Политика информационной безопасности организации. Внедрение и использование политики ИБ

Вне зависимости от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ обычно состоят из следующих этапов (рисунок 1):

– определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;

– оценка рисков;

– выбор контрмер, обеспечивающих режим ИБ;

– управление рисками;

– аудит системы управления ИБ;

– выработка политики безопасности.

DIV_ADBLOCK315">

Этап 3. Структуризация контрмер по защите информации по следующим основным уровням: административному, процедурному, программно-техническому.

Этап 4. Установление порядка сертификации и аккредитации КИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, в том числе периодического пересмотра положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы в области ИБ. Известно, что выработка политики безопасности организации – наименее формализованный этап. Однако в последнее время именно здесь сосредоточены усилия многих специалистов по защите информации.

Этап 5. Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания. На этом этапе определяются границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ строится именно в этих границах. Само описание границ системы рекомендуется выполнять по следующему плану:

– структура организации. Представление существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы ;

– ресурсы информационной системы, подлежащие защите. Целесообразно рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методика получения результатов по этим критериям;

· выработка принципов классификации информационных активов компании и оценивания их защищенности;

· оценка информационных рисков и управление ими;

· обучение сотрудников компании методам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками компании;

· консультирование менеджеров компании по вопросам управления информационными рисками;

· согласование частных политик и регламентов безопасности среди подразделений компании;

· контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;

· взаимодействие со службой персонала компании по проверке личных данных сотрудников при найме на работу;

· организация мероприятий по устранению нештатных ситуаций или чрезвычайных происшествий в области защиты информации в случае их возникновения;

Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Обычно субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т. е. ее не искаженности .

Существует различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда – служебная информация. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т. п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства. Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО – пример подобного нарушения.

Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя. Например, "троянцы" Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows.

Угроза нарушения конфиденциальности

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".

Конфиденциальность информации – субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая н необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной. Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как «маскарад» – выполнение действий под видом лица, обладающего полномочиями для доступа к данным. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя.

В настоящее время наиболее распространены так называемые «фишинговые» атаки. Фи́шинг (fishing – рыбная ловля) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов (Rambler, Mail. ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники. ru). Целью фишеров сегодня являются клиенты банков и электронных платёжных систем . Так например в США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках в 2009 году.

Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.

Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.

Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливаливающей критерии для оценивания рисков и т.д.

Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа - задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть досточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.

BS ISO/IEC 27001:2005 4.2.1 b) Политика СУИБ:

Определить политику СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, которая:

включает в себя основу для определения ее целей и устанавливает общее направление и принципы деятельности по отношению к информационной безопасности;

учитывает требования бизнеса и требования законодательной или нормативной базы, а также контрактные обязательства в области безопасности;

объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение СУИБ;

устанавливает критерии для оценивания рисков (см. 4.2.1с)); и

утверждена руководством.

ПРИМЕЧАНИЕ: В этом Международном стандарте политика СУИБ рассматривается в качестве надмножества политики информационной безопасности. Эти политики могут быть описаны в одном документе.

BS ISO/IEC 17799:2005 5.1.1 Документированная политика информационной безопасности:

Механизм контроля

Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.

Руководство по внедрению

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать следующие заявления:

определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);

заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;

основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;

краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:

соответствие требованиям законодательства, нормативной базы и договоров;

требования к повышению осведомленности, обучению и тренингам в области безопасности;

управление непрерывностью бизнеса;

последствия нарушений политики информационной безопасности;

определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;

ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

Другая информация

Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации. Дополнительная информация содержится в ISO/IEC 13335-1:2004.

В современном мире понятие «политика информационной безопасности» может трактоваться как в широком, так и в узком смысле. Что касается первого, более широкого значения, она обозначает комплексную систему решений, которые приняты некоей организацией, документированы официально и направлены на обеспечение безопасности предприятия. В узком понимании под этим понятием кроется документ местного значения, в котором оговорены требования безопасности, система проводимых мер, ответственность сотрудников и механизм контроля.

Комплексная политика информационной безопасности является гарантией стабильного функционирования любой компании. Всесторонность ее заключается в продуманности и сбалансированности степени защиты, а также разработке правильных мер и системы контроля в случае каких-либо нарушений.

Все организационные методы играют важную роль в создании надежной схемы защиты информации, потому что незаконное использование информации является результатом злоумышленных действий, небрежности персонала, а не технических неполадок. Для достижения хорошего результата нужно комплексное взаимодействие организационно-правовых и технических мер, которые должны исключать все несанкционированные проникновения в систему.

Информационная безопасность - это гарантия спокойной работы компании и ее стабильного развития. Однако в основе построения качественной системы защиты должны лежать ответы на такие вопросы:

Какова система данных и какая степень серьезности защиты потребуется?

Кто в состоянии нанести урон компании при помощи нарушения функционирования информационной системы и кто может воспользоваться полученными сведениями?

Как можно свести подобный риск до минимума, не нарушая при этом слаженную работу организации?

Концепция информационной безопасности, таким образом, должна разрабатываться персонально для конкретного предприятия и согласно его интересам. Основную роль в ее качественных характеристиках играют организационные мероприятия, к которым можно отнести:

Организацию налаженной системы пропускного режима. Это делается с целью исключения тайного и несанкционированного проникновения на территорию компании посторонних лиц, а также контроль над пребыванием в помещении и временем его ухода.

Работа с сотрудниками. Суть ее состоит в организации взаимодействия с персоналом, подборе кадров. Еще важно ознакомление с ними, подготовка и обучение правилам работы с информацией, чтобы сотрудники знали рамки ее секретности.

Политика информационной безопасности предусматривает также структурированное использование технических средств, направленных на накопление, сбор и повышенной конфиденциальности.

Проведение работ, направленных на контроль над персоналом с точки зрения использования им секретной информации и разработке мер, которые должны обеспечивать ее защиту.

Затраты на проведение такой политики не должны превышать величину потенциального ущерба, который будет получен в результате ее утраты.

Политика информационной безопасности и ее эффективность во многом зависит от количества предъявленных к ней требований со стороны компании, которые позволяют уменьшить степень риска до нужной величины.

Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.

Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.

Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.

Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.

Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности:

• определение какие данные и насколько серьезно необходимо защищать,
• определение кто и какой ущерб может нанести фирме в информационном аспекте,
• вычисление рисков и определение схемы уменьшения их до приемлимой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы - злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".

Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:

• 
  концепция безопасности информации;
• определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
• сопоставление угроз с объектами защиты;
• оценка рисков;
• оценка величины возможных убытков, связанных с реализацией угроз;
• оценка расходов на построение системы информационной безопасности;
• определение требований к методам и средствам обеспечения информационной безопасности;
• выбор основных решений обеспечения информационной безопасности;
• организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
• правила разграничения доступа.

Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений .

Публикации по теме