Понятие «Политика информационной безопасности организации».

Политика безопасности (security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной инф-и. Основные положения ПБ предприятия должны быть зафиксированы в документе, который подписывается руководителем предприятия.

С практической точки зрения ПБ рассматривают на трех уровнях детализации:

Верхний уровень - решения, затрагивающие организацию в целом, носят весьма общий характер и, как правило, исходят от руководства организации: 1. Решение сформировать или пересмотреть комплексную программу обеспечения ИБ; назначение ответственных за выполнение программы. 2. Формулировка целей в области ИБ; определение общих направлений в достижении этих целей. Цели организации в области ИБ формулируются в терминах целостности, доступности и конфиденциальности. 3. Выделение специального персонала для обеспечения ИБ. 4. Определение обязанностей должностных лиц по выработке и реализации программ безопасности; вопросы выработки системы поощрений (и наказаний) за обеспечение (нарушение) ИБ.

Средний уровень - вопросы, касающиеся отдельных аспектов ИБ, но важные для разных видов систем обработки данных: нужно ли обеспечить доступ в Интернет с рабочих мест сотрудников?; можно ли разрешать сотрудникам переносить данные с домашних компов на рабочие, и наоборот?; можно ли допускать использование неофициального ПО?

В документах, характеризующих ПБ среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы: 1.описание аспекта (напр, что понимается под неофиц-ым ПО); 2.область применения – объясняет, где, когда, как, по отношению к кому и к чему применяется данная ПБ.

Позиция организации по данному вопрос: 1. роли и обязанности – информация о должностных лицах, ответственных за реализацию ПБ; 2. законопослушность – общее описание запрещенных действий, и наказаний за них; 3. точки контакта – информация о том, куда следует обращаться за разъяснениями, помощью и дополнительной инф-ей.

Нижний уровень – вопросы, которые касаются отдельных информ-ых сервисов, отдельных систем и подсистем обработки данных, используемых в организации.

Напр, могут определяться общие правила доступа к инф-ии, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, и т. д.

Вопросы ПБ нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. Они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

  (Далее по ГОСТ Р ИСО/МЭК 27002-2012 Инф-ая технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента ИБ. Пункт 5. Политика безопасности)

Цель: Обеспечить упр-е и поддержку руководством ИБ в соответствии с требованиями бизнеса и соответ. законами и нормами.

Руководство должно установить четкое направление политики в соответствии с целями бизнеса и поддерживать обеспечение ИБ посредством разработки и поддержки политики ИБ в рамках организации. Необходимо наличие контактного лица, занимающегося вопросами ИБ внутри фирмы, ккоторому могут обращаться сотрудники.

Документирование политики ИБ: Политика ИБ должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.
Политика ИБ должна устанавливать ответственность руководства, а также подход организации к менеджменту ИБ.

В политике д.б. положения:

a) определения ИБ, ее общих целей и сферы действия

b) намерения руководства, поддерживающие цели и принципы ИБ в соответствии со стратегией и целями бизнеса;

c) подход к установлению мер и средств контроля и упр-я и целей их применения, включая структуру оценки риска и менеджмента риска;

d) краткое разъяснения наиболее существенных для организации ПБ, принципов, стандартов и требований соответствия

e) опр-е общих и конкретных обязанностей сотрудников в рамках менеджмента ИБ, включая информир-е об инцидентах безоп-ти;

f) ссылки на документы, дополняющие политику ИБ

Политика ИБ должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.

Политика ИБ должна пересматриваться либо через опр-ые интервалы времени, либо, если произошли значительные изменения.

Политика ИБ должна иметь владельца, который утвержден руководством в качестве ответств-го за разработку, пересмотр и оценку ПБ.

 

АСУ КВО.

III. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления КВО

7. Решение основных задач государственной политики в области обеспечения безопасности автоматизированных систем управления КВО должно осуществляться по следующим направлениям:

а) совершенствование нормативно-правовой базы;

б) государственное регулирование;

в) промышленная и научно-техническая политика;

г) фундаментальная и прикладная наука, технологии и средства обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры;

д) повышение квалификации кадров в области обеспечения безопасности автоматизированных систем управления КВО.

