Читайте также:
|
Основные понятия политики безопасности
Политика безопасности определяет стратегию управления в области информационной безопасности, а также меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого конкретными документами специализированных политик и процедур безопасности.
Высокоуровневая политика безопасности должна периодически пересматриваться, гарантируя тем самым учет текущих потребностей организации. Документ политики составляют таким образом, чтобы политика была относительно независимой от конкретных технологий, в этом случае документ не потребуется изменять слишком часто.
Для того чтобы познакомиться с основными понятиями политики безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоторой организации, и ассоциированную с ней политику безопасности.
Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа, который призван продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения. В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации. Основные цели — обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. К частным целям относятся:
• обеспечение уровня безопасности, соответствующего нормативным документам;
• следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);
• обеспечение безопасности в каждой функциональной области локальной сети;
• обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
• обеспечение анализа регистрационной информации;
• предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
• выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
• обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.
Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.
Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности. Они обязаны:
• обеспечивать защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;
• оперативно и эффективно реагировать на события, таящие угрозу, информировать администраторов сервисов о попытках нарушения защиты;
• использовать проверенные средства аудита и обнаружения подозрительных ситуаций, ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;
• не злоупотреблять своими полномочиями, так как пользователи имеют право на тайну;
• разрабатывать процедуры и подготавливать инструкции для защиты локальной сети от вредоносного программного обеспечения, оказывать помощь в обнаружении и ликвидации вредоносного кода;
• регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
• выполнять все изменения сетевой аппаратно-программной конфигурации;
• гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам, выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
• периодически производить проверку надежности защиты локальной сети, не допускать получения привилегий неавторизованными пользователями.
Администраторы сервисов отвечают за конкретные сервисы, и в частности за построение защиты в соответствии с общей политикой безопасности. Они обязаны:
• управлять правами доступа пользователей к обслуживаемым объектам;
• оперативно и эффективно реагировать на события, таящие угрозу, оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
• регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
• выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
• ежедневно анализировать регистрационную информацию, относящуюся к сервису, регулярно контролировать сервис на предмет вредоносного программного обеспечения;
• периодически производить проверку надежности защиты сервиса, не допускать получения привилегий неавторизованными пользователями.
Пользователи работают с локальной сетью в соответствии с политикой безопасности, подчиняются распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставят в известность руководство обо всех подозрительных ситуациях. Они обязаны:
• знать и соблюдать законы, правила, принятые в данной организации, политику безопасности, процедуры безопасности, использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;
• использовать механизм защиты файлов и должным образом задавать права доступа;
• выбирать качественные пароли, регулярно менять их, не записывать пароли на бумаге, не сообщать их другим лицам;
• информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;
• не использовать слабости в защите сервисов и локальной сети в целом, не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
• всегда сообщать корректную идентификационную и аутен-тификационную информацию, не пытаться работать от имени других пользователей;
• обеспечивать резервное копирование информации с жесткого диска своего компьютера;
• знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения, знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;
• знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.
Санкции. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.
Дополнительная информация. Конкретным группам исполнителей могут потребоваться для ознакомления дополнительные документы, в частности, документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть краткими — объемом в одну-две страницы
Управленческие меры обеспечения информационной безопасности
Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.
С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний.
Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.
Такие решения могут включать в себя следующие элементы:
• формулировку целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
• формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
• обеспечение материальной базы для соблюдения законов и правил;
• формулировку управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, т. е. о ее защите от НСД.
На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко определять сферу своего влияния. В нее могут быть включены не только все компьютерные системы организации, но и домашние компьютеры сотрудников, если политика регламентирует некоторые аспекты их использования. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, т. е. политика может служить основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.
Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией. Примеры таких вопросов — отношение к доступу в Internet (проблема сочетания свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т. д.
Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:
• описание аспекта — позиция организации может быть сформулирована в достаточно общем виде, а именно как набор целей, которые преследует организация в данном аспекте;
• область применения — следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;
• роли и обязанности — документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;
• санкции — политика должна содержать общее описание запрещенных действий и наказаний за них;
• точки контакта — должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит должностное лицо.
Нижний уровень политики безопасности относится к конкретным сервисам. Она включает два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной, т. е. при следовании политике безопасности нижнего уровня необходимо дать ответ, например, на такие вопросы:
• кто имеет право доступа к объектам, поддерживаемым сервисом;
• при каких условиях можно читать и модифицировать данные;
• как организован удаленный доступ к сервису.
Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддерживать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.
Дата добавления: 2015-01-29; просмотров: 161 | Поможем написать вашу работу | Нарушение авторских прав |