Методика розробки політики інформаційної безпеки організації, створення, розгортання та ефективне використання
Методика розробки політики інформаційної безпеки організації, створення, розгортання та ефективне використання
Політика інформаційної безпеки (ІБ) - сукупність керівних принципів правил, процедур і практичних прийомів в області безпеки, які регулюють управління, захист і розподіл цінної інформації. Політика ІБ повинна бути затверджена, опублікована і доведена до відома всього персоналу організації. Політика ІБ характеризує захист інформації в інформаційних системах організації.
- визначає безпеку всередині організації;
- визначає місце кожного службовця в системі безпеки.
Політика визначає способи розгортання системи безпеки. Сюди входить правильна настройка комп'ютерних систем і мереж відповідно до вимог фізичної безпеки. Політика визначає належні механізми, використовувані для захисту інформації та систем.
Однак технічні аспекти - це не єдине, що визначається політикою. Вона ясно встановлює порядок здійснення службовцями своїх обов'язків, пов'язаних з питаннями безпеки, наприклад, для адміністраторів. Вона визначає поведінку користувачів при використанні комп'ютерних систем, розміщених в організації.
І, нарешті, встановлює порядок реагування в разі будь-яких непередбачених обставин. Якщо відбувається інцидент, пов'язаний з порушенням безпеки, або система дає збій в роботі, політики і процедури встановлюють порядок дій і виконувані завдання, спрямовані на усунення наслідків цього інциденту.
Вимоги до політики інформаційної безпеки встановлені в розділі 5 Державного стандарту O'z DSt ISO / IEC 27002: 2008 «Інформаційні технології. Методи забезпечення безпеки. Практичні правила управління інформаційною безпекою ».
Відповідно до вищевказаного стандарту на самому верхньому рівні організація повинна визначити політику інформаційної безпеки, яку затвердить її керівництво і в якій повинен бути викладений підхід організації до досягнення цілей в області інформаційної безпеки.
Також політики інформаційної безпеки повинні відповідати вимогам, розробленим з урахуванням:
- бізнес-стратегії;
- законодавчих, нормативно-правових актів і договорів;
- загроз інформаційній безпеці в існуючій і проектованої середовищі.
Політика інформаційної безпеки повинна містити положення, що стосуються:
- визначення інформаційної безпеки, цілей і принципів;
- керівництва всіма видами діяльності, пов'язаними з інформаційною безпекою;
- призначення загальною і конкретної відповідальності персоналу при управлінні інформаційною безпекою для відповідних ролей;
- процесів обробки відхилень і винятків.
Розглядаючи ці аспекти стосовно забезпечення безпеки сучасних інформаційних систем, можна сфокусувати їх на наступних положеннях:
- базові вимоги до ІБ і технічне завдання на створення захищеної ІС розробляються з урахуванням державних законів і нормативних документів, з використанням державних стандартів;
- корпоративна ІС може мати кілька територіально рознесених частин, зв'язку між якими знаходяться у веденні зовнішнього постачальника послуг, наприклад, приватні віртуальні мережі (Virtual Private Net - VPN), що виходять за межі зони, контрольованої організацією;
- корпоративна мережа має одне або кілька підключень до Internet;
- на кожній з виробничих майданчиків можуть перебувати критично важливі сервери, в доступі до яких потребують співробітники, що працюють на інших майданчиках, мобільні користувачі і, можливо, зовнішні користувачі;
- для доступу користувачів можуть застосовуватися не тільки комп'ютери, але і споживчі пристрої, що використовують, зокрема, бездротовий зв'язок, не всі призначені для користувача системи контролюються мережевими і / або системними адміністраторами організації;
- протягом одного сеансу роботи користувачеві доводиться звертатися до декількох інформаційних сервісів, що спирається на різні апаратно-програмні платформи;
- до доступності інформаційних сервісів висуваються жорсткі вимоги, які зазвичай виражаються в необхідності цілодобового функціонування з максимальним часом простою порядку декількох хвилин;
- програмне забезпечення, особливо отримане по мережі, не може вважатися надійним, в ньому можуть бути помилки, що створюють проблеми в захисті;
- конфігурація ІС постійно змінюється на рівнях адміністративних даних, програм і апаратури (змінюється склад користувачів, їх привілеї і версії програм, з'являються нові сервіси, нова апаратура і т.п.).
Для більш низького рівня стандарт O'z DSt ISO / IEC 27002: 2008 встановлює вимоги, згідно з якими політика інформаційної безпеки повинна підтримуватися політиками по конкретним процедурам, пов'язаним із забезпеченням інформаційної безпеки, в цих політиках згодом будуть надані повноваження щодо впровадження засобів управління інформаційною безпекою, і вони, як правило:
- будуть структуровані з урахуванням задоволення потреб;
- визначених цільових груп всередині організації або виконання конкретних процедур.
