Политика информационной безопасности предприятия: нижний уровень

Данный уровень включает в себя документы, являющиеся инструкциями и методиками прямого действия, используемыми в повседневной деятельности сотрудников предприятия. Эти документы относятся к отдельным сервисам, процедурам и информационным системам. Основной задачей разработки организационной документации на этом уровне является обеспечение как можно более детального и формализованного описания всех процедур и требований, относящихся к обеспечению безопасности отдельных элементов информационных систем, информационных потоков и массивов информации. В частности, для обеспечения полноты формирования политики информационной безопасности предприятия необходимо сформировать как можно более полный комплект организационной документации, включающий в себя:

- бланки типовых заявок на предоставление доступа отдельных сотрудников к определенным информационным ресурсам и информационным системам, а также регламенты предоставления такого доступа;

- регламенты (процедуры) работы с определенными информационными и телекоммуникационными системами, программным обеспечением и базами данных;

- должностные обязанности отдельных категорий сотрудников в отношении обеспечения информационной безопасности, а также требования, предъявляемые к персоналу;

- типовые договоры с внешними контрагентами, связанные с передачей или получением информации, или основные требования, предъявляемые к таким договорам.

Процедурные документы, относящиеся к предоставлению доступа к ресурсам (таким как сеть «Интернет», корпоративные информационные системы и базы данных, аппаратные средства, средства передачи информации и т.п.) могут включать как типовые бланки заявок на предоставление доступа, так и описание основных процедур (регламента) принятия решений о предоставлении такого доступа и предоставлении конкретных прав при работе с информационными ресурсами, а также перечни критериев, необходимых для предоставления тех или иных прав в информационных системах.

Процедуры работы с отдельными информационными системами и/или модулями информационных систем (базами данных, модулями корпоративной ERP-системы, системами электронного документооборота и т.п.) могут перечислять все основные требования, правила и ограничения, например, запрет использовать дискеты для копирования и переноса информации или ограничения, налагаемые на возможность удаленного доступа к тем или иным информационным сервисам. Требования и правила, связанные с обеспечением информационной безопасности, могут быть как включены в общие инструкции по использованию информационных систем или регламенты осуществления бизнес-процессов, так и оформлены в виде специальных инструкций и памяток, содержащих исключительно требования и правила информационной безопасности.

Должностные обязанности персонала предприятия, связанные с обеспечением информационной безопасности, должны входить как составная часть в должностные инструкции для каждого сотрудника. Кроме того, политика безопасности может предусматривать подписание (как при поступлении на работу или переводе на определенную должность, так и при увольнении с нее) отдельными категориями персонала дополнительных соглашений, обязательств и подписок о неразглашении определенной информации. Также политика безопасности может вводить дополнительные требования к персоналу, работающему с определенными сведениями или информационными системами. Примерами таких ограничений могут быть отсутствие судимости, наличие определенных навыков или специальной квалификации, прохождение профессиональной сертификации или психологической проверки.

Политики безопасности, относящиеся к работе с внешними контрагентами, могут предусматривать типовые формы и отдельные инструкции по составлению коммерческих контрактов (для каждого типа контрактов, а также для отдельных групп контрагентов) и обмену информацией с поставщиками, покупателями, консультантами, посредниками, субподрядчиками, поставщиками финансовых и информационных услуг и другими участниками хозяйственной деятельности. В частности, в политике для каждой из этих категорий может предусматриваться специфический порядок информационного обмена, взаимные требования по обеспечению конфиденциальности и возможные меры ответственности в случае нарушения согласованных требований какой-либо из сторон.

Заключительные положения

В тех случаях, когда определенная политика безопасности описывает сложную информационную систему и систему защиты информации, предназначенную для выполнения наиболее ответственных операций (таких как, например, электронные денежные переводы), она может быть разделена на две составляющие:

- внутренний регламент работы подразделений (групп, администраторов), отвечающих за выполнение наиболее важных административных функций (например, выдача и обслуживание электронных сертификатов Инфраструктуры публичных ключей);

- политику, непосредственно отражающую требования к пользователям и процессам, а также описания процедур работы и взаимодействия всех участников информационного обмена.

