Розробка політики безпеки
З практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації.
До верхнього рівняналежать рішення, що стосуються організації в цілому. Вони мають загальний характер і, як правило, виходять від керівництва організації. Список подібних рішень може складатися з таких елементів:
рішення про формування або перегляд комплексної програми забезпечення інформаційної безпеки, призначення відповідальних за реалізацію програми;
формулювання цілей, до яких прагне організація у галузі інформаційної безпеки, визначення загальних напрямків досягнення цих цілей;
забезпечення бази для дотримання законів і правил;
формулювання адміністративних рішень з тих питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня цілі організації в галузі інформаційної безпеки формулюються у термінах цілісності, доступності і конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення кількості втрат, пошкоджень або спотворень даних. Для організації, що займається продажем комп’ютерної техніки, ймовірно, важлива актуальність інформації про послуги і ціни та її доступність максимальній кількості потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виносять управління захисними ресурсами і координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки.
Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть всі комп’ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп’ютерів). Можлива, проте, і така ситуація, коли до сфери впливу включаються лише найважливіші системи.
У політиці ІБ повинні бути визначені обов’язки посадовців щодо створення програми безпеки і впровадження її в життя.
Політика верхнього рівня має справу з трьома аспектами законопокірності і виконавської дисципліни:
організація повинна дотримуватися існуючих законів;
слід контролювати дії осіб, відповідальних за створення програми безпеки;
необхідно забезпечити певний ступінь старанності персоналу, а для цього потрібно створити систему заохочень і покарань.
На верхній рівень слід виносити тільки ті питання, які забезпечують значну економію засобів, або без яких неможливо обійтися.
Британський стандарт BS 7799:1995 рекомендує включати до документа, що характеризує політику безпеки організації, такі розділи:
вступний, який підтверджує заклопотаність вищого керівництва проблемами інформаційної безпеки;
організаційний, що містить опис підрозділів, комісій, груп і т.д., які відповідають за роботи у галузі інформаційної безпеки;
класифікаційний, що описує наявні в організації матеріальні та інформаційні ресурси і необхідний рівень їх захисту;
штатний, що характеризує заходи безпеки, вживані до персоналу (опис посад з погляду інформаційної безпеки, організація навчання і перепідготовки персоналу, порядок реагування на порушення режиму безпеки і т.п.);
розділ, який висвітлює питання фізичного захисту;
розділ, який описує підхід до управління комп’ютерами і комп’ютерними мережами;
розділ, що описує правила розмежування доступу до виробничої інформації;
розділ, що характеризує порядок розробки і супроводу систем;
розділ, що описує заходи, спрямовані на забезпечення безперервної роботи організації;
юридичний розділ, який підтверджує відповідність політики безпеки чинному законодавству.
До середнього рівнявідносять питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань – ставлення до передових (але, можливо, недостатньо перевірених) технологій, доступ до Internet (як сумістити свободу доступу до інформації із захистом від зовнішніх загроз?), використання домашніх комп’ютерів, застосування користувачами неліцензійного програмного забезпечення і т.д.
Політика середнього рівня повинна для кожного аспекту висвітлювати такі теми.
Опис аспекту.Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як таке, що не було схвалене та/або куплене на рівні організації.
Область застосування. Слід визначити, де, коли, як, стосовно кого і чому застосовується дана політика безпеки. Наприклад, чи торкається політика, пов’язана з використанням неліцензійного програмного забезпечення, організацій-субпідрядників? Чи стосується вона співробітників, що користуються портативними і домашніми комп'ютерами і змушених переносити інформацію на виробничі машини?
Позиція організації за даним аспектом.Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони або розробки процедури приймання подібного програмного забезпечення. Позиція може бути сформульована і в набагато більш загальному вигляді, як набір цілей, до яких прагне організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їх перелік), в різних організаціях можуть значно відрізнятися.
Ролі і обов’язки.В "політичний" документ необхідно включити інформацію про посадовців, відповідальних за реалізацію політики безпеки. Наприклад, якщо для використання неофіційного програмного забезпечення співробітникам потрібен дозвіл керівництва, повинно бути відомо, у кого і як його можна одержати. Якщо неофіційне програмне забезпечення використовувати не можна, слід знати, хто стежить за виконанням даного правила.
Законослухняність.Політика повинна містити загальний опис заборонених дій і покарань за них.
Точки контакту.Повинно бути відомо, куди слід звертатися за роз'ясненнями, допомогою і додатковою інформацією. Звичайно “точкою контакту” служить певний посадовець, а не конкретна людина.
