Розробка політики безпеки

З практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації.

До верхнього рівня належать рішення, що стосуються організації в ці­лому. Вони мають загальний характер і, як правило, виходять від керівництва організації. Список подібних рішень може складатися з таких елементів:

· рішення про формування або перегляд комплексної програми за­безпечення інформаційної безпеки, призначення відповідальних за реалізацію програми;

· формулювання цілей, до яких прагне організація у галузі інфор­маційної безпеки, визначення загальних напрямків досягнення цих цілей;

· забезпечення бази для дотримання законів і правил;

· формулювання адміністративних рішень з тих питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.

Для політики верхнього рівня цілі організації в галузі інформаційної безпеки формулюються у термінах цілісності, доступності і конфіденцій­ності. Якщо організація відповідає за підтримку критично важливих баз да­них, на першому плані може стояти зменшення кількості втрат, пошкоджень або спотворень даних. Для організації, що займається продажем комп’ютерної техніки, ймовірно, важлива актуальність інформації про пос­луги і ціни та її доступність максимальній кількості потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.

На верхній рівень виносять управління захисними ресурсами і коор­динація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки.

Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть всі комп’ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітни­ками своїх домашніх комп’ютерів). Можлива, проте, і така ситуація, коли до сфери впливу включаються лише найважливіші системи.

У політиці ІБ повинні бути визначені обов’язки посадовців щодо створення програми безпеки і впровадження її в життя.

Політика верхнього рівня має справу з трьома аспектами законопокірності і виконавської дисципліни:

· організація повинна дотримуватися існуючих законів;

· слід контролювати дії осіб, відповідальних за створення програми безпеки;

· необхідно забезпечити певний ступінь старанності персоналу, а для цього потрібно створити систему заохочень і покарань.

· На верхній рівень слід виносити тільки ті питання, які забезпечують значну економію засобів, або без яких неможливо обійтися.

· Британський стандарт В8 7799:1995 рекомендує включати до доку­мента. що характеризує політику безпеки організації, такі розділи:

· вступний, який підтверджує заклопотаність вищого керівництва проблемами інформаційної безпеки;

· організаційний, що містить опис підрозділів, комісій, груп і т.д., які відповідають за роботи у галузі інформаційної безпеки;

· класифікаційний, що описує наявні в організації матеріальні і ін­формаційні ресурси і необхідний рівень їх захисту;

· штатний, що характеризує заходи безпеки, вживані до персоналу (опис посад з погляду інформаційної безпеки, організація навчання і перепідготовки персоналу, порядок реагування на порушення ре­жиму безпеки і т.п.);

· розділ, який висвітлює питання фізичного захисту;

· розділ, який описує підхід до управління комп’ютерами і комп'ютерними мережами;

· розділ, що описує правила розмежування доступу до виробничої інформації;

· розділ, що характеризує порядок розробки і супроводу систем;

· розділ, що описує заходи, спрямовані на забезпечення безперерв­ної роботи організації;

· юридичний розділ, який підтверджує відповідність політики без­пеки чинному законодавству.

До середнього рівня відносять питання, що стосуються окремих аспе­ктів інформаційної безпеки, але важливі для різних експлуатованих органі­зацією систем. Приклади таких питань - ставлення до передових (але, мож­ливо, недостатньо перевірених) технологій, доступ до Шетеї (як сумістити свободу доступу до інформації із захистом від зовнішніх загроз?), викорис­тання домашніх комп'ютерів, застосування користувачами неліцензійного програмного забезпечення і т.д.

Політика середнього рівня повинна для кожного аспекту висвітлюва­ти такі теми.

Опис аспекту. Наприклад, якщо розглянути застосування користува­чами неофіційного програмного забезпечення, останнє можна визначити як таке, що не було схвалене та/або куплене на рівні організації.

Область застосування. Слід визначити, де, коли, як, стосовно кого і чом}' застосовується дана політика безпеки. Наприклад, чи торкається полі­тика. пов’язана з використанням неліцензійного програмного забезпечення, організацій-субпідрядників? Чи стосується вона співробітників, що корис­туються портативними і домашніми комп'ютерами і змушених переносити інформацію на виробничі машини?

Позиція організації за даним аспектом. Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони або розробки процедури приймання подібного програмного забез­печення. Позиція може бути сформульована і в набагато більш загальному вигляді, як набір цілей, до яких прагне організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їх перелік), в різних організаціях можуть значно відрізнятися.

Ролі і обов’язки. В "політичний" документ необхідно включити ін­формацію про посадовців, відповідальних за реалізацію політики безпеки. Наприклад, якщо для використання неофіційного програмного забезпечення співробітникам потрібен дозвіл керівництва, повинно бути відомо, у кого і як його можна одержати. Якщо неофіційне програмне забезпечення викори­стовувати не можна, слід знати, хто стежить за виконанням даного правила.

Законослухняність. Політика повинна містити загальний опис забо­ронених дій і покарань за них.

Точки контакту. Повинно бути відомо, куди слід звертатися за роз'­ясненнями, допомогою і додатковою інформацією. Звичайно “точкою кон­такту” служить певний посадовець, а не конкретна людина.

Політика безпеки нижнього рівня стосується конкретних інформа­ційних сервісів. Вона включає два аспекти - цілі і правила їх досягнення, тому її інколи важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, дана політика повинна бути визначена детальніше. Є багато речей, специфічних для окремих видів послуг, які не можна однаково регла­ментувати в рамках усієї організації. В той же час, ці речі настільки важливі для забезпечення режиму безпеки, що рішення, які їх стосуються, повинні ух­валюватися на управлінському, а не технічному рівні. Наведемо декілька при­кладів питань, на які слід дати відповідь у політиці безпеки нижнього рівня.

• Хто має право доступу до об'єктів, підтримуваних сервісом?

• За яких умов можна читати і модифікувати дані?

• Яким чином організовано віддалений доступ до сервісу?

При формулюванні цілей політики нижнього рівня можна виходити з міркування цілісності, доступності і конфіденційності, але не можна на цьо­му зупинятися. Її цілі повинні бути конкретнішими. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити і мо­дифікувати інформацію. В більш загальному випадку цілі повинні зв’язувати між собою об'єкти сервісу і дії з ними.

З цілей виводяться правила безпеки, які описують, хто, що і за яких умов може робити. Чим докладніше правила, чим формальніше вони викла­дені, тим простіше підтримувати їх виконання програмно-технічними засо­бами. З іншого боку, дуже жорсткі правила можуть заважати роботі корис­тувачів, тоді їх доведеться часто переглядати. Керівництво повинно знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не будуть надмірно зв’язані. Зазвичай най- формальніше задаються права доступу до об'єктів, зважаючи на особливу важливість даного питання.

Поиск по сайту: