соблюдение информационной безопасности несет каждый сотрудник Компании, при этом первоочередной задачей является обеспечение безопасности всех активов Компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Компании. Главные цели Компании не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.

В настоящей Политике под термином "сотрудник" понимаются все сотрудники Компании. На лиц, работающих в Компании по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.