Разработка политик безопасности

Разработка политик безопасности предполагает решение ряда вопросов.

1. Выбор уровня доверия.

От правильного выбора уровня доверия к сотрудникам зависит успех или неудача реализации политики безопасности компании. При разработке политики безопасности обычно используют следующие модели доверия:

· доверять всем и всегда – самая простая модель доверия, но, к сожалению, непрактичная;

· не доверять никому и никогда – самая ограниченная модель доверия и также непрактичная;

· доверять избранным на время – модель доверия подразумевает определение разного уровня доверия на определенное время. При этом доступ к информационным ресурсам компании предоставляется по необходимости для выполнения служебных обязанностей, а средства контроля доступа используются для проверки уровня доверия к сотрудникам компании.

Самая реалистичная модель доверия – «доверять некоторым из сотрудников компании на время».

2. Проведение работы с персоналом.

Внедрение политики безопасности часто приводит к возникновению напряженности во взаимоотношениях между сотрудниками компании. Это в основном связано с тем, сотрудники часто стараются не следовать каким-либо правилам безопасности, так как не хотят себя ограничивать в своих действиях. Другая причина в том, что каждый сотрудник имеет свое представление о необходимости и способах организации режима информационной безопасности в компании. Получить одобрение всех положений политики безопасности у всех групп сотрудников компании – трудная и практически неосуществимая задача. Поэтому лучше всего попробовать достигнуть некоторого компромисса.

3. Определение круга заинтересованных лиц.

Политики безопасности затрагивают практически каждого сотрудника компании. Сотрудники службы поддержки будут осуществлять и поддерживать правила безопасности компании. Менеджеры заинтересованы в обеспечении безопасности информации для достижения своих целей. Юристы компании и аудиторы заинтересованы в поддержании репутации компании и предоставлении определенных гарантий безопасности клиентам и партнерам компании. Рядовых сотрудников компании политики безопасности затрагивают больше всего, поскольку правила безопасности накладывают ряд ограничений на поведение сотрудников и затрудняют выполнение работы.

4. Определение состава группы но разработке политик безопасности.

Рекомендуемый состав рабочей группы по разработке политик безопасности:

· член совета директоров;

· представитель руководства компании (финансовый директор, директор по развитию);

· директор службы автоматизации;

· директор по информационной безопасности;

· аналитик службы безопасности;

· представитель юридического отдела;

· представитель от пользователей.

5. Ознакомление сотрудников с политикой безопасности.

До начала внедрения новой политики безопасности желательно предоставить сотрудникам текст политики на одну-две недели для ознакомления и внесения поправок и комментариев. Сотрудники, на которых распространяются правила безопасности, должны обладать всеми необходимыми полномочиями для того, чтобы выполнять эти правила.

6. Определение основных требований к политике безопасности.

Политика безопасности должна быть реалистичной и выполнимой, краткой и понятной, а также не приводить к существенному снижению общей производительности подразделений компании. Политика безопасности должна содержать основные цели и задачи организации режима информационной безопасности, четкое описание области действия, а также указывать на ответственных и их обязанности. Следует учитывать, как политика безопасности будет влиять на уже существующие информационные системы компании. Как только политика утверждена, она должна быть представлена сотрудникам компании для ознакомления. Политику безопасности необходимо пересматривать ежегодно, чтобы отражать текущие изменения в развитии бизнеса компании.

7. Выбор политик безопасности.

Хорошо написанные политики безопасности компании должны позволять балансировать между достигаемым уровнем безопасности и получаемым уровнем производительности корпоративных информационных систем компании. Здесь решающую роль играют необходимость организации режима информационной безопасности, а также бизнес-культура компании. При этом, если правила политики безопасности слишком жесткие, то они будут либо игнорироваться, либо сотрудники компании найдут способ обойти средства безопасности.

В настоящее время ряд ведущих компаний в области безопасности выделяют следующие политики:

· допустимого шифрования,

· допустимого использования,

· аудита безопасности,

· оценки рисков,

· классификации данных,

· управления паролями,

· использования ноутбуков,

· безопасности рабочих станций и серверов,

· антивирусной защиты,

· безопасности маршрутизаторов и коммутаторов,

· безопасности беспроводного доступа,

· организации удаленного доступа,

· построения виртуальных частных сетей (VPN) и пр.,

· безопасности периметра.

Например:

- политика допустимого использования информационных ресурсов компании определяет права и ответственность сотрудников компании за надлежащую защиту конфиденциальной информации компании. В частности, политика допустимого использования определяет, могут ли сотрудники компании читать и копировать файлы, владельцами которых они не являются, но к которым имеют доступ. Также эта политика устанавливает правила допустимого использования корпоративной электронной почты, служб новостей и процедур доступа к сети компании;

- политика организации удаленного доступа определяет допустимые способы удаленного соединения с корпоративной информационной системой. Представляет собой основной документ безопасности в крупных транснациональных компаниях с географически разветвленной сетью. Должна описывать все доступные способы удаленного доступа к внутренним информационным ресурсам компании: доступ по коммутируемым сетям, доступ через Интернет, выделенную линию и пр.

Политика удаленного доступа определяет, кто из сотрудников может иметь высокоскоростной удаленный доступ. При этом определяются ограничения по организации удаленного доступа;

- политика безопасности периметраописывает порядок и правила получения привилегированного доступа к системам безопасности периметра корпоративной сети компании. Кроме того, описывает процедуру инициации и обработки запросов на изменение конфигурации систем безопасности периметра сети, а также порядок и периодичность проверки этих конфигураций;

- политика управления паролями определяет правила и порядок создания и изменения паролей сотрудников компании. Например, все пароли системного уровня, пароли администраторов приложений и пр. должны периодически изменяться. Все пароли системного уровня должны быть частью глобальной базы данных управления паролями отдела защиты информации.

