Методика разработки политики информационной безопасности организации, создание, развертывание и эффективное использование
1 июня 2017
Рубрика: Обзоры и мнения.
Автор: Богдан Шкляревский.

Политика информационной безопасности (ИБ) — совокупность руководящих принципов правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации. Политика ИБ должна быть утверждена, опубликована и доведена до сведения всего персонала организации. Политика ИБ характеризует защиту информации в информационных системах организации.

Политика информационной безопасности устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Таким образом, политика выполняет две основные функции:

  • определяет безопасность внутри организации;
  • определяет место каждого служащего в системе безопасности.

Политика определяет способы развертывания системы безопасности. Сюда входит правильная настройка компьютерных систем и сетей в соответствии с требованиями физической безопасности. Политика определяет надлежащие механизмы, используемые для защиты информации и систем.

Однако технические аспекты — это не единственное, что определяется политикой. Она ясно устанавливает порядок осуществления служащими своих обязанностей, связанных с вопросами безопасности, например, для администраторов. Она определяет поведение пользователей при использовании компьютерных систем, размещенных в организации.

И, наконец, устанавливает порядок реагирования в случае каких-либо непредвиденных обстоятельств. Если происходит инцидент, связанный с нарушением без­опасности, или система дает сбой в работе, политики и процедуры устанавливают порядок действий и выполняемые задачи, направленные на устранение последствий этого инцидента.

Требования к политике информацион­ной безопасности установлены в главе 5 Государственного стандарта O‘z DSt ISO/IEC 27002:2008 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».

Согласно вышеуказанному стандарту на самом верхнем уровне организация должна определить политику информационной безопасности, которую утвердит ее руководство и в которой должен быть изложен подход организации к достижению целей в области информационной безопасности.

Также политики информационной без­опасности должны соответствовать требованиям, разработанным с учетом:

  • бизнес-стратегии;
  • законодательных, нормативно-правовых актов и договоров;
  • угроз информационной безопасности в существующей и проектируемой среде.

Политика информационной безопасности должна содержать положения, касающиеся:

  • определения информационной безопасности, целей и принципов;
  • руководства всеми видами деятельности, связанными с информационной безопасностью;
  • назначения общей и конкретной ответственности персонала при управлении информационной безопасностью для соответствующих ролей;
  • процессов обработки отклонений и исключений.

Рассматривая эти аспекты применительно к обеспечению безопасности современных информационных систем, можно сфокусировать их на следующих положениях:

  • базовые требования к ИБ и техническое задание на создание защищенной ИС разрабатываются с учетом государственных законов и нормативных документов, с использованием государственных стандартов;
  • корпоративная ИС может иметь несколько территориально разнесенных частей, связи между которыми находятся в ведении внешнего постав­щика сетевых услуг, например, част­ные виртуальные сети (Virtual Private Net — VPN), выходящие за пределы зоны, контролируемой организацией;
  • корпоративная сеть имеет одно или несколько подключений к Internet;
  • на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются сотрудники, работающие на других площадках, мобильные пользователи и, возможно, внешние пользователи;
  • для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь, не все пользовательские системы контролируются сетевыми и/или системными администраторами организации;
  • в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опирающимся на разные аппаратно-программные платформы;
  • к доступности информационных сервисов предъявляются жесткие требования, которые обычно выражаются в необходимости круглосуточного функционирования с максимальным временем простоя порядка нескольких минут;
  • программное обеспечение, особенно полученное по сети, не может считаться надежным, в нем могут быть ошибки, создающие проблемы в защите;
  • конфигурация ИС постоянно изменяется на уровнях административных данных, программ и аппаратуры (меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т.п.).

Для более низкого уровня стандарт O‘z DSt ISO/IEC 27002:2008 устанавливает требования, согласно которым политика информационной безопасности должна поддерживаться политиками по конкретным процедурам, связанным с обеспечением информационной безопасности, в этих политиках впоследствии будут предоставлены полномочия по внедрению средств управления информационной безопасностью, и они, как правило:

  • будут структурированы с учетом удовлетворения потребностей;
  • определенных целевых групп внутри организации или выполнения конкретных процедур.

