Визначення політики інформаційної безпеки організації

Необхідність у політиці безпеки на сьогоднішній день є очевидним фактом для будь-якого, навіть достатньо невеликого підприємства. Політика безпеки в цілому — це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.

Крім свого прямого призначення, політика безпеки має ще один корисний ефект: у результаті аналізу інформаційних потоків, інвентаризації інформаційних ресурсів та ранжирування інформації, яка оброблюється, передається або зберігається, за мірою її цінності керівництво підприємства одержує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що позитивно впливає на якість керування бізнесом у цілому, і, як наслідок, покращує його прибутковість і ефективність.

Політику з інформаційної безпеки організації можна визначити як сукупність вимог та правил з інформаційної безпеки організації для об'єкта інформаційної безпеки, вироблених з метою протидії заданій множині загроз інформаційній безпеці організації із урахуванням цінності інформаційної сфери, що підлягає захисту та вартості системи забезпечення інформаційної безпеки.

Об'єкт інформаційної безпеки організації — це об'єкт (об'єкти) організації, вплив порушника інформаційної безпеки на який (які) може призвести до реалізації загрози інформаційній безпеці організації. Управління об'єктом відповідно до заданої політики інформаційної безпеки організації по відношенню до специфічних дій, що відносяться до інформаційної безпеки організації, здійснюється єдиним керівним органом (адміністратором) системи забезпечення інформаційної безпеки організації.

Система забезпечення інформаційної безпеки організації (СЗІБ) представляє сукупність правових норм, організаційних та технічних заходів, служб інформаційної безпеки та механізмів захисту, органів управління та виконавців, спрямованих на протидію заданій множині загроз інформаційній безпеці організації з метою звести до мінімуму можливі збитки користувачу або оператору зв'язку організації. Адміністратором (керівним органом) системи забезпечення інформаційної безпеки організації може бути фізична або юридична особа, яка є відповідальною за реалізацію політики забезпечення інформаційної безпеки організації.

Під час розробки політики безпеки повинні бути враховані технологія зберігання, обробки та передавання інформації, моделі порушників і загроз, особливості апаратно-програмних засобів, фізичного середовища та інші чинники. У організації може бути реалізовано декілька різних політик безпеки, які істотно відрізняються.

Як складові частини загальної політики безпеки у організації мають існувати політики забезпечення конфіденційності, цілісності, доступності оброблюваної інформації. Політика безпеки повинна стосуватись: інформації (рівня критичності ресурсів організації), взаємодії об'єктів (правил, відповідальності за захист інформації, гарантій захисту), області застосування (яких складових компонентів організації політика безпеки стосується, а яких — ні).

Політика безпеки має бути розроблена таким чином, щоб вона не потребувала частої модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту).

Політика безпеки повинна передбачати використання всіх можливих заходів захисту інформації, як-то: правові та морально-етичні норми, організаційні (адміністративні), фізичні, технічні (апаратні і програмні) заходи— і визначати правила та порядок застосування у організації кожного з цих видів.

Політика безпеки повинна базуватися на наступних основних принципах:

■ системності;

■ комплексності;

■ неперервності захисту;

■ достатності механізмів і заходів захисту та їхньої адекватності загрозам;

■ гнучкості керування системою захисту, простоти і зручності її використання;

■ відкритості алгоритмів і механізмів захисту, якщо інше не передбачено окремо.

Політика безпеки повинна доказово давати гарантії того, що:

■ у організації (в кожній окремій складовій частині, в кожному функціональному завданні і т. ін.) забезпечується адекватність рівня захисту інформації рівню її критичності;

■ реалізація заходів захисту інформації є рентабельною;

■ в будь-якому середовищі функціонування організації забезпечується оцінюваність і перевіряємість захищеності інформації;

■ забезпечується персоніфікація положень політики безпеки (стосовно суб'єктів організації), звітність (реєстрація, аудит) для всіх критичних, з точки зору безпеки, ресурсів, до яких здійснюється доступ в процесі функціонування інформаційної системи;

■ персонал і користувачі забезпечені достатньо повним комплектом документації стосовно порядку забезпечення захисту інформації;

■ всі критичні, з точки зору безпеки інформації, технології (функції) організації мають відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення непередбачених ситуацій;

■ враховані вимоги всіх документів, які регламентують порядок захисту інформації у організації, та забезпечується їхнє суворе дотримання.

Політика безпеки розробляється на підготовчому етапі створення СЗІБ організації.

