Для предприятия ее информация является важным ресурсом. Политика информационной безопасности определяет необходимые меры для защиты информации от случайного или намеренного получения ее, уничтожения и тд. Ответственность за соблюдение политики безопасности несет каждый работник предприятия. Целями политики безопасности есть:
Должна проводится периодическая проверка сотрудников, на предмет соблюдения информационной политики безопасности. Правила политики распространяются на все ресурсы и информацию предприятия. Предприятию принадлежит права на собственность вычислительных ресурсов, деловой информации, лицензионное и созданное ПО, содержимое почты, разного рода документы.
В отношении всех информационных активов предприятия, должны быть соответствующие люди с ответственностью за использование тех или других активов.
Все свои обязанности должны быть исполнены только на компьютерах, разрешенных к эксплуатации на предприятии. Использование своих портативных устройств и запоминающих устройств можно только с согласованием . Вся конфиденциальная информация должна хранится в шифрованном виде на жестких дисках, где реализовано ПО с шифрованием жесткого диска. Периодически должны пересматриваться права сотрудников к информационной системы. Для реализации санкционированного доступа к информационному ресурсу, вход в систему должен быть реализован с помощью уникального имени пользователи и пароля. Пароли должны удовлетворять . Также во время перерыва, или отсутствия сотрудника на своем рабочем месте, должна срабатывать функция экранной заставки, для блокирование рабочей машины.
Каждый работник должен оповестить службу ИБ о том, что он предоставляет доступ третьим лицам к ресурсам информационной сети.
Сотрудники, которые используют личные портативные устройства, могут попросить об удаленном доступе к информационной сети предприятия. Сотрудникам, которые работают за пределами предприятия и имеют удаленный доступ, запрещено копировать данные из корпоративной сети. Также таким сотрудникам нельзя иметь больше одного подключение к разным сетям, не принадлежащих предприятию. Компьютеры имеющий удаленный доступ должны содержать .
Такой доступ должен разрешаться только в производственных целях, а не для личного пользования. Далее показаны рекомендации:
Работники также должны помнить о реализации физической защиты оборудование, на котором хранится или обрабатываются данные предприятия. Запрещено вручную настраивать аппаратное и программное обеспечение, для этого есть специалисты службы ИБ.
Пользователи, которые работают с конфиденциальной информацией, должны иметь отдельное помещение, для физического ограничения доступа к ним и их рабочего места.
Каждый сотрудник, получив оборудование от предприятия на временное пользование (командировка), должен смотреть за ним, и не оставлять без присмотра. В случаи потери или других экстренных ситуаций, данные на компьютере должны быть заранее зашифрованы.
Форматирование данных перед записью, или уничтожением носителя не является 100% гарантией чистоты устройства. Также порты передачи данных на стационарных компьютерах должны быть заблокированы, кроме тех случаев когда у сотрудника есть разрешение на копирование данных.
Все программное обеспечение, которое установленное на компьютерах предприятия является собственностью предприятия и должно использовать в служебных задачах. Запрещено устанавливать сотрудникам лично другое ПО, не согласовав это с службой ИБ. На всех стационарных компьютерах должен быть минимальный набор ПО:
Работники компании не должны:
Электронные сообщения (даже удаленные) могут использоваться гос. органами или конкурентами по бизнесу в суде в качестве доказательств. Поэтому содержание сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.
Работникам нельзя передавать с помощью почты конфиденциальную информацию предприятия без реализация шифрования. Также работникам нельзя использовать публичные почтовые ящики. При документообороте должны использоваться только корпоративные почтовые ящики. Ниже описаны неразрешимые действия при реализации электронной почты:
Все сотрудники должны оповещать о любом подозрении на уязвимости в системе защиты. Также нельзя разглашать известные сотруднику слабые стороны системы защиты. Если есть подозрения на наличие вирусов или других деструктивных действиях на компьютере, работник должен:
Все конфиденциальные собрания/заседания должны проводиться только в специальных помещениях. Участникам запрещено проносить в помещения записывающие устройства (Аудио/видео) и мобильными телефонами, без согласия службы ИБ. Аудио/видео запись может вести сотрудник, с разрешением от службы ИБ.
Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.
Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.
Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.
Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.
Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности:
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы - злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".
Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:
Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений .
29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети. |
|
За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик - в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными. Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.
Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора - организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.
Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.
Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.
Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.
Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.
Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.
Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.
К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому - нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.
Для создания эффективной системы информационной безопасности должны быть разработаны:
Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.
Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.
Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая - динамична.
Основными разделами концепции безопасности являются:
Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.
Политику безопасности надо формулировать с учетом двух основных аспектов:
Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:
После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:
В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.
Потенциальные внешние нарушители:
Потенциальные внутренние нарушители:
Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала - создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев - утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором - прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.
При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
Здесь вы сможете найти ответы на вопросы:
Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.
При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании
На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.
Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.
Полезное количество страниц* | Загруженность терминами | Общая оценка | |
---|---|---|---|
ОАО „Газпромбанк“ | 11 | Очень высокая | |
АО „Фонд развития предпринимательства “Даму» | 14 | Высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
АО НК «КазМунайГаз» | 3 | Низкая | Простой для понимания документ, не перегруженный техническими терминами |
ОАО «Радиотехнический институт имени академика А. Л. Минца» | 42 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не станет читать - слишком много страниц |
Резюме
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
По вопросам и предложениям добро пожаловать в комментарии и личку.
Вопрос %username%
Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.
Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.
Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.
Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена - роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.
Вопрос %username%
Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?
Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.
Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов .
То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.
Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.
В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.
Итого, у вас появляется необходимость ознакомить юзера с двумя документами:
Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
Теги: