Сергей Петренко - Политики безопасности компании при работе в Интернет
• помощь в организации программ ознакомления с вопросами безопасности;
• консультирование персонала по вопросам безопасности;
• определение бюджета и требуемых ресурсов по обеспечению безопасности.2.5. Подход компании Symantec
Руководящие документы в области безопасности (политики, стандарты, процедуры и метрики безопасности), как полагают в Symatec, являются основой любой успешной программы обеспечения информационной безопасности компании (см. рис. 2.6).
...Рис. 2.6. Жизненный цикл обеспечения информационной безопасности организации
Наглядно проявления различий политик, стандартов и процедур безопасности представлены на рис. 2.7.
...Рис. 2.7. Различия политики, стандартов и процедур безопасности
Политика информационной безопасности определяет, почему компания защищает свою информацию. Стандарты – что компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают, как компания будет выполнять требования, описанные в высокоуровневых документах (политике и руководствах). Руководства представляют собой рекомендации, которым сотрудникам желательно следовать.
2.5.1. Описание политики безопасности
Основные этапы разработки политики безопасности. Компания Symantec выделяет следующие основные этапы разработки политики безопасности:
• определение и оценка информационных активов – какие активы необходимо защищать и как их защищать с учетом целей и задач бизнеса;
• определение угроз безопасности – выявление потенциальных источников проблем в области безопасности компании. Оценка вероятности реализации угрозы и оценка возможного ущерба. При этом выделяют внешние и внутренние угрозы безопасности;
• оценка информационных рисков – представляет собой один из самых сложных этапов процесса разработки политики безопасности. На этом этапе необходимо определить вероятность реализации угроз и выделить те из них, что нанесут наибольший ущерб. Ущерб выражается не только количественно, например в денежном эквиваленте, но и качественно, для отражения ущерба, вызванного потерей имиджа компании, потерей конфиденциальности взаимоотношений с определенными стратегически важными клиентами и партнерами;
• определение ответственности – выбор команды разработчиков, способной определить потенциальные угрозы во всех областях деятельности компании. В идеале в процессе разработки политики безопасности должны принимать участие представители всех ключевых подразделений компании. Ключевые члены команды – представители руководства, отдела кадров, юридического отдела, отдела по связям с общественностью, сетевые администраторы, эксперты в области информационной безопасности;
• создание комплексного документа – создание политики со ссылками на такие дополнительные документы, как процедуры, руководства, стандарты и контракты сотрудников. Эти документы должны содержать требования к конкретным информационным системам, технологиям, а также определять степень ответственности сотрудников. В результате становится возможным производить изменения в документах, не затрагивая саму политику информационной безопасности. Политика информационной безопасности подписывается руководителем компании;
• реализация – политика безопасности должна четко определять ответственность за обеспечение информационной безопасности и ответственных за информационные системы и защиту информации. Компания может потребовать от сотрудников подписи в том, что они ознакомлены с политикой безопасности и обязуются соблюдать ее требования. Ответственность реализуется с помощью определения:
– процедуры соответствия – для определения ответственности за выполнение требований политики безопасности;
– состава и структуры подразделения офицеров безопасности – определяет сотрудников, которые несут ответственность за обеспечение режима информационной безопасности. Здесь необходимо предусмотреть проблемы, связанные с конфликтом интересов;
– процедуры выделения необходимых ресурсов – гарантирует выделение необходимых ресурсов для соответствия требованиям политики информационной безопасности;
• управление программой безопасности – определяет внутренние процедуры для реализации требований политики.
Рекомендуемый состав политики безопасности. Ключевыми аспектами политики информационной безопасности являются:
• область применения,
• необходимость строгого соблюдения политики,
• основная часть политики,
• ответственность,
• последствия за несоответствие требованиям политики. Существенными утверждениями политики безопасности являются следующие:
• компания является собственником всех данных и систем;
• сотрудник обязуется не делать копий данных и программного обеспечения без получения соответствующего разрешения;
• сотрудник обязуется выполнять требования по парольной защите;
• сотрудник обязуется получать доступ к системам и информации только легальным способом, после авторизации;
• сотрудник подтверждает право компании осуществлять мониторинг его деятельности.
Рекомендуемый объем политики информационной безопасности не должен превышать двух страниц.
Реализация политики достигается использованием стандартов, процедур, руководств.Что принимается во внимание? Для эффективности политики безопасности необходимо, чтобы политика:
• была простой для понимания,
• основывалась на требованиях бизнеса,
• была реализуемой,
• поддерживала баланс между безопасностью и производительностью,
• была доступна всем сотрудникам для ознакомления,
• не противоречила другим политикам компании,
• не противоречила требованиям законодательства,
• ясно определяла ответственность сотрудников за ее нарушение,
• была регулярно обновляемой.Стандарты. Требования к стандартам:
• каждый стандарт должен поддерживать выполнение бизнес-целей компании, соответствовать требованиям существующего законодательства и действующим в компании политикам;
• стандарт должен быть разработан для защиты информации, в то же время он не должен затруднять получение доступа к информации сотрудникам компании;
• стандарт должен разрабатываться совместными усилиями бизнес-менеджеров и технических экспертов;
• стандарт не должен противоречить требованиям политики информационной безопасности.
За основу при разработке стандартов компания Symantec рекомендует использовать стандарт ISO 17799:2005.Процедуры. Следующим уровнем документов являются процедуры. Роль процедуры – определить, как реализуются и администрируются средства безопасности. Процедуры являются своего рода «библией» для сотрудников компании, их ежедневным руководством к действию. Процедуры, в отличие от политики и стандартов, являются часто изменяющимися документами, поэтому важно иметь в компании хорошую процедуру управления изменениями документов. Каждая процедура должна быть написана в соответствии с общим шаблоном, разработанным для процедур, быть доступной сотрудникам как в электронном, так и в бумажном виде. Так как некоторые процедуры могут содержать конфиденциальную информацию, то доступ к ним может быть ограничен, что регулируется отдельным стандартом.
Рекомендуемыми элементами процедур безопасности являются:
цель процедуры:
– для соответствия какому стандарту она разработана;
– для чего нужна процедура;
область действия процедуры:
– к каким системам, сетям, приложениям, категориям персонала, помещениям применима процедура;
– какая роль необходима для выполнения процесса;
– что нужно знать для выполнения процесса;
определение процесса:
– введение в процесс(описание);
– детальное описание процесса (как, когда, что, критерии успеха, виды отчетов, взаимодействие с другими процессами);
контрольный список процесса;
• проблемы процесса (действия при возникновении проблем).2.6. Подход SANS
2.6.1. Описание политики безопасности
Организация SANS выработала свой подход в понимании политики информационной безопасности и ее составляющих. В терминологии SANS политика информационной безопасности – многоуровневый документированный план обеспечения информационной безопасности компании:
• верхний уровень – политики;
• средний уровень – стандарты и руководства;
• низший уровень – процедуры.