Примерами конкретных процедур, описываемых в отдельных политиках, являются:

  • управление доступом;
  • классификация (и обработка) информации;
  • физическая безопасность и безопасность окружающей среды;
  • процедуры, ориентированные на конечных пользователей.

Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя конкретные цели и задачи, правила и способы их достижения. В отличие от верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Типичные вопросы, на которые следует дать ответ при следовании политики безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом;
  • при каких условиях можно читать и модифицировать данные;
  • как организован удаленный доступ к сервису;
  • кто имеет право модернизировать сервис.

При предоставлении сторонним лицам доступа к информации и активам организации, следует обращать внимание на все установленные требования информационной безопасности и принять меры безопасности в отношениях с внеш­ними пользователями. Перед предоставлением доступа сторонним лицам к любым активам организации следует учесть следующие условия, относящиеся к информационной безопасности (в зависимости от типа и уровня предоставляемого доступа, из которых не все могут быть применены):

  • защита активов;
  • соглашения по управлению доступом.

Необходимость во внутренних политиках информационной безопасности определяется самой организацией. Внутренние политики особенно важны для больших и более сложных организаций, в которых определение и утверждение предполагаемых уровней средств управления отделены от их внедрения, или в тех ситуациях, когда политика распространяется на множество различных людей или функций организации. Политики информационной безопасности могут быть изданы в одном документе «Политика информационной безопасности», либо как комплект отдельных, но взаимосвязанных документов. Если какая-либо из политик информационной безопасности распространяется за пределы организации, то следует соблюдать осторожность во избежание неразглашения конфиденциальной информации.

Разработка политики ИБ — вопрос отнюдь не тривиальный. От тщательности ее проработки будет зависеть действенность всех остальных уровней обеспечения ИБ — процедурного и программно-технического. Сложность разработки данного документа определяется проблематичностью использования чужого опыта, поскольку политика безопасности основывается на производственных ресурсах и функциональных зависимостях организации. В связи с этим для разработки политики ИБ целесообразно использовать «Методическое пособие по разработке политики информационной безопасности на территории Республики Узбекистан», разработанное Центром обеспечения информационной безопасности.

Совершенно очевидно, что реализация политики информационной безопасности вовлекает много специалистов высокого класса и требует существенных затрат. Во всех случаях необходимо найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, и работники не окажутся чрезмерно ограничены в использовании необходимых информационных ресурсов. Обычно ввиду особой важности данного вопроса наиболее регламентировано и детально задаются права доступа к информационным объектам и устройствам.

Неоднократно отмечено, что сотрудники являются как самым сильным, так одновременно и самым слабым звеном в обеспечении информационной безопасности. Необходимо донести до сотрудников мысль о том, что обеспечение информационной безопасности — обязанность всех без исключения сотрудников. Это достигается путем введения процедуры ознакомления с требованиями политики ИБ и подписания соответствующего документа о том, что сотрудник ознакомлен, ему понятны все требования политики и он обязуется их выполнять.

Политика позволяет ввести требования по поддержанию необходимого уровня безопасности в перечень обязанностей каждого сотрудника. В процессе выполнения ими трудовых обязанностей для сотрудников необходимо периодически проводить ознакомление и обучение вопросам обеспечения информационной безопасности. Критически важным условием для успеха в области обеспечения информационной безопасности организации становится создание атмосферы, благоприятной для поддержания высокого приоритета информационной безопасности. Чем крупнее организация, тем более важной становится информационная поддержка и мотивация сотрудников по вопросам безопасности.

Использованная литература

  1. Государственный стандарт O‘z DSt ISO/IEC 27002:2008 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
  2. «Методическое пособие по разработке политики информационной безопасности на территории Республики Узбекистан».
  3. Галатенко В. А. Основы информационной безопасности: курс лекций; учебное пособие. — 2006 г.

Автор: Богдан Шкляревский, главный специалист Центра обеспечения информационной безопасности.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте