Методика розробки політики інформаційної безпеки організації, створення, розгортання та ефективне використання

Політика інформаційної безпеки (ІБ) - сукупність керівних принципів правил, процедур і практичних прийомів в області безпеки, які регулюють управління, захист і розподіл цінної інформації. Політика ІБ повинна бути затверджена, опублікована і доведена до відома всього персоналу організації. Політика ІБ характеризує захист інформації в інформаційних системах організації.

Політика інформаційної безпеки встановлює правила, які визначають конфігурацію систем, дії службовців організації в звичайних умовах і в разі непередбачених обставин. Таким чином, політика виконує дві основні функції:

• визначає безпеку всередині організації;
• визначає місце кожного службовця в системі безпеки.

Політика визначає способи розгортання системи безпеки. Сюди входить правильна настройка комп'ютерних систем і мереж відповідно до вимог фізичної безпеки. Політика визначає належні механізми, використовувані для захисту інформації та систем.

Однак технічні аспекти - це не єдине, що визначається політикою. Вона ясно встановлює порядок здійснення службовцями своїх обов'язків, пов'язаних з питаннями безпеки, наприклад, для адміністраторів. Вона визначає поведінку користувачів при використанні комп'ютерних систем, розміщених в організації.

І, нарешті, встановлює порядок реагування в разі будь-яких непередбачених обставин. Якщо відбувається інцидент, пов'язаний з порушенням безпеки, або система дає збій в роботі, політики і процедури встановлюють порядок дій і виконувані завдання, спрямовані на усунення наслідків цього інциденту.

Вимоги до політики інформаційної безпеки встановлені в розділі 5 Державного стандарту O'z DSt ISO / IEC 27002: 2008 «Інформаційні технології. Методи забезпечення безпеки. Практичні правила управління інформаційною безпекою ».

Відповідно до вищевказаного стандарту на самому верхньому рівні організація повинна визначити політику інформаційної безпеки, яку затвердить її керівництво і в якій повинен бути викладений підхід організації до досягнення цілей в області інформаційної безпеки.

Також політики інформаційної безпеки повинні відповідати вимогам, розробленим з урахуванням:

• бізнес-стратегії;
• законодавчих, нормативно-правових актів і договорів;
• загроз інформаційній безпеці в існуючій і проектованої середовищі.

Політика інформаційної безпеки повинна містити положення, що стосуються:

• визначення інформаційної безпеки, цілей і принципів;
• керівництва всіма видами діяльності, пов'язаними з інформаційною безпекою;
• призначення загальною і конкретної відповідальності персоналу при управлінні інформаційною безпекою для відповідних ролей;
• процесів обробки відхилень і винятків.

Розглядаючи ці аспекти стосовно забезпечення безпеки сучасних інформаційних систем, можна сфокусувати їх на наступних положеннях:

• базові вимоги до ІБ і технічне завдання на створення захищеної ІС розробляються з урахуванням державних законів і нормативних документів, з використанням державних стандартів;
• корпоративна ІС може мати кілька територіально рознесених частин, зв'язку між якими знаходяться у веденні зовнішнього постачальника послуг, наприклад, приватні віртуальні мережі (Virtual Private Net - VPN), що виходять за межі зони, контрольованої організацією;
• корпоративна мережа має одне або кілька підключень до Internet;
• на кожній з виробничих майданчиків можуть перебувати критично важливі сервери, в доступі до яких потребують співробітники, що працюють на інших майданчиках, мобільні користувачі і, можливо, зовнішні користувачі;
• для доступу користувачів можуть застосовуватися не тільки комп'ютери, але і споживчі пристрої, що використовують, зокрема, бездротовий зв'язок, не всі призначені для користувача системи контролюються мережевими і / або системними адміністраторами організації;
• протягом одного сеансу роботи користувачеві доводиться звертатися до декількох інформаційних сервісів, що спирається на різні апаратно-програмні платформи;
• до доступності інформаційних сервісів висуваються жорсткі вимоги, які зазвичай виражаються в необхідності цілодобового функціонування з максимальним часом простою порядку декількох хвилин;
• програмне забезпечення, особливо отримане по мережі, не може вважатися надійним, в ньому можуть бути помилки, що створюють проблеми в захисті;
• конфігурація ІС постійно змінюється на рівнях адміністративних даних, програм і апаратури (змінюється склад користувачів, їх привілеї і версії програм, з'являються нові сервіси, нова апаратура і т.п.).

Для більш низького рівня стандарт O'z DSt ISO / IEC 27002: 2008 встановлює вимоги, згідно з якими політика інформаційної безпеки повинна підтримуватися політиками по конкретним процедурам, пов'язаним із забезпеченням інформаційної безпеки, в цих політиках згодом будуть надані повноваження щодо впровадження засобів управління інформаційною безпекою, і вони, як правило:

• будуть структуровані з урахуванням задоволення потреб;
• визначених цільових груп всередині організації або виконання конкретних процедур.

