Для чего нужна политика безопасности
Важность и значение политики безопасности
«Финансовая газета. Региональный выпуск», 2010, N 25
Стандарты, в том числе и российский ГОСТ 17799-2005, настоятельно рекомендуют начинать формирование правил управления ИБ с документа, в котором отражена четкая позиция высшего руководства в решении вопросов защиты данных. Этот документ должен носить понятийный характер, он должен быть донесен до всех сотрудников и именно на него должны опираться все службы, участвующие в обеспечении информационной безопасности организации.
Выбор методики
Формировать политику безопасности можно как силами собственных служб организации, так и привлекая внешних экспертов, но и в том и в другом случае рекомендуется опираться на проверенные методики. Одним из лучших примеров таких методик является Стандарт 27002 Международной организации по стандартизации и Международной электротехнической комиссии. Стандарт ISO/IEC 27002 содержит практические советы по управлению ИБ. Несомненным достоинством данного Стандарта является то, что каждый квалифицированный специалист в области ИБ должен быть по меньшей мере с ним знаком. Это облегчает взаимодействие между собственными службами и приглашенными экспертами, а в случае внешней проверки на соответствие корпоративным или отраслевым стандартам существенно ее упростит. Именно этого Стандарта ISO/IEC 27002 придерживаются авторы статьи, предлагая рекомендации по созданию политики безопасности.
Определение, принципы, сфера действия
Также в первой части политики важно подчеркнуть значимость обеспечения безопасности для достижения бизнес-целей компании. Стоит отметить, что информационные ресурсы обеспечивают эффективность документооборота, эффективное взаимодействие с клиентами, возможность централизованного управления и т.п., а поднятый на высокий уровень менеджмент ИБ позволит стать конфидентом для своих контрагентов, что для некоторых видов деятельности может являться существенным конкурентным преимуществом.
Цели информационной безопасности
Цели ИБ для различных организаций могут существенно отличаться, однако цель соблюдать законы Российской Федерации должна присутствовать в каждой политике безопасности. Если организация работает с банковской, государственной тайной, обрабатывает персональные данные и т.п., для нее существуют четкие требования, которым нужно соответствовать. Для ведения некоторых видов деятельности, обычно подлежащих лицензированию, существуют отраслевые нормы в области ИБ. Их существование для конкретной организации также нужно учесть, а необходимость их выполнения следует отразить в перечне целей. Цель соответствовать каким-либо публичным стандартам по безопасности может быть обоснована практикой заключения договоров со ссылкой на соответствующий раздел о конфиденциальности. Перечисленные цели можно назвать привнесенными, их влияние на построение системы безопасности трудно преувеличить.
Вместе с тем руководство большинства организаций самостоятельно осознает необходимость стремиться к минимизации вероятного ущерба при нарушениях ИБ или, в терминологии специалистов по безопасности, к снижению рисков реализации угроз. Для многих организаций наибольший ущерб может быть понесен в результате простоя информационной системы или необратимой потери данных. В этом случае стоит отметить как приоритетную цель обеспечение непрерывности бизнеса. Если же во главу угла ставится сохранение конфиденциальности данных, это также следует отметить, не забыв определить приемлемые границы влияния обеспечения безопасности на эффективность деятельности в целом. Если, например, существенными являются не только факт наличия доступа, но и скорость обмена данными, то выполнение этого требования также стоит выделить как цель, являющуюся ключевой.
Принципы информационной безопасности
Необходимым принципом построения системы безопасности является принцип законности. Все организационные мероприятия должны соответствовать российскому законодательству. Отметим, что использование некоторых средств защиты информации регулируется на уровне федеральных служб, например средства криптографической защиты, некоторые средства защиты от прослушивания, системы записи телефонных переговоров.
Принцип специализации подразумевает возможность привлекать для проектирования и внедрения специальных программных и технических средств защиты сторонних специалистов, имеющих высокую квалификацию, или организации, имеющие практический опыт и лицензию на соответствующий вид деятельности.