Также как и политики безопасности важны и процедуры безопасности. Если политики безопасности определяют что должно быть защищено, то процедуры безопасности определяют как защитить информационные ресурсы компании.

Наиболее важные процедуры безопасности:

· процедура управления конфигурацией обычно определяется на уровне отдела или на уровне компании. Процедура управления изменениями должна определять процесс документирования и запроса на изменения конфигурации всех масштабов. Служба защиты информации должна проводить анализ изменений и контролировать запросы на изменения. Процесс управления изменениями важен по нескольким ключевым причинам: документированные изменения обеспечивают возможность проведения аудита безопасности; в случае возможного простоя из-за изменения проблема будет быстро определена; обеспечивается способ координирования изменений таким образом, чтобы одно изменение не влияло на другое изменение;

· процедуры резервного копирования информации и хранения резервных копий вне офиса могут потребоваться из-за требований клиентов и партнеров по бизнесу. Число сотрудников компании, имеющих доступ к резервным данным за пределами компании, должно быть сведено к минимуму. Необходимо регулярно проверять возможность восстановления информации из резервных носителей для проверки целостности резервных копий;

· процедура обработки инцидентов определяет порядок обработки и расследования инцидентов. Необходимо иметь описание порядка реагирования на основные типы инцидентов: сканирование портов, атаки типа «отказ в обслуживании», взлом компьютеров, взлом пароля учетной записи и несоответствующее использование информационных систем.

Пример постановки задачи разработки политики информационной безопасности предприятия

Задача: разработка политики информационной безопасности предприятия.

Основание: целевая программа предприятия «Разработка и реализация мероприятий по обеспечению информационной безопасности объектов информатизации предприятия».

Сроки выполнения: начало работ - по договору. Окончание работ - по договору.

Основные требования к составу работ. Разработка политики информационной безопасности объектов информатизации предприятия.

При разработке политики информационной безопасности объектов информатизации необходимо обеспечить:

· универсальность решений и полноту требований по информационной безопасности действующих информационных и коммуникационных систем объектов информатизации предприятия в соответствии с законодательными и нормативными актами Российской Федерации;

· формирование системы взглядов, требований и решений, обеспечивающих единство, интегрированность и совместимость реализации мероприятий по созданию системы обеспечения информационной безопасности предприятия (создание и развитие удостоверяющего центра, выдающего сертификаты ключей ЭЦП, разработка концепции программно-аппаратного комплекса мониторинга и защиты информационных ресурсов объектов информатизации предприятия от внешних и внутренних угроз информационной безопасности, создание и развитие защищенного центра резервного хранения данных информационных ресурсов предприятия).

При разработке политики информационной безопасности необходимо:

· разработать требования по обеспечению безопасности информационных ресурсов и систем предприятия;

· обследовать защищаемые объекты информатизации;

· разработать проект Технического задания на создание единой системы информационной безопасности предприятия;

· определить перечень первоочередных работ по защите программными и аппаратными способами информационных ресурсов и систем предприятия от несанкционированного доступа, искажения или потери;

· подготовить испытательный стенд для отработки типовых решений в области защиты информации; разработать технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности в рамках проектов планируемого года;

· подготовить и выпустить комплект необходимой документации, представить ее на экспертизу.

Решения, полученные в результате разработки политики информационной безопасности объектов информатизации предприятия, должны обеспечивать:

· возможность создания единой системы информационной безопасности предприятия;

· единство принципов и интеграцию технологических решений по защите информации предприятия при реализации проектов в области защиты информации.

Разработка политики информационной безопасности предприятия должна быть осуществлена с учетом следующих требований:

· существующих общих проблем и тенденций обеспечения информационной безопасности информационно-коммуникационных технологий на основе мирового и отечественного опыта;

· законодательной и нормативной основы обеспечения информационной безопасности информационно-коммуникационных технологий;

· особенностей обеспечения информационной безопасности объектов информатизации предприятия.

В результате разработки политики информационной безопасности предприятия должны быть рассмотрены:

· потенциальные угрозы информационным ресурсам и системам, возможные последствия их реализации;

· требования и методы противодействия угрозам информационной безопасности;

· технологии обеспечения информационной безопасности защищаемых ресурсов и систем;

· функциональные подсистемы и организационные процедуры обеспечения информационной безопасности ресурсов и систем объектов информатизации предприятия;

· органы и процедуры управления деятельностью по обеспечению информационной безопасности;

· вопросы мониторинга и анализа состояния дел в сфере информационной безопасности.

В результате обследования должны быть оценены решения и разработаны типовые требования по обеспечению информационной безопасности предприятия.

Документирование проекта: Отчетная документация оформляется в соответствии с общими требованиями к текстовым документам по действующему ГОСТ.

В процессе выполнения работ Исполнителем разрабатывается следующая документация:

· политика информационной безопасности предприятия;

· итоговый научно-технический отчет;

· предложения по реализации Концепции информационной безопасности предприятия на заданный период (по результатам обследования);

· проект Технического задания на создание комплексной системы информационной безопасности объектов информатизации предприятия;

· требования по обеспечению информационной безопасности объектов информатизации предприятия;

· технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности предприятия.