Сергей Петренко - Политики безопасности компании при работе в Интернет
• средний уровень – стандарты и руководства;
• низший уровень – процедуры.
Далее документы разбиваются на следующие основные категории:
• утверждение руководства о поддержке политики информационной безопасности;
• основные политики компании;
• функциональные политики;
• обязательные стандарты (базовые);
• рекомендуемые руководства;
• детализированные процедуры.Стандарты детализируют различия по настройке безопасности в отдельных операционных системах, приложениях и базах данных.
Руководства представляют из себя рекомендуемые, необязательные к выполнению действия по предупреждению проблем, связанных с различными аспектами информационной безопасности.
Процедуры – детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять.
При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип «знать только то, что необходимо для выполнения служебных обязанностей» и использовать разделение обязанностей на критичных системах.
Различают следующие типы политик безопасности:
• направленные на решение конкретной проблемы – примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Интернета;
• программные – высокоуровневые политики, определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов;
• применяемые к конкретной среде – например, каждая операционная система требует отдельного стандарта по ее настройке.
Рекомендуемые компоненты политики безопасности:
• цель,
• область действия,
• утверждение политики,
• история документа,
• необходимость политики,
• какие политики отменяет,
• действия по выполнению политики,
• ответственность,
• исключения,
• порядок и периодичность пересмотра.Организация SANS разработала ряд шаблонов политик безопасности:
• политика допустимого шифрования,
• политика допустимого использования,
• руководство по антивирусной защите,
• политика аудита уязвимостей,
• политика хранения электронной почты,
• политика использования электронной почты компании,
• политика использования паролей,
• политика оценки рисков,
• политика безопасности маршрутизатора,
• политика обеспечения безопасности серверов,
• политика виртуальных частных сетей,
• политика беспроводного доступа в сеть компании,
• политика автоматического перенаправления электронной почты компании,
• политика классификации информации,
• политика в отношении паролей для доступа к базам данных,
• политика безопасности лаборатории демилитаризованной зоны,
• политика безопасности внутренней лаборатории,
• политика экстранет,
• политика этики,
• политика лаборатории антивирусной защиты.
2.6.2. Пример политики аудита безопасности [11]
Цель. Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых других компонент информационных систем компании.
Аудит может быть проведен для:
• гарантии целостности, конфиденциальности и доступности информационных ресурсов компании;
• расследования возможных инцидентов в области безопасности компании;
• мониторинга деятельности сотрудников и активности информационной системы в целом.Область действия. Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки класса «отказ в обслуживании».
Политика. Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения аудита безопасности (технические проекты, карта сети, положения и инструкции и пр.).
Доступ к информационной системе включает:
• доступ на уровне пользователя или системный доступ к любому оборудованию системы;
• доступ к данным (в электронном виде, в виде бумажных копий и т. д.), которые создаются, передаются и хранятся в системе;
• доступ в помещения (лаборатории, офисы, серверные и т. д.);
• доступ к сетевому трафику.Управление сетью. Если в компании доступ из корпоративной сети в Интернет обеспечивается сторонней организацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.
Уменьшение производительности и/или недоступность сервиса. Компания освобождает аудиторов от любой ответственности, связанной с уменьшением сетевой производительности или недоступностью сервисов, вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.
Контактные лица компании при проведении аудита. Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам, возникающим во время проведения аудита безопасности.
Период сканирования. Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.
Процесс оценки рисков. Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.
Ответственность. К любому сотруднику компании, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.Глава 3 РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО СОЗДАНИЮ ПОЛИТИК БЕЗОПАСНОСТИ
В последнее время в разных странах появилось новое поколение стандартов в области информационной безопасности, посвященных практическим вопросам обеспечения информационной безопасности в компаниях и организациях. Это, прежде всего, международные стандарты ISO/IEC 17799:2005 (BS 7799-1:2002), ISO/IEC 15408, ISO/IEC TR 13335, германский стандарт BSI IT Protection Manual, стандарты NIST США серии 800, стандарты и библиотеки CobiT, ITIL, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. В соответствии с названными стандартами политики безопасности компании должны явно определять следующее:
• предмет политики безопасности, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании по отношению к выполнению политики безопасности и организации режима информационной безопасности компании в целом;
• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;
• порядок действий в чрезвычайных ситуациях в случае нарушения политики безопасности.
В этой главе нам предстоит рассмотреть, насколько рекомендации перечисленных стандартов безопасности могут быть полезны для разработки политик безопасности в отечественных компаниях.
3.1. Стандарты ISO/IEC 17799:2005 (BS 7799-1:2002)
В настоящее время международный стандарт ISO/IEC 17799:2005 (BS 7799-1:2002) «Управление информационной безопасностью – Информационные технологии» («Information Technology – Information Security Management») является наиболее известным стандартом в области защиты информации (см. рис. 3.1). Алгоритм применения стандарта ISO 17799 представлен на рис. 3.2. Данный стандарт был разработан на основе первой части британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» («Information Security Management – Part 1: Code of Practice for Information Security Management») и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2005 (BS 7799-1:2002) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий (см. рис. 3.3):
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• вопросы безопасности, связанные с персоналом;