Прикладами конкретних процедур, описаних у окремих політиків, є:

• управління доступом;
• класифікація (і обробка) інформації;
• фізична безпека і безпека навколишнього середовища;
• процедури, орієнтовані на кінцевих користувачів.

Політика безпеки нижнього рівня відноситься до конкретних сервісам. Вона включає в себе конкретні цілі і завдання, правила та способи їх досягнення. На відміну від верхніх рівнів, розглянута політика повинна бути набагато детальніше. Є багато речей, специфічних для окремих сервісів, які не можна єдиним чином регламентувати в рамках всієї організації. У той же час ці речі настільки важливі для забезпечення режиму безпеки, що рішення, які стосуються ним, повинні прийматися на управлінському, а не технічному рівні. Типові питання, на які слід дати відповідь при проходженні політики безпеки нижнього рівня:

• хто має право доступу до об'єктів, підтримуваним сервісом;
• за яких умов можна читати і модифікувати дані;
• як організований віддалений доступ до сервісу;
• хто має право модернізувати сервіс.

При наданні стороннім особам доступу до інформації та активів організації, слід звертати увагу на відповідні вимоги інформаційної безпеки та вжити заходів безпеки у відносинах із зовнішніми користувачами. Перед наданням доступу стороннім особам до будь-яких активів організації слід врахувати наступні умови, які стосуються інформаційної безпеки (в залежності від типу і рівня наданого доступу, з яких не всі можуть бути застосовані):

• захист активів;
• угоди з управління доступом.

Необхідність у внутрішніх політиках інформаційної безпеки визначається самою організацією. Внутрішні політики особливо важливі для великих і більш складних організацій, в яких визначення та затвердження передбачуваних рівнів коштів управління відокремлені від їх впровадження, або в тих ситуаціях, коли політика поширюється на безліч різних людей або функцій організації. Політики інформаційної безпеки можуть бути видані в одному документі «Політика інформаційної безпеки», або як комплект окремих, але взаємопов'язаних документів. Якщо будь-яка з політик інформаційної безпеки поширюється за межі організації, то слід дотримуватися обережності з метою нерозголошення конфіденційної інформації.

Розробка політики ІБ - питання аж ніяк не тривіальний. Від ретельності її опрацювання буде залежати дієвість всіх інших рівнів забезпечення ІБ - процедурного і програмно-технічного. Складність розробки даного документа визначається проблематичністю використання чужого досвіду, оскільки політика безпеки грунтується на виробничих ресурсах і функціональних залежностях організації. У зв'язку з цим для розробки політики ІБ доцільно використовувати «Методичний посібник з розробки політики інформаційної безпеки на території Республіки Узбекистан», розроблене Центром забезпечення інформаційної безпеки.

Цілком очевидно, що реалізація політики інформаційної безпеки залучає багато фахівців високого класу і вимагає істотних витрат. У всіх випадках необхідно знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, і працівники не виявляться надмірно обмежені у використанні необхідних інформаційних ресурсів. Зазвичай зважаючи на особливу важливість даного питання найбільш регламентовано і детально задаються права доступу до інформаційних об'єктів і пристроїв.

Неодноразово відмічено, що співробітники є як найсильнішим, так одночасно і найслабшою ланкою в забезпеченні інформаційної безпеки. Необхідно донести до співробітників думка про те, що забезпечення інформаційної безпеки - обов'язок усіх без винятку співробітників. Це досягається шляхом введення процедури ознайомлення з вимогами політики ІБ і підписання відповідного документа про те, що співробітник ознайомлений, йому зрозумілі всі вимоги політики і він зобов'язується їх виконувати.

Політика дозволяє ввести вимоги по підтримці необхідного рівня безпеки в перелік обов'язків кожного співробітника. В процесі виконання ними трудових обов'язків для співробітників необхідно періодично проводити ознайомлення та навчання питань забезпечення інформаційної безпеки. Критично важливою умовою для успіху в галузі забезпечення інформаційної безпеки організації стає створення атмосфери, сприятливої ​​для підтримки високого пріоритету інформаційної безпеки. Чим більше організація, тим більш важливою стає інформаційна підтримка і мотивація співробітників з питань безпеки.

Використана література

1. Державний стандарт O'z DSt ISO / IEC 27002: 2008 «Інформаційні технології. Методи забезпечення безпеки. Практичні правила управління інформаційною безпекою ».
2. «Методичний посібник з розробки політики інформаційної безпеки на території Республіки Узбекистан».
3. Галатенко В. А. Основи інформаційної безпеки: курс лекцій; навчальний посібник. - 2006 р

Автор: Богдан Шкляревский, головний спеціаліст Центру забезпечення інформаційної безпеки.