15.2.1. Основные понятия политик безопасности
Политика информационной безопасности компании – это формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе. При этом различают:
-
общую стратегическую политику безопасности компании, взаимоувязанную со стратегией развития бизнеса и информационно-технологической стратегией компании;
-
частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими информационно-технологическими системами и службами компании.
В соответствии с рекомендациями ведущих международных стандартов в области планирования информационной безопасности и управления ею политики безопасности должны содержать следующее:
-
предмет, основные цели и задачи политики безопасности;
-
условия применения политики безопасности и возможные ограничения;
-
описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности компании в целом;
-
права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;
-
порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.
Актуальность разработки политик безопасности для отечественных компаний и организаций объясняется необходимостью формирования основ планирования информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:
-
минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;
-
обеспечение безопасного, доверенного и адекватного управления предприятием;
-
планирование и поддержка непрерывности бизнеса;
-
повышение качества деятельности по обеспечению информационной безопасности;
-
снижение издержек и повышение эффективности инвестиций в информационную безопасность;
-
повышение уровня доверия к компании со стороны акционеров, партнеров, уполномоченных государственных органов и др.
Успешное выполнение перечисленных задач проблематично. Это связано с. возрастающей необходимостью повышения уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях.
При разработке политик безопасности важно иметь в виду:
-
для достижения разумного баланса между стоимостью и эффективностью разрабатываемых правил политик безопасности необходимо учитывать в равной мере нормативные, экономические, технологические, технические и организационно-управленческие аспекты планирования информационной безопасности и управления ею;
-
политики безопасности российских компаний не должны противоречить отечественной нормативной базе в области защиты информации в автоматизированных системах на территории РФ;
-
при создании политик безопасности желательно учесть текущие реформы действующей Государственной системы стандартизации;
-
при отражении в политиках безопасности нормативного аспекта рекомендуется следовать требованиям новой российской национальной системы стандартизации. Следование этим требованиям позволит устранить существующие технические барьеры для отечественных компаний в торговле и обеспечения конкурентоспособности продукции;
-
использование в политиках безопасности современных подходов и принципов обеспечения информационной безопасности, основанных на лучшем мировом и отечественном опыте. Это позволит выработать концептуальную схему обеспечения информационной безопасности, а также требуемые модели постановки проблем в области управления информационной безопасностью и предложить разумно достаточные решения этих проблем;
-
при отражении в разрабатываемых политиках безопасности отечественных компаний экономического подхода к планированию информационной безопасности и управлению ею на основе концепции управления рисками рекомендуется обратить внимание на методы прикладного информационного анализа; расчета потребительского индекса; расчета добавленной экономической стоимости; определения исходной экономической стоимости; управления портфелем активов; оценки действительных возможностей; поддержки жизненного цикла искусственных систем; расчета системы сбалансированных показателей; расчета совокупной стоимости владения; функционально-стоимостного анализа;
-
при разработке детальных технических политик безопасности следует определить техническую архитектуру корпоративных систем защиты конфиденциальной информации компаний, в частности: определить цели создания технической архитектуры корпоративной системы защиты информации; разработать эффективную систему обеспечения информационной безопасности на основе управления информационными рисками; рассчитать совокупности детализированных показателей для оценки соответствия информационной безопасности заявленным целям; выбрать требуемый инструментарий обеспечения информационной безопасности и оценки ее текущего состояния; реализовать требуемые методики мониторинга и управления информационной безопасностью;
-
политики безопасности должны представлять собой законченные нормативные документы, содержащие единые нормы и требования по обеспечению информационной безопасности, обязательные для утверждения и применения соответствующими органами управления, руководством служб безопасности, руководством служб информационно-технологического обеспечения отечественных компаний.
Современный рынок средств защиты информации можно условно разделить на две группы:
-
средства защиты для государственных структур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов(государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ;
-
средства защиты для коммерческих компаний и структур, позволяющие выполнить требования и рекомендации федеральных законов, указов Президента РФ, постановлений Правительства РФ и некоторых международных стандартов.