8. Основные задачи, касающиеся совершенствования нормативно-правовой базы в области обеспечения безопасности автоматизированных систем управления КВО:

а) определение и разграничение полномочий федерального органа исполнительной власти в области обеспечения безопасности, иных федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, органов государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры;

б) законодательное определение и закрепление прав и обязанностей собственников автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры и эксплуатирующих их организаций. в области обеспечения безопасности автоматизированных систем управления КВО;

в) определение порядка:

разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры;

получения федеральным органом исполнительной власти в области обеспечения безопасности информации об автоматизированных системах управления КВО и иных элементах критической информационной инфраструктуры;

использования сил и средств обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру;

использования сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре;

действий должностных лиц, персонала и владельцев автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры при обнаружении попыток или фактов нарушения штатного функционирования этих объектов в случае компьютерных инцидентов;

г) создание правовых оснований и определение порядка применения мер принудительного изменения информационного обмена с объектами информатизации, являющимися источниками компьютерных атак, вплоть до его полного прекращения;

д) нормативно-правовое обеспечение функционирования единой государственной системы обнаружения компьютерных атак на критическую информационную инфраструктуру и мониторинга уровня ее реальной защищенности;

е) введение ответственности за нарушение порядка разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры;

ж) усиление ответственности за создание и (или) применение средств компьютерных атак;

з) оптимизация законодательства Российской Федерации в части лицензирования деятельности, связанной с разработкой, производством, эксплуатацией и техническим обслуживанием автоматизированных систем управления критически важными объектами.

9. Основные задачи государственного регулирования в области обеспечения безопасности автоматизированных систем управления КВО:

а) развитие механизмов государственного управления и контроля, а также усиление координации в области обеспечения безопасности критической информационной инфраструктуры;

б) выделение (привлечение) необходимых объемов и источников финансовых ресурсов (бюджетных и внебюджетных) на реализацию программ и планов мероприятий в области обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом;в) создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки защищенности ее элементов;

г) обеспечение устойчивого функционирования национального сегмента единой мировой информационно-телекоммуникационной сети в условиях массированного деструктивного информационного воздействия с территорий, находящихся вне юрисдикции Российской Федерации;

д) создание условий, стимулирующих развитие на территории Российской Федерации производства телекоммуникационного оборудования, устойчивого к компьютерным атакам;

е) создание и поддержание в постоянной готовности сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре;

ж) развитие международного сотрудничества, включая совершенствование международной кооперации в области обеспечения информационной безопасности;

з) стимулирование, в том числе материальное, проведения частными организациями и лицами исследований в области обнаружения уязвимостей программного обеспечения и оборудования, применяемого в автоматизированных системах управления КВО и на иных объектах критической информационной инфраструктуры, с представлением результатов федеральному органу исполнительной власти в области обеспечения безопасности.

10. Основные задачи по совершенствованию промышленной и научно-технической политики в области, обеспечения безопасности автоматизированных систем управления КВО:

а) проведение комплекса мероприятий по развитию систем, средств и методов технической оценки уровня реальной защищенности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом;

б) создание единых реестров программных и аппаратных средств, используемых в автоматизированных системах управления КВО, создание баз данных, касающихся надежности функционирования автоматизированных систем управления КВО, состояния их защищенности, состояния технического оборудования, оценки эффективности действующих и внедряемых на критически важных объектах мер безопасности;

в) проведение комплекса организационно-технических мероприятий по исключению прохождения информационного обмена автоматизированных систем управления КВО по территориям иностранных государств, а при технической невозможности такого исключения - создание и применение защитных мер, обеспечивающих отсутствие любых негативных воздействий на процессы, контролируемые автоматизированными системами управления КВО, в случае нарушения штатного функционирования этого канала связи;

г) разработка комплекса мер по созданию и внедрению телекоммуникационного оборудования, устойчивого к компьютерным атакам;

д) создание хранилища эталонного программного обеспечения, используемого в автоматизированных системах управления КВО и на других объектах критической информационной инфраструктуры;

е) развитие (с учетом мобилизационной готовности) научно- производственной базы, обеспечивающей выпуск систем (средств) обеспечения безопасности автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры;

ж) разработка и внедрение импортозамещающих технологий, материалов, комплектующих и других видов продукции, используемых в автоматизированных системах управления КВО.