Политика безопасности

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 13:14, 28 декабря 2016.

Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

  • от конкретной технологии обработки информации
  • от используемых технических и программных средств
  • от расположения организации

Требования

Политики безопасности должны:

  • указывать на причины и цели создания политики безопасности
  • осматривать, какие границы и ресурсы охватываются политикой безопасности
  • определить ответственных по политике безопасности
  • определить условие не выполнение и так званное наказание
  • политики безопасности должны быть реальными и осуществимыми
  • политики безопасности должны быть доступными, краткими и однозначными для понимания
  • должна быть золотая середина между защитой и производительностью

Основные шаги по разработке политики безопасности:

  • создание адекватной команды для создание политики
  • решить вопросы об возникающих особенностях при разработки
  • решить вопросы об области действии и цели создании политики
  • решить вопросы по поводу ответственных за создания и выполнения данного документа

Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии:

  • «Исследование снизу вверх». Этот метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника
  • «Исследование сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности)

Предполагаемые ущербы

Следует выясненить, насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Классификацию возможного ущерба должен оценивать владелец информации или работающий с этой информацией персонал. Оценку же вероятности атаки выполняют соответствующие технические сотрудники.

Примеры подходов

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками. Разработку политики безопасности относят к важным задачам предприятии.

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

  • Анализ информационных предприятия, который могут нанести максимальный ущерб
  • Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия
  • Разработать планы действий при ЧС для уменьшения ущерба
  • Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

  • Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности
  • Осмотр бизнес-стратегии предприятия
  • Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия

Под стандартами IBM подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и т.д. Такие стандарты могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

  • анализа информационных угроз и методов их уменьшения
  • создание норм и правил безопасности разных уровней предприятия
  • уточнение методов защиты, которые будут реализованы на предприятии
  • конкретное определение процедур безопасности
  • анализ ожиданий относительно результатов от сотрудников и компании в целом
  • реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов.

Пример стандарта безопасности для ОС семейства UNIX

  • Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix
  • Аудитория — персонал служб информационной безопасности и информационных технологий
  • Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта
  • Срок действия — с 1 января по 31 декабря … года
  • Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности
  • Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности
  • Пересмотр стандарта — пересматривается ежегодно

Пример подхода компании Microsoft

Microsoft создала стратегию безопасности, которая состоит из:

  • миссия корпоративной безопасности
  • принципы операционной безопасности
  • модель принятия решений, которая основана на осмотре рисков
  • тактическое определение приоритета работы по уменьшению рисков

Подход компании Symantec

Политика определяет, почему предприятие защищает свои данные и активы. Стандарты — что предприятие будет делать для защиты и управления безопасностью информации. Процедуры описывают, как именно предприятие будет выполнять то, что описано в документах выше стоящих. Компания Symantec описывает следующие этапы разработки политики безопасности:

  • Анализ и оценка информационных активов— что нужно защищать и с какими целями и задачами
  • Анализ угроз безопасности — выявление источников потенциальных проблем. Анализ возможных ущербом относительно угроз
  • Анализ информационных рисков — самый сложный этап, так как нужно определить вероятности угроз и сопутствующий ущерб
  • Определение ответственности — выбор людей или команду которая должна заниматься такими вопросами на предприятии
  • Создание комплексного документа — создание политики на основе дополнительных документов то ли законодательных то ли внутри корпоративных
  • Реализация — Политика должна четко описывать механизмы реализации защитных действий
  • Управление программой безопасности — область применения

Источники

  • ГОСТ Р ИСО/МЭК 15408
  • Словари и энциклопедии на Академике [Электронный ресурс]: Политика безопасности / Дата обращения: 24.12.2016. — Режим доступа: http://dic.academic.ru/dic.nsf/ruwiki/115960
  • Защита Информации [Электронный ресурс]: Пример разработки политики безопасности организации / Дата обращения: 24.12.2016. — Режим доступа: http://infoprotect.net/note/primer_razrabotki_politiki_bezopasnosti_organizacii