Например, к защите конфиденциальной информации в органах исполнительной власти могут предъявляться следующие требования.
-
Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия структуры внутренней сети, а также проведение анализа защищенности интернет-узла, использование средств антивирусной защиты и централизованное управление, должны производиться на основании действующих рекомендаций Гостехкомиссии РФ.
-
Автоматизированные системы организации должны обеспечивать защиту информации от несанкционированного доступа в соответствии с действующим руководящим документом Гостехкомиссии РФ.
-
Средства вычислительной техники, программные средства автоматизированных систем должны удовлетворять требованиям действующего руководящего документа Гостехкомиссии РФ.
-
Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям действующего руководящего документа Гостехкомиссии РФ.
-
Информационные системы должны удовлетворять требованиям действующего ГОСТ по защищенности информационных систем в рамках заданных профилей защиты.
-
Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей - Virtual Private Network (VPN), должны быть легитимны (т.е. соответствовать действующему законодательству).
-
Обязательным является использование средств электронно-цифровой подписи (ЭЦП) для подтверждения подлинности документов.
-
Для использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей, средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).
-
Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и информационных систем требований информационной безопасности.
-
Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.
Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах принято использовать сертифицированные средства, например, средства защиты от несанкционированного доступа, межсетевые экраны и пр.
Средства защиты информации для коммерческих структур более многообразны и включают в себя средства:
-
управления обновлениями программных компонент;
-
межсетевого экранирования;
-
построения VPN;
-
контроля доступа;
-
обнаружения вторжений и аномалий;
-
резервного копирования и архивирования;
-
централизованного управления безопасностью;
-
контроля деятельности сотрудников в сети Интернет;
-
анализа содержимого почтовых сообщений;
-
анализа защищенности информационных систем;
-
защиты от спама;
-
защиты от атак класса «отказ в обслуживании»;
-
контроля целостности;
-
инфраструктуры открытых ключей и пр.
Можно привести следующую краткую характеристику основных средств защиты информации.
1. Средства управления обновлениями.
Внедрение средств управления обновлениями программных компонент автоматизированных систем, например Microsoft Software Update Services, позволяет уменьшить объем интернет-трафика предприятия в целом, так как становится возможным организовать и контролировать необходимые обновления программных компонент автоматизированных систем предприятия с одной точки – выделенного внутреннего сервера. При этом предприятие получает следующие преимущества:
-
уменьшаются расходы по оплате трафика;
-
увеличивается надежность функционирования программных компонент;
-
уменьшается время на техническую поддержку и сопровождение программных компонент;
-
повышается защищенность автоматизированной системы в целом, в частности уменьшается количество инцидентов, связанных с вирусами.
2. Средства межсетевого экранирования.
Межсетевые экраны используются как средства защиты от несанкционированного доступа периметра сети и основных критичных компонент автоматизированных систем. Межсетевые экраны позволяют организовать защиту на уровне доступа к компонентам и сети в целом, на сетевом уровне (контроль IP-адресов), на транспортном уровне и на прикладном уровне.
3. Средства построения VPN.
Средства построения виртуальных частных сетей (VPN) используются для организации защиты трафика данных, передаваемых по открытым каналам связи. При этом защита организуется на физическом уровне (защита кабелей, экранизация наводок), на сетевом уровне (например, шифрование трафика от компьютера до компьютера на основе протокола IPsec), на транспортном уровне (например, шифрование данных, передаваемых одним приложением другому приложению на другом компьютере, на основе протокола SSL) на прикладном уровне (например, шифрование данных самостоятельно приложением).
4. Средства контроля доступа.
Данные средства осуществляют аутентификацию (точное опознание) подключающихся к автоматизированным системам (АС) пользователей и процессов, авторизацию (наделение определенными полномочиями) пользователей и процессов, регламентируя доступ множества пользователей к приложениям и информационным ресурсам предприятия.