Прикладами конкретних процедур, описаних у окремих політиків, є:
- управління доступом;
- класифікація (і обробка) інформації;
- фізична безпека і безпека навколишнього середовища;
- процедури, орієнтовані на кінцевих користувачів.
Політика безпеки нижнього рівня відноситься до конкретних сервісам. Вона включає в себе конкретні цілі і завдання, правила та способи їх досягнення. На відміну від верхніх рівнів, розглянута політика повинна бути набагато детальніше. Є багато речей, специфічних для окремих сервісів, які не можна єдиним чином регламентувати в рамках всієї організації. У той же час ці речі настільки важливі для забезпечення режиму безпеки, що рішення, які стосуються ним, повинні прийматися на управлінському, а не технічному рівні. Типові питання, на які слід дати відповідь при проходженні політики безпеки нижнього рівня:
- хто має право доступу до об'єктів, підтримуваним сервісом;
- за яких умов можна читати і модифікувати дані;
- як організований віддалений доступ до сервісу;
- хто має право модернізувати сервіс.
При наданні стороннім особам доступу до інформації та активів організації, слід звертати увагу на відповідні вимоги інформаційної безпеки та вжити заходів безпеки у відносинах із зовнішніми користувачами. Перед наданням доступу стороннім особам до будь-яких активів організації слід врахувати наступні умови, які стосуються інформаційної безпеки (в залежності від типу і рівня наданого доступу, з яких не всі можуть бути застосовані):
- захист активів;
- угоди з управління доступом.
Необхідність у внутрішніх політиках інформаційної безпеки визначається самою організацією. Внутрішні політики особливо важливі для великих і більш складних організацій, в яких визначення та затвердження передбачуваних рівнів коштів управління відокремлені від їх впровадження, або в тих ситуаціях, коли політика поширюється на безліч різних людей або функцій організації. Політики інформаційної безпеки можуть бути видані в одному документі «Політика інформаційної безпеки», або як комплект окремих, але взаємопов'язаних документів. Якщо будь-яка з політик інформаційної безпеки поширюється за межі організації, то слід дотримуватися обережності з метою нерозголошення конфіденційної інформації.
Розробка політики ІБ - питання аж ніяк не тривіальний. Від ретельності її опрацювання буде залежати дієвість всіх інших рівнів забезпечення ІБ - процедурного і програмно-технічного. Складність розробки даного документа визначається проблематичністю використання чужого досвіду, оскільки політика безпеки грунтується на виробничих ресурсах і функціональних залежностях організації. У зв'язку з цим для розробки політики ІБ доцільно використовувати «Методичний посібник з розробки політики інформаційної безпеки на території Республіки Узбекистан», розроблене Центром забезпечення інформаційної безпеки.
Цілком очевидно, що реалізація політики інформаційної безпеки залучає багато фахівців високого класу і вимагає істотних витрат. У всіх випадках необхідно знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, і працівники не виявляться надмірно обмежені у використанні необхідних інформаційних ресурсів. Зазвичай зважаючи на особливу важливість даного питання найбільш регламентовано і детально задаються права доступу до інформаційних об'єктів і пристроїв.
Неодноразово відмічено, що співробітники є як найсильнішим, так одночасно і найслабшою ланкою в забезпеченні інформаційної безпеки. Необхідно донести до співробітників думка про те, що забезпечення інформаційної безпеки - обов'язок усіх без винятку співробітників. Це досягається шляхом введення процедури ознайомлення з вимогами політики ІБ і підписання відповідного документа про те, що співробітник ознайомлений, йому зрозумілі всі вимоги політики і він зобов'язується їх виконувати.
Політика дозволяє ввести вимоги по підтримці необхідного рівня безпеки в перелік обов'язків кожного співробітника. В процесі виконання ними трудових обов'язків для співробітників необхідно періодично проводити ознайомлення та навчання питань забезпечення інформаційної безпеки. Критично важливою умовою для успіху в галузі забезпечення інформаційної безпеки організації стає створення атмосфери, сприятливої для підтримки високого пріоритету інформаційної безпеки. Чим більше організація, тим більш важливою стає інформаційна підтримка і мотивація співробітників з питань безпеки.
Використана література
- Державний стандарт O'z DSt ISO / IEC 27002: 2008 «Інформаційні технології. Методи забезпечення безпеки. Практичні правила управління інформаційною безпекою ».
- «Методичний посібник з розробки політики інформаційної безпеки на території Республіки Узбекистан».
- Галатенко В. А. Основи інформаційної безпеки: курс лекцій; навчальний посібник. - 2006 р
Автор: Богдан Шкляревский, головний спеціаліст Центру забезпечення інформаційної безпеки.