Тема 3.2. Построение политики безопасности (начальный этап).

Для начала определим понятие политики безопасности:
Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
Разработка политики информационной безопасности - вопрос отнюдь не тривиальный. От тщательности ее проработки будет зависеть действенность всех остальных уровней обеспечения информационной безопасности - процедурного и программно-технического. Сложность разработки данного документа определяется проблематичностью использования чужого опыта, поскольку политика безопасности основывается на производственных ресурсах и функциональных зависимостях данного предприятия. Кроме того, Россия как государство не имеет подобного типового документа. Наиболее близким по идее можно назвать "Доктрину информационной безопасности РФ", однако, на мой взгляд, она носит слишком общий характер.
В связи с этим для разработки политики информационной безопасности целесообразно использовать зарубежный опыт. Наиболее детально этот аспект проработан в [6]
В общем случае она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривалось присутствие нескольких административных ролей: администратор, аудитор и оператор системы защиты. Такое ролевое управление информационной безопасностью — скорее дань традиции и теоретически позволяет избежать «сговора» администратора и злоумышленника из числа пользователей. Для того, чтобы включить данный функционал продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности.
Политика безопасности зависит:
• от конкретной технологии обработки информации;
• от используемых технических и программных средств;
• от расположения организации;
Данный документ устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Таким образом, политика выполняет две основные функции:
• определяет безопасность внутри организации;
• определяет место каждого служащего в системе безопасности.
Здесь определяются способы развертывания системы безопасности. Сюда входит правильная настройка компьютерных систем и сетей в соответствии с требованиями физической безопасности, определение надлежащих механизмов, используемых для защиты информации и систем.
Однако технические аспекты - это не единственное, что определяется политикой. Она ясно устанавливает порядок осуществления служащими своих обязанностей, связанных с вопросами безопасности, например, для администраторов. Она определяет поведение пользователей при использовании компьютерных систем, размещенных в организации.
И, наконец, устанавливает порядок реагирования в случае каких-либо непредвиденных обстоятельств. Если происходит инцидент, связанный с нарушением безопасности, или система дает сбой в работе, политики и процедуры устанавливают порядок действий и выполняемые задачи, направленные на устранение последствий этого инцидента.
Правила достаточно серьезны и являются необходимой частью действующей в организации программы безопасности. Таким образом, очень важно, чтобы все службы работали во взаимодействии для построения надежной системы безопасности. Политика показывает основные направления деятельности работников компании в этой совместной работе. Политики и процедуры определяют задачи и цели программы безопасности. Когда эти задачи и цели должным образом поддерживаются служащими, это обеспечивает базу для коллективной работы в сфере безопасности.

Параграф. 2.1. Структура ПБ

Существует большое количество типов политик и процедур, которые определяют функционирование системы безопасности в организации. В следующих разделах мы рассмотри основные концепции, полезные и широко используемые на практике. Все эти концепции можно скомбинировать для лучшего использования в вашей организации. Три раздела каждой политики являются общепринятыми.
• Цель. Каждая политика и процедура имеют четко определенную цель, которая ясно описывает, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.
• Область. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим.
• Ответственность. В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур. Этот человек должен быть надлежащим образом обучен и знать все требования политики.

Существует так же список необходимых документов обязательных к включению в политику безопасности. На данном этапе мы можем включить следующие документы:
-Перечень защищаемых объектов.
• Перечень используемого программного, его версии и список исправлений
• Перечень аппаратного обеспечения и версии системного ПО
• Конфигурация активного сетевого оборудования.
• Конфигурация программного обеспечения.
-Перечень защищаемых ресурсов
• Перечень типов информационных ресурсов и их пользователей.
• Перечень кандидатов на присвоение грифа секретности.
• Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.
-Перечень лиц имеющих доступ к защищаемым объектам.
• Отдел
• Должность
• Права субъекта в системе.
-Перечень используемого прикладного программного обеспечения и его настроек.
• Наименование
• Производитель
• Адрес и телефон службы поддержки, их сайта
• Ссылка на лицензионный договор
• Перечень установленных исправлений и обновлений
• Ссылка на хранилище резервных копий.
-Набор должностных инструкций.
• администратора безопасности;
• системного администратора;
• системного оператора;
• пользователя системы;
• инструкция по оперативному восстановлению системы.