5. Средства обнаружения вторжений и аномалий.
Средства обнаружения вторжений (Intrusion Detection Systems, IDS) позволяют с помощью некоторого регламента проверок контролировать состояние безопасности корпоративной сети в реальном масштабе времени. Это программные или аппаратные средства, предназначенные для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.
6. Средства резервного копирования и архивирования.
Средства резервного копирования и архивирования применяются для обеспечения целостности хранилищ в случаях аппаратных и программных сбоев, ошибочных действий администраторов и пользователей, а также отказов средств вычислительной техники.
7. Средства централизованного управления безопасностью.
Средства централизованного управления информационной безопасностью позволяют эффективно создавать, проверять и поддерживать технические политики безопасности программных компонент автоматизированной системы.
8. Средства предотвращения вторжений на уровне серверов.
Так как серверы компании обычно являются основной целью атак злоумышленников (на них обрабатывается основная часть конфиденциальной информации компании), то необходимо использовать средства предотвращения вторжений на уровне серверов.
9. Средства мониторинга безопасности.
Большое количество средств обеспечения информационной безопасности (межсетевые экраны, системы обнаружения вторжений, маршрутизаторы, средства создания виртуальных частных сетей, журналы безопасности серверов, системы аутентификации, средства антивирусной защиты и т.д.) генерирует огромное количество сообщений. Для успешного мониторинга и управления этими средствами рекомендуется использовать соответствующие средства аудита безопасности.
10. Средства контроля деятельности сотрудников в Интернете.
В настоящее время одной из серьезных проблем в работе отечественных служб безопасности является предотвращение попыток использования интернет-ресурсов компании в личных целях (загрузка видео, аудио, картинок, нелицензированного программного обеспечения). Нецелевое использование Интернета приводит к потере продуктивности сотрудников компании приблизительно на 30-40%.
Для предупрежден6ия подобных действий рекомендуется применять соответствующие средства, например Websense, которые позволяют анализировать и формировать отчеты по использованию сотрудниками компании ресурсов Интернета и программного обеспечения на рабочих местах, а также проводить анализ сетевой активности и пропускной способности сети компании в целом.
11. Средства анализа содержимого почтовых сообщений.
Средства анализа содержимого почтовых сообщений предназначены для обнаружения и предотвращения передачи конфиденциальной информации с помощью корпоративной электронной почты.
12. Средства анализа защищенности.
Анализ защищенности АС является одним из ключевых аспектов построения надежной системы обеспечения информационной безопасности предприятия и основан на применении сканеров безопасности.
Основной особенностью наиболее продаваемых и используемых коммерческих сканеров является возможность как минимум еженедельно обновлять базы данных уязвимостей путем взаимодействия с крупнейшими центрами по сбору новых уязвимостей и с ведущими производителями сетевого оборудования и программного обеспечения.
13. Средства защиты от спама.
Спам наносит предприятию значительный ущерб. Приходится тратить время на просмотр и удаление таких сообщений. Спам также содержит вирусы, программы-шпионы и пр. Для предотвращения получения сотрудниками сообщений, содержащих спам, можно воспользоваться одним из продуктов следующих фирм: Symantec (использует технологию фирмы Brightmail), Trend Micro (использует технологию фирмы Postini) или «Лаборатории Касперского».
14. Средства защиты от атак класса «отказ в обслуживании».
В связи с тем, что атаки класса «отказ в обслуживании» приносят значительные убытки отечественным и западным компаниям, можно воспользоваться специальными средствами защиты, например продуктами компании Cisco Systems.
15. Средства контроля целостности.
Внесение некорректного изменения в конфигурацию сервера или маршрутизатора может привести к выходу из строя необходимого сервиса или целой сети. Очень важно предупредить и отследить несанкционированные изменения. Для быстрого реагирования на такую ситуацию нужно иметь средство отслеживания всех производимых изменений. Данную возможность предоставляет, например, серия продуктов компании Tripwire.
