Сергей Петренко - Политики безопасности компании при работе в Интернет
• документированные изменения обеспечивают возможность проведения аудита безопасности;
• в случае возможного простоя из-за изменения проблема будет быстро определена;
• обеспечивается способ координирования изменений таким образом, чтобы одно изменение не влияло на другое изменение.Процедуры резервного копирования информации и хранения резервных копий вне офиса могут потребоваться из-за требований клиентов и партнеров по бизнесу. Число сотрудников компании, имеющих доступ к резервным лентам за пределами компании, должно быть сведено к минимуму. Вы должны тестировать возможность восстановления информации из резервных носителей на регулярной основе для проверки целостности резервных копий. Часть процедуры резервного копирования может быть выполнена в виде программы или сценария, который автоматизирует процесс создания резервных копий. Процедура обработки инцидентов определяет порядок обработки и расследования инцидентов. Эта процедура должна осуществляться в любой компании. Невозможно определить порядок реагирования на все инциденты, но вы должны описать порядок реагирования на основные их типы. Вот некоторые из них: сканирование портов, атаки типа «отказ в обслуживании», взлом компьютеров, взлом пароля учетной записи и несоответствующее использование информационных систем. Необходимо назначить одного сотрудника, отвечающего за взаимодействие с правоохранительными органами.
1.5. Возможные постановки задачи
1.5.1. Металлургическая компания
Задача: разработка политики информационной безопасности металлургической компании (далее – «компания»), см. рис. 1.17.
Основание: пункт «Разработка и реализация мероприятий по обеспечению информационной безопасности объектов информатизации компании» перечня мероприятий целевой программы компании «Информационная безопасность– 2005».
Сроки выполнения: начало работ по договору – после заключения договора по результатам конкурса. Окончание работ по договору – 1 декабря 2005 года.
Основные требования к составу работ. Разработка политики информационной безопасности объектов информатизации компании является первым этапом реализации мероприятия «Разработка и реализация мероприятий по обеспечению информационной безопасности объектов информатизации компании» раздела «Система обеспечения информационной безопасности компании».
...Рис. 1.17. Структура объекта информатизации металлургической компании
При разработке политики информационной безопасности объектов информатизации необходимо обеспечить:
• универсальность решений и полноту требований по информационной безопасности компании для мультипротокольных реализаций действующих информационных и коммуникационных систем объектов информатизации компании в соответствии с законодательными и нормативными актами Российской Федерации;
• формирование системы взглядов, требований и решений, обеспечивающих единство, интегрированность и совместимость реализации мероприятий раздела «Система обеспечения информационной безопасности компании» («Создание и развитие удостоверяющего центра, выдающего сертификаты ключей ЭЦП», «Разработка концепции программно-аппаратного комплекса мониторинга и защиты информационных ресурсов объектов информатизации компании от внешних и внутренних угроз информационной безопасности», «Создание и развитие защищенного центра резервного хранения данных информационных ресурсов компании»);
• формирование системы взглядов, требований и решений по информационной безопасности компании, необходимых для реализации проектов в области защиты информации.
При разработке политики информационной безопасности необходимо:
• разработать требования по обеспечению безопасности информационных ресурсов и систем компании;
• обследовать проекты, защищаемые объекты информатизации;
• разработать проект Технического задания на создание единой системы информационной безопасности компании;
• определить перечень первоочередных работ по защите программными и аппаратными способами информационных ресурсов и систем компании от несанкционированного доступа, искажения или потери;
• подготовить испытательный стенд для отработки типовых решений в области защиты информации;
• разработать технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности в рамках проектов планируемого года;
• подготовить и выпустить комплект необходимой документации, представить ее на экспертизу.
Решения, полученные в результате разработки политики информационной безопасности объектов информатизации компании, должны обеспечивать:
• возможность создания единой системы информационной безопасности компании;
• единство принципов и интеграцию технологических решений по защите информации компании при реализации проектов в области защиты информации.Требования к политике безопасности. Разработка политики информационной безопасности компании должна быть осуществлена с учетом:
• существующих общих проблем и тенденций обеспечения информационной безопасности информационно-коммуникационных технологий на основе мирового и отечественного опыта;
• законодательной и нормативной основы обеспечения информационной безопасности информационно-коммуникационных технологий;
• особенностей обеспечения информационной безопасности объектов информатизации компании.В результате разработки политики информационной безопасности компании должны быть рассмотрены:
• потенциальные угрозы информационным ресурсам и системам, возможные последствия их реализации;
• требования и методы противодействия угрозам информационной безопасности;
• технологии обеспечения информационной безопасности защищаемых ресурсов и систем;
• функциональные подсистемы и организационные процедуры обеспечения информационной безопасности ресурсов и систем объектов информатизации компании;
• органы и процедуры управления деятельностью по обеспечению информационной безопасности;
• вопросы мониторинга и анализа состояния дел в сфере информационной безопасности.В результате обследования должны быть оценены решения и разработаны типовые требования по обеспечению информационной безопасности компании.
Документирование проекта. Отчетная документация оформляется в соответствии с общими требованиями к текстовым документам по ГОСТ 2.105-79.
В процессе выполнения работ Исполнителем разрабатывается следующая документация:
• Политика информационной безопасности компании;
• Итоговый научно-технический отчет;
• Предложения по реализации Концепции информационной безопасности компании на период 2005–2007 годов (по результатам обследования);
• Проект Технического задания на создание комплексной системы информационной безопасности объектов информатизации компании;
• Требования по обеспечению информационной безопасности объектов информатизации компании;
• Технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности компании.Отчетные материалы оформляются на бумажном носителе формата А4 и магнитном носителе (CD-R) в двух экземплярах каждого вида и передаются Заказчику. Работы по объекту конкурса выполняются в один этап.
1.5.2. Коммерческий банк
Общее описание объекта информатизации (рис. 1.18):
1. Документы, заказываемые Исполнителю, а именно проект концепции и эскизный проект по обеспечению информационной безопасности, согласованные и принятые Заказчиком, разрабатываются в целях обеспечения информационной безопасности объекта информатизации, которым является АС коммерческого банка (далее – «компания»),
2. Компания действует на основании Устава и предоставляет физическим и юридическим лицам банковские услуги.
3. Организационная структура компании имеет три основных уровня: центральное отделение банка, расположенное в г. Санкт-Петербурге; резервный центр обработки данных в г. Москве; отделения банка (около 100), расположенные в городах и других населенных пунктах районного значения на всей территории РФ.
4. Общая численность персонала компании составляет около 5 тыс. сотрудников.
5. Основной объем информации, вводимой, получаемой, передаваемой и обрабатываемой в процессе работы компании, – банковские данные, но в их составе также передается и обрабатывается дополнительная служебная информация. Помимо традиционных угроз возможного незаконного использования банковской информации, таких, как получение несанкционированного доступа к передаваемым или обрабатываемым данным, искажение передаваемой информации, нарушение целостности передаваемых или обрабатываемых данных, возможны угрозы доступа к сведениям, составляющим государственную или служебную тайну.