Політика безпеки нижнього рівнястосується конкретних інформаційних сервісів. Вона включає два аспекти – цілі і правила їх досягнення, тому її інколи важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, дана політика повинна бути визначена детальніше.Є багато речей, специфічних для окремих видів послуг, які не можна однаково регламентувати в рамках усієї організації. В той же час, ці речі настільки важливі для забезпечення режиму безпеки, що рішення, які їх стосуються, повинні ухвалюватися на управлінському, а не технічному рівні. Наведемо декілька прикладів питань, на які слід дати відповідь у політиці безпеки нижнього рівня.
Хто має право доступу до об'єктів, підтримуваних сервісом?
За яких умов можна читати і модифікувати дані?
Яким чином організовано віддалений доступ до сервісу?
При формулюванні цілей політики нижнього рівня можна виходити з міркування цілісності, доступності і конфіденційності, але не можна на цьому зупинятися. Її цілі повинні бути конкретнішими. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити і модифікувати інформацію. В більш загальному випадку цілі повинні зв’язувати між собою об'єкти сервісу і дії з ними.
З цілей виводяться правила безпеки, які описують, хто, що і за яких умов може робити. Чим докладніше правила, чим формальніше вони викладені, тим простіше підтримувати їх виконання програмно-технічними засобами. З іншого боку, дуже жорсткі правила можуть заважати роботі користувачів, тоді їх доведеться часто переглядати. Керівництво повинно знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не будуть надмірно зв’язані. Зазвичай найформальніше задаються права доступу до об'єктів, зважаючи на особливу важливість даного питання.
- Поняття інформаційної безпеки
- Основні задачі інформаційної безпеки
- Важливість і складність проблеми інформаційної безпеки
- Об’єктно-орієнтований підхід до інформаційної безпеки
- Основні положення системи зАхисту інформації
- Поняття системи захисту інформації
- Вимоги до захисту інформації
- Вимоги до системи захисту інформації
- Види забезпечення системи захисту інформації
- Основні поняття
- Загрози безпеці інформації
- Основні поняття і класифікація загроз
- Основні загрози доступності
- Основні загрози цілісності
- Основні загрози конфіденційності
- Шкідливе програмне забезпечення
- Інформація, що підлягає захисту
- Основні поняття
- Сфери розповсюдження державної таємниці на інформацію
- Комерційна таємниця
- Персональні дані
- Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- Перехоплення даних та канали витоку інформації
- Порушники інформаційної безпеки
- Модель поводження потенційного порушника
- Класифікація порушників
- Методика вторгнення
- Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- Основні поняття законодавчого рівня інформаційної безпеки
- Система забезпечення інформаційної безпеки України
- Правові актИ
- Структура правових актів
- Нормативно-правові документи
- Форми захисту інформації
- Правові норми забезпечення безпеки і захисту інформації на підприємстві
- УкраїнськЕ законодавство в галузі інформаційної безпеки
- Зарубіжне законодавство в галузі інформаційної безпеки
- Стандарти і специфікації в галузі безпеки інформаційНих систем
- “Помаранчева книга” як оцінний стандарт
- Класи безпеки інформаційних систем
- Технічна специфікація X.800
- Стандарт iso/iec 15408
- Поняття політики безпеки
- Розробка політики безпеки
- Програма реалізації політики безпеки
- Синхронізація програми безпеки з життєвим циклом систем
- Управління ризиками
- Основні класи заходів організаційного рівня
- Управління персоналом
- Фізичний захист
- Заходи щодо захисту локальної робочої станції
- Підтримка працездатності
- Реагування на порушення режиму безпеки
- Планування відновлювальних робіт
- Служба безпеки підприємства
- Поняття інженерно-технічного захисту
- Фізичні засоби захисту
- Види фізичних засобів
- Охоронні системи
- Охоронне телебачення
- Охоронне освітлення та засоби охоронної сигналізації
- Захист елементів будинків і приміщень
- Апаратні засоби захисту
- Програмні засоби захисту
- Криптографічні засоби захисту
- Основні поняття криптографії
- Методи шифрування
- Криптографічні протоколи
- Контроль цілісності
- Технологія шифрування мови
- Стеганографічні засоби захисту
- Особливості сучасних інформаційних систем з погляду безпеки
- Принципи Архітектурної безпеки
- Ідентифікація та автентифікація
- Логічне управління доступом
- Протоколювання та аудит
- Основні поняття
- Активний аудит
- Склад засобів активного аудиту
- Екранування
- Аналіз захищеності
- Забезпечення високої доступності
- Тунелювання
- Управління інформаційними системами
- Афоризми і постулати інформаційної безпеки
- Список літератури
- Додаткова
- 1 Галузь використання
- 2 Нормативні посилання
- 3 Загальні положення
- 4 Побудова системи захисту інформації
- 4.1 Визначення й аналіз загроз
- 4.2 Розроблення системи захисту інформації
- 4.3 Реалізація плану захисту інформації
- 4.4 Контроль функціювання та керування системою захисту інформації
- 5 Нормативні документи системи тзі
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту
- 21021, М. Вінниця, Хмельницьке шосе, 95, внту