Принцип своевременности подразумевает упреждающий характер мероприятий по обеспечению безопасности. Не ожидать нарушений, выявляющих уязвимости, а прогнозировать появление угроз на этапе проектирования информационной системы организации и осуществлять модернизацию средств защиты при внесении изменений в ИТ-инфраструктуру.
При необходимости в общей политике безопасности можно декларировать следование таким принципам, как осведомленность сотрудников в вопросах защиты данных, реагирование на инциденты, документирование требований ИБ, персональная ответственность, ограничение полномочий, обязательность контроля.
Наиболее существенные частные политики
Документы, в которых содержатся детальные разъяснения положений общей политики безопасности, называют частными политиками безопасности. В общей политике следует указать, какие из них являются наиболее существенными, и кратко их изложить. Опишем некоторые из них.
Для каждой организации существенной и обязательной является политика классификации информации. В этой политике должны быть определены:
классы защищенности информации, например публичная, служебная, конфиденциальная, секретная;
взаимосвязь требований между собой, например, требования старшего класса наследуют все требования младшего или как может изменяться класс в зависимости от времени.
На основании этой политики классификации должен быть сформирован акт классификации информационных объектов, обрабатываемых в системе предприятия.
В перечне важнейших частных политик отметим также политику соответствия законодательным требованиям, политику определения ответственности за нарушения безопасности, правила пересмотра оценки рисков.
Возвращаясь к составу общей политики безопасности, укажем необходимость наличия разделов «конкретные обязанности сотрудников» и «дополняющие документы». В раздел обязанностей следует включить требования к формированию должностных обязанностей с учетом требований политики безопасности, а раздел «дополняющие документы» должен состоять из полного списка частных политик безопасности и правил, которые должны соблюдать сотрудники. Это могут быть регламенты по обеспечению антивирусной защиты, описание средств и требования к системам авторизации, требования по контролю целостности, формы журналов учета носителей и т.п.
Как видим, общая политика безопасности требует четкого бизнес-подхода, ставит своей целью достижение понимания высшим руководством, а впоследствии и рядовыми сотрудниками важности вопросов ИБ и является опорным документом для специалистов и служб, ее обеспечивающих.
Политика безопасности. Краткий обзор защитных политик. (часть первая)
Вступление
Много людей рассматривают политику, как вкусный, но необязательный десерт, который может быть по желанию добавлен к основным блюдам – межсетевым защитам, вирусным сканерам и VPN, слегка сдобренным IDS. Это неправильно. В этой статье я попытаюсь объяснить, почему, на мой взгляд, именно политика должна служить основой всесторонней стратегии информационной безопасности, и как политика может быть эффективной, практической частью ваших цифровых защитных систем.
В терминах же компьютерной безопасности политику можно определить как изданный документ (или свод документов), в котором рассмотрены вопросы философии, организации, стратегии, методов в отношении конфиденциальности, целостности и пригодности информации и информационных систем.
Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.
Эти цели характерны для любой системы безопасности.
Теперь обсудим механизмы, через которые эти цели могут быть достигнуты, а именно:
Философия
Стратегия
Стратегия – это план или проект в философии безопасности. Детализация этого плана показывает, как организация намеревается достигнуть целей, поставленных (явно или неявно) в пределах структуры философии.
Правила
Правила – они и в Африке правила. Они объясняют, что нам следует делать, а чего не следует делать никогда в нашей политике информационной безопасности.
Методы
Преимущества политики: какую выгоду предлагает политика?
В предыдущем разделе мы кратко рассмотрели, что такое политика, и более подробно, что такое политика информационной безопасности. Но даже из этого краткого описания уже должно быть ясно, что, когда мы имеем в виду политику, мы подразумеваем серьезный бизнес. В сфере информационных технологий это обычно означает необходимость серьезных инвестиции – денежных, временных, человеческих ресурсов. В этой области невозможно скупиться на затраты, если мы планируем их возместить, эффективная политика никогда не бывает быстрой для установки. Здесь возникает вопрос, который для себя решают все, кто решил создать качественную политику информационной защиты: «Что она даст такого, чего бы не было у меня, ну скажем для примера, в Snort 1.7 для Bastion Linux?»