Методологія розробки політики безпеки організації включає в себе наступні роботи:

■ розробка концепції безпеки інформації у організації;

■ аналіз ризиків;

■ визначення вимог до заходів, методів та засобів захисту;

■ вибір основних рішень із забезпечення безпеки інформації;

■ організація виконання відновлювальних робіт і забезпечення неперервного функціонування організації;

■ документальне оформлення політики безпеки.

 

Концепція інформаційної безпеки в організації

Концепція інформаційної безпеки в організації викладає систему поглядів, основних принципів, розкриває основні напрями забезпечення безпеки інформації. Розробка концепції здійснюється після розгляду повної структури організації і виконується на підставі аналізу наступних чинників:

■ правових і (або) договірних засад;

■ вимог до забезпечення безпеки інформації згідно з завданнями і функціями організації;

■ загроз, впливу яких зазнають ресурси організації, що підлягають захисту.

За результатами аналізу мають бути сформульовані загальні положення безпеки, які стосуються або впливають на технологію зберігання, обробки та передавання інформації у організації:

■ мета та пріоритети, яких необхідно дотримуватись у організації під час забезпечення інформаційної безпеки;

■ загальні напрями діяльності, необхідні для досягнення цієї мети;

■ аспекти діяльності у галузі безпеки інформації, які повинні вирішуватися на рівні організації в цілому;

■ відповідальність посадових осіб та інших суб'єктів взаємовідносин у організації, їхні права і обов'язки щодо реалізації завдань інформаційної безпеки.

 

Аналіз та оцінка ризиків

Аналіз ризиків передбачає вивчення моделі загроз для інформаційної сфери організації та моделі порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди) і формування на його підставі моделі захисту інформації у організації. Під час проведення аналізу ризиків необхідним є виконання наступних робіт.

■ Визначення компонентів і ресурсів організації, які необхідно враховувати при аналізі. Повинні бути визначені критичні, з точки зору безпеки, компоненти і ресурси організації, які можуть бути об'єктами атаки або самі є потенційним джерелом порушення безпеки інформації (об'єкти захисту). Для цього використовуються відомості, одержані в результаті обстеження середовищ функціонування організації.

■ Ідентифікація загроз з об'єктами захисту. Встановлюється відповідність моделі загроз і об'єктів захисту, тобто складається матриця загрози/компоненти (ресурси) організації. Кожному елементу матриці повинен бути зіставлений опис можливого впливу загрози на відповідний компонент або ресурс організації. У процесі упорядкування матриці може уточнюватися список загроз і об'єктів захисту, внаслідок чого буде коригуватись модель загроз.

■ Оцінка ризиків. Повинні бути отримані оцінки гранично припустимого й існуючого (реального) ризику здійснення кожної загрози впродовж певного проміжку часу, тобто ймовірності її здійснення впродовж цього інтервалу. Для оцінки ймовірності реалізації загрози рекомендується вводити декілька дискретних ступенів (градацій). Оцінку слід робити за припущення, що кожна подія має найгірший, з точки зору власника інформації, що потребує захисту, закон розподілу, а також за умови відсутності заходів захисту інформації. На практиці для більшості загроз неможливо одержати достатньо об'єктивні дані про ймовірність їхньої реалізації і доводиться обмежуватися якісними оцінками. У цьому випадку значення ймовірності реалізації загрози визначається в кожному конкретному випадку експертним методом або емпіричним шляхом, на підставі досвіду експлуатації подібних систем, шляхом реєстрації певних подій і визначення частоти їхнього повторення тощо. Оцінка може мати числове або смислове значення (наприклад, ймовірність реалізації загрози — незначна, низька, висока, неприпустимо висока). У будь-якому випадку, існуючий ризик не повинен перевищувати гранично допустимий для кожної загрози. Перевищення свідчить про необхідність впровадження додаткових заходів захисту. Мають бути розроблені рекомендації щодо зниження ймовірності виникнення або реалізації загроз та величини ризиків.

■ Оцінювання величини можливих збитків, пов'язаних з реалізацією загроз. Виконується кількісна або якісна оцінка збитків, що можуть бути нанесені організації внаслідок реалізації загроз. Доцільно, щоб ця оцінка складалась з величин очікуваних збитків від втрати інформацією кожної з властивостей (конфіденційності, цілісності або доступності) або від втрати керованості організації внаслідок реалізації загрози. Для одержання оцінки можуть бути використані ті ж методи, що і при аналізі ризиків. Величина можливих збитків визначається розміром фінансових втрат або, у разі неможливості визначення цього, за якісною шкалою (наприклад, величина збитків — відсутня, низька, середня, висока, неприпустимо висока).