16. Средства инфраструктуры открытых ключей.
Внедрение инфраструктуры открытых ключей очень трудоемкая задача, требующая тщательной проработки и анализа. При решении этой задачи можно воспользоваться продуктами компании RSA Security (Keon) и отечественной компании «КриптоПро» («Криптопровайдер»).
- Теоретические разделы курса “информатика”
- Введение
- Раздел 1. Базовые понятия курса “информатика” Глава 1. Введение в экономическую информатику
- Информационные процессы в экономике. Основные понятия информатики и информатизации
- Информация и данные
- Экономическая информация и ее свойства
- Классификация экономической информации
- Структура экономической информации
- Оценка экономической информации
- Вопросы для самоконтроля
- Контрольные тесты
- Глава 2. Программные средства реализации информационных процессов
- 2.1. Назначение и классификация программного обеспечения
- 2.2.1. Базовое программное обеспечение
- 2.2.2. Классификация операционных систем
- 2.2.3. Сервисное программное обеспечение
- 2.3. Инструментарий технологии программирования
- 2.4. Состав и назначение прикладного программного обеспечения
- 2.4.2. Методо-ориентированные пакеты прикладных программ
- 2.4.3. Пакеты прикладных программ общего назначения
- Вопросы для самоконтроля
- Контрольные тесты
- Глава 3. Технические средства реализации информационных процессов
- 3.1. Техническая основа реализации информационных процессов
- Эволюция компьютерных информационных технологий
- Арифметико-логическое устройство
- Устройство управления и интерфейс
- Процессорная память
- 3.2. Поколения электронных вычислительных машин
- 3.3. Классификация технических средств обработки информации
- 3.4. Персональные компьютеры
- 3.5. Структурная схема персонального компьютера
- Системная шина
- Контроллеры Системная плата
- 3.6. Принципы функционирования персонального компьютера
- Установка адреса начальной команды
- 3.7. Основные архитектурные схемы вычислительных систем
- Память команд
- Память команд
- Память команд
- Память данных
- Память команд
- 3.8. Режимы работы компьютеров
- 3.9. Информация в технических устройствах
- Единицы измерения памяти
- Вопросы для самоконтроля
- Контрольные тесты
- Глав 4. Способы представления информации в компьютерах
- 4.1. Системы счисления
- 4.1.1. Позиционные системы счисления
- Системы счисления
- 4.1.2. Перевод чисел из одной системы счисления в другую
- 4.1.3. Двоичная, восьмеричная и шестнадцатеричная системы счисления
- Представление чисел в двоичной, восьмеричной и шестнадцатеричной системах счисления
- 4.1.4. Выполнение арифметических операций в двоичной, восьмеричной и шестнадцатеричной системах счисления
- Сложение в двоичной системе
- Сложение в восьмеричной системе
- Сложение в шестнадцатеричной системе
- 4.2. Представление числовой информации. Прямой, обратный и дополнительный коды числа
- Диапазон значений целых чисел без знака
- Диапазон значений целых чисел со знаком
- 4.3. Представление символьной информации
- 4.4. Представление графической информации
- Вопросы для самоконтроля
- Контрольные тесты
- Глава 5. Логические основы построения персональных компьютеров
- 5.1. Аппарат алгебры логики
- Базовые логические операции
- 5.2. Основные аксиомы и законы алгебры логики
- 5.3. Логические элементы персональных компьютеров
- 5.4. Логические устройства с памятью
- Вопросы для самоконтроля
- Контрольные тесты
- Раздел 2. Основы алгоритмизации и программирования
- Глава 6. Понятие алгоритма и его основные формы
- 6.1. Алгоритм и его свойства
- 6.2. Формы представления алгоритма
- 1. Начало
- 8. Конец
- 6.3. Базовые алгоритмические структуры
- 6.3.2. Ветвящаяся (разветвлённая) структура
- Опер-р 1
- Опер-р 2
- Опер-р 20
- I нач.Знач.
