Политика безопасности

С практической точки зрения политику безопасности целесообраз­но рассматривать на трех уровнях детализации. К верхнему уровню мож­но отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организа­ции. Примерный список подобных решений может включать в себя сле­дующие элементы:

• решение сформировать или пересмотреть комплексную про­грамму обеспечения информационной безопасности, назначе­ние ответственных за продвижение программы;

• формулировку целей, которые преследует организация в облас­ти информационной безопасности, определение общих на­правлений в достижении этих целей;

• обеспечение базы для соблюдения законов и правил;

• формулировку административных решений по тем вопросам реализации программы безопасности, которые должны рассма­триваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области инфор­мационной безопасности формулируются в терминах целостности, дос­тупности и конфиденциальности. Если организация отвечает за поддер­жание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для ор­ганизации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руко­водство режимного предприятия, в первую очередь, заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими ре­жим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты ис­пользования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наи­более важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопо­слушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контро­лировать действия лиц, ответственных за выработку программы безо­пасности. Наконец, необходимо обеспечить определенную степень ис­полнительности персонала, а для этого нужно выработать систему по­ощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум во­просов. Подобное вынесение целесообразно, когда оно сулит значитель­ную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

• вводный, подтверждающий озабоченность высшего руководст­ва проблемами информационной безопасности;

• организационный, содержащий описание подразделений, ко­миссий, групп и т.д., отвечающих за работы в области информа­ционной безопасности;

• классификационный, описывающий имеющиеся в организа­ции материальные и информационные ресурсы и необходимый уровень их защиты;

• штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информаци­онной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безо­пасности и т.п.);

• раздел, освещающий вопросы физической защиты;

• управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

• раздел, описывающий правила разграничения доступа к произ­водственной информации;

• раздел, характеризующий порядок разработки и сопровожде­ния систем;

• раздел, описывающий меры, направленные на обеспечение не­прерывной работы организации;

• юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных экс­плуатируемых организацией систем. Примеры таких вопросов — отноше­ние к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользо­вателями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уров­не организации.

Область применения. Следует определить, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности. Напри­мер, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними ком­пьютерами и вынужденных переносить информацию на производствен­ные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить се­бе позиции полного запрета, выработки процедуры приемки подоб­ного ПО и т.п. Позиция может быть сформулирована и в гораздо бо­лее общем виде как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо вклю­чить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофици­ального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Ес­ли неофициальное программное обеспечение использовать нельзя, сле­дует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкрет­ный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней рассматриваемая поли­тика должна быть определена более подробно. Есть много вещей, специ­фичных для отдельных видов услуг, которые нельзя единым образом рег­ламентировать в рамках всей организации. В то же время эти вещи на­столько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техничес­ком уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

• кто имеет право доступа к объектам, поддерживаемым серви­сом?

• при каких условиях можно читать и модифицировать данные?

• как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исхо­дить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкрет­ными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгал­терии позволялось вводить и модифицировать информацию. В более об­щем случае цели должны связывать между собой объекты сервиса и дей­ствия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более фор­мально они изложены, тем проще поддержать их выполнение программ­но-техническими средствами. С другой стороны, слишком жесткие пра­вила могут мешать работе пользователей, вероятно, их придется часто пе­ресматривать. Руководству предстоит найти разумный компромисс, ког­да за приемлемую цену будет обеспечен приемлемый уровень безопасно­сти, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.