logo search
Основи інформаційної безпеки / пос_бник_О_Б_МОН

Розробка політики безпеки

З практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації.

До верхнього рівняналежать рішення, що стосуються організації в цілому. Вони мають загальний характер і, як правило, виходять від керівництва організації. Список подібних рішень може складатися з таких елементів:

Для політики верхнього рівня цілі організації в галузі інформаційної безпеки формулюються у термінах цілісності, доступності і конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення кількості втрат, пошкоджень або спотворень даних. Для організації, що займається продажем комп’ютерної техніки, ймовірно, важлива актуальність інформації про послуги і ціни та її доступність максимальній кількості потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.

На верхній рівень виносять управління захисними ресурсами і координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки.

Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть всі комп’ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп’ютерів). Можлива, проте, і така ситуація, коли до сфери впливу включаються лише найважливіші системи.

У політиці ІБ повинні бути визначені обов’язки посадовців щодо створення програми безпеки і впровадження її в життя.

Політика верхнього рівня має справу з трьома аспектами законопокірності і виконавської дисципліни:

На верхній рівень слід виносити тільки ті питання, які забезпечують значну економію засобів, або без яких неможливо обійтися.

Британський стандарт BS 7799:1995 рекомендує включати до документа, що характеризує політику безпеки організації, такі розділи:

До середнього рівнявідносять питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань – ставлення до передових (але, можливо, недостатньо перевірених) технологій, доступ до Internet (як сумістити свободу доступу до інформації із захистом від зовнішніх загроз?), використання домашніх комп’ютерів, застосування користувачами неліцензійного програмного забезпечення і т.д.

Політика середнього рівня повинна для кожного аспекту висвітлювати такі теми.

Опис аспекту.Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як таке, що не було схвалене та/або куплене на рівні організації.

Область застосування. Слід визначити, де, коли, як, стосовно кого і чому застосовується дана політика безпеки. Наприклад, чи торкається політика, пов’язана з використанням неліцензійного програмного забезпечення, організацій-субпідрядників? Чи стосується вона співробітників, що користуються портативними і домашніми комп'ютерами і змушених переносити інформацію на виробничі машини?

Позиція організації за даним аспектом.Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони або розробки процедури приймання подібного програмного забезпечення. Позиція може бути сформульована і в набагато більш загальному вигляді, як набір цілей, до яких прагне організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їх перелік), в різних організаціях можуть значно відрізнятися.

Ролі і обов’язки.В "політичний" документ необхідно включити інформацію про посадовців, відповідальних за реалізацію політики безпеки. Наприклад, якщо для використання неофіційного програмного забезпечення співробітникам потрібен дозвіл керівництва, повинно бути відомо, у кого і як його можна одержати. Якщо неофіційне програмне забезпечення використовувати не можна, слід знати, хто стежить за виконанням даного правила.

Законослухняність.Політика повинна містити загальний опис заборонених дій і покарань за них.

Точки контакту.Повинно бути відомо, куди слід звертатися за роз'ясненнями, допомогою і додатковою інформацією. Звичайно “точкою контакту” служить певний посадовець, а не конкретна людина.

Політика безпеки нижнього рівнястосується конкретних інформаційних сервісів. Вона включає два аспекти – цілі і правила їх досягнення, тому її інколи важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, дана політика повинна бути визначена детальніше.Є багато речей, специфічних для окремих видів послуг, які не можна однаково регламентувати в рамках усієї організації. В той же час, ці речі настільки важливі для забезпечення режиму безпеки, що рішення, які їх стосуються, повинні ухвалюватися на управлінському, а не технічному рівні. Наведемо декілька прикладів питань, на які слід дати відповідь у політиці безпеки нижнього рівня.

При формулюванні цілей політики нижнього рівня можна виходити з міркування цілісності, доступності і конфіденційності, але не можна на цьому зупинятися. Її цілі повинні бути конкретнішими. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити і модифікувати інформацію. В більш загальному випадку цілі повинні зв’язувати між собою об'єкти сервісу і дії з ними.

З цілей виводяться правила безпеки, які описують, хто, що і за яких умов може робити. Чим докладніше правила, чим формальніше вони викладені, тим простіше підтримувати їх виконання програмно-технічними засобами. З іншого боку, дуже жорсткі правила можуть заважати роботі користувачів, тоді їх доведеться часто переглядати. Керівництво повинно знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не будуть надмірно зв’язані. Зазвичай найформальніше задаються права доступу до об'єктів, зважаючи на особливу важливість даного питання.