- 6.4. Этапы развития программирования
- Глава 7. Объектно-ориентированное программирование в среде vba (Visual Basic for Application).
- 7.1. Что такое vba?
- 7.2. Основные понятия и элементы языка vba: объекты, свойства, методы, события, классы объектов
- 1. Объекты
- 3. Классы объектов
- Суперкласс
- Глава 8. Макросы в приложениях ms Office
- 8.1. Понятие макроса
- 8.2. Процесс создания макроса
- 8.3. Запуск макроса на исполнение
- АкБарсБанк
- 8.4. Код (текст) программы макроса и пояснения к нему
- 8.5. Корректировка макросов
- 8.6. Сохранение макросов в виде модулей
- Глава 9. Создание и выполнение vba – программ
- 9.1. Понятие об общем цикле создания vba – программы
- 9.2. Общие принципы построения vba-программы
- 9.3. Написание новых макросов и процедур
- 9.4. Выполнение vba-программы
- 9.5. Обработка ошибок
- Глава 10. Основные элементы языка программирования vba
- 10.1 Типы данных в vba.
- 10.2. Переменные vba.
- 10.3. Объявление переменных
- 10.4. Область действия переменной
- 10.5. Присвоение значения переменной
- 10.6. Константы
- 10.7. Массивы
- 10.7.1. Одномерные массивы
- 10.7.2. Многомерные массивы
- 10.8. Статические и динамические массивы
- 10.9. Структура текста программы и комментарии
- Глава 11. Примеры реализации различных макросов и фрагментов программ
- 11.1. Варианты реализации макросов
- 11.1.1. Порядок создания макросов в Excel
- 11.1.2. Задания на создание макросов в Excel
- 11.2. Варианты реализации разветвляющихся алгоритмов
- 11.3. Варианты реализации циклических алгоритмов
- 11.4. Вариант реализации смешанного алгоритма
- Раздел 3. Основы информационной безопасности
- Глава 12. Введение в информационную безопасность
- 12.1. Понятие информационной безопасности
- 12.2. Угрозы безопасности информации
- 12.3. Объекты и элементы защиты информации в компьютерных системах обработки данных
- Глава 13. Методы и средства защиты информации
- 13.1. Механизмы, методы и средства защиты информации
- 13.2. Средства опознания и разграничения доступа к информации
- 13.3. Криптографические методы защиты информации
- 13.3.1. Основные понятия криптографии
- 13.3.2. Криптографические ключи и методы защитных преобразований
- 13.3.3. Криптографические системы
- 13.4. Электронная цифровая подпись
- Глава 14. Компьютерные вирусы и спам
- 14.1. Понятие вредоносных программ
- 14.2. Понятие компьютерного вируса
- 14.3. Классификация компьютерных вирусов
- 14.4. Программы борьбы с компьютерными вирусами
- 14.5. Меры и средства защиты от компьютерных вирусов
- 14.6. Защита от спама
- Глава 15. Защита информации в корпоративных системах
- 15.1. Цели и задачи корпоративной системы информационной безопасности
- 15.2. Политики информационной безопасности
- 15.2.1. Основные понятия политик безопасности
- 15.2.2. Основные причины создания политик безопасности
- 15.2.3. Разработка политик безопасности
- 15.2.4. Пример постановки задачи разработки политики информационной безопасности предприятия
- 15.2.5. Особенности разработки политик безопасности в России
- 15.3. Аудит безопасности корпоративных систем Интенет/Интранет
- 15.3.1. Понятие аудита безопасности
- 15.3.2. Аудит безопасности для корпоративных пользователей
- 15.3.3. Возможности аудита безопасности
- 15.3.4. Практические шаги аудита безопасности
- 15.4. Проектирование системы обеспечения информационной безопасности предприятия
- Список литературы
- Содержание