В этом случае внутренний регламент может содержать подробное описание тех правил и требований, которые должны выполнять ответственные подразделения (ИТ-служба, Департамент информационной безопасности или Служба безопасности предприятия) в процессе выполнения своих функций. Такой регламент может быть необходим для демонстрации надежности наиболее важных и ответственных элементов инфраструктуры информационной безопасности. Это особенно важно в том случае, если предприятие осуществляет информационный обмен с внешними контрагентами (и, в частности, клиентами) и демонстрация надежности внутренних процедур сервисов информационной безопасности может обеспечить расширение бизнеса и повышение эффективности отдельных операций.

В некоторых случаях объем таких документов (политик, регламентов) может достигать нескольких десятков страниц (как правило, не более 100-150 страниц). Документы такого размера, как правило, составляются в тех случаях, когда может понадобиться их использование в судебных процессах для установления степени вины и ответственности различных участников процедур информационного обмена. В том случае, если отдельные политики представляют собой сложные объемные документы, изобилующие юридическими и техническими терминами, они могут сопровождаться дополнительным документом, кратко раскрывающим основные требования и положения для большинства пользователей. Такой документ должен иметь относительно небольшой объем (например, не более двух страниц) и содержать описание наиболее важных аспектов предмета политики: практически важные ограничения, ответственность и основные правила, знание которых необходимо для повседневной деятельности.

К числу документов на среднем и нижнем уровне детализации, помимо собственно политик безопасности, можно отнести также юридическое заключение, формально подтверждающее, что все меры информационной безопасности, предпринимаемые на предприятии, соответствуют требованиям действующего законодательства и/или стандартов.

Порядок выполнения работы

1. Изучить теоретический материал и примеры политики информационной безопасности (ИБ).

2. Разработайте проект политики ИБ для вашего варианта модели организации (см. Приложение). При этом следует акцентировать внимание на следующих аспектах:

· цели политики ИБ;

· основные принципы;

· на кого будет распространяться эта политика;

· выделение групп пользователей;

· выделение основных видов информационных ресурсов;

· определение уровней доступа (атрибутов безопасности) к информации:

- открыто (О);

- конфиденциально (К);

- секретно (С);

- совершенно секретно (СС);

- особая важность (ОВ);

· определение политики в отношении паролей, в частности:

- повторяемость/неповторяемость паролей;

- количество паролей, хранимое системой;

- максимальный срок действия пароля;

- минимальный срок действия пароля;

- минимальная длина пароля;

- соответствие требованиям сложности;

- параметры блокировки учетных записей (пороговое значение блокировки, время блокировки, сброс счетчика блокировки);

· определение политики в отношении доступа к ресурсам сети Internet, в частности:

- использование доступа к сети Internet в личных целях;

- ведение «белого» или «черного» списка сайтов;

- временной интервал доступа сети Internet;

- объем скачиваемой и загружаемой информации;

- возможности использования ресурсов сети Internet различными группами пользователей;

- использование почтовых и иных сервисов;

- контроль за использованием ресурсов сети Internet;

· что разрешено, а что запрещено различным группам пользователей;

· рекомендации для пользователей.

Политика ИБ должна отражать следующие вопросы:

1. Насколько возможно использование Интернет в личных целях?

2. Ограничивать ли работу в Интернет в нерабочее время?

3. Как решаются вопросы конфиденциальности корпоративной информации?

4. Какое место занимают вопросы безопасности в политике ИБ?

5. На кого распространяется эта политика?

6. Какие права оставляет за собой организация?

7. Какие юридические аспекты необходимо учитывать?

8. Прочие вопросы.

Содержание отчета

Отчёт должен содержать разработанный проект политики ИБ.

 

ЛАБОРАТОРНАЯ РАБОТА 5