Босс может сам контролировать это
Обеспечение подтверждения должного усердия в вопросе безопасности
Иллюстрация обязательств по организации безопасности
Поскольку политика, как правило, публикуется, она может служить дополнительным доводом для потенциальных клиентов / инвесторов, специалисты другой компании могут сами оценить уровень компетентности ваших специалистов. Все большее число крупных российских, а тем более, иностранных, компаний требуют доказательства обеспечения достаточного уровня надежности и безопасности, в том числе и информационной, своих инвестиций и ресурсов. Без наличия в вашей организации профессиональной политики безопасности с вами в большинстве случаев просто не будут иметь никаких контактов.
Практические выгоды от политики безопасности
Кто-то может возразить, что приведенные выше параметры обеспечивают скорее маркетинговые и организационные преимущества. Хорошо, специально для них ниже рассмотрим практические выгоды.
Она формируют эталонный тест измерения прогресса в вопросах безопасности
Она помогает гарантировать усердие и последовательность во всех филиалах
Самая большая проблема, с которой сталкиваются руководители службы информационной безопасности крупных корпораций – не новые типы вирусов, не неизвестные эксплоиты и даже не программы взлома и перехвата паролей. Нет, со всем этим можно бороться. Труднее всего гарантировать, что системный администратор в отдаленном филиале фирмы где-нибудь в Крыжополе вовремя появится на своем рабочем месте и установит свежие заплаты, допустим к IIS, а не пойдет на пляж или не засидится дома за телевизором во время матча чемпионата мира по футболу. А ведь от этого может зависеть не только безопасность офиса в Крыжополе, но и безопасность всей корпорации в целом. Хорошо осуществленная политика помогает гарантировать выполнение инструкций, путем создания единой директивы и ясного назначения обязанностей и, что одинаково важно, описания ответственности за последствия неудачи и неисполнение обязанностей.
Она служит гидом для информационной безопасности
Хорошо разработанная политика может стать Библией администратора. Печально, но далеко не каждый сотрудник, чей компьютер подключен в вашу корпоративную сеть, понимает угрозу TCP sequence number guessing атаки на OpenBSD. К счастью, ваша политика безопасности IP сети будет гарантировать, что машины всегда установлены в той части сети, которая предлагает уровень безопасности, соответствующей роли машины и предоставляемой информации.
Корпоративная политика безопасности
Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.
Содержание
Для чего нужна политика безопасности
Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.
При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.
Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL Information Technology Infrastructure Library и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.
Что должно содержаться в корпоративной политике безопасности
Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.
В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.
Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.
Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.
Контроль соблюдения политики безопасности
Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.
Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.
Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.
Политики информационной безопасности
Грамотная конфигурация и основные требования,
политики DLP-системы
П олитикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.
За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными. Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.
Для чего нужна формализация защиты информации
Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.
Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.
Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.
Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.
В DLP-системах политика безопасности – алгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «СёрчИнформ КИБ» разработано 250+ готовых политик безопасности, которые предназначены компаниям из разных сфер.
Несостоявшиеся политики
Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.
Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.
Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.
К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.
Разработка эффективной системы информационной безопасности
Для создания эффективной системы информационной безопасности должны быть разработаны:
Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.
Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.
Структура концепции защиты
Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.
Основными разделами концепции безопасности являются:
Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.
Перечень основных требований к документации по безопасности
Политику безопасности надо формулировать с учетом двух основных аспектов:
Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:
Организация и внедрение ИБ
После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:
Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы, компании, у которых нет выделенной ИБ-службы, могут воспользоваться аутсорсингом информационной безопасности.
Лица, пытающиеся получить несанкционированный доступ к информации
В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.
Потенциальные внешние нарушители:
Потенциальные внутренние нарушители:
Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.
При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.