В реальной жизни термин "политика безопасности" трактуется
гораздо шире, чем в "Оранжевой книге".


Под политикой безопасности мы будем понимать совокупность документированных
управленческих решений, направленных на защиту информации и ассоциированных
с ней ресурсов.


С практической точки зрения политику безопасности целесообразно
подразделить на три уровня. К верхнему уровню можно отнести решения,
затрагивающие организацию в целом. Они носят весьма общий характер
и, как правило, исходят от руководства организации. Примерный
список подобных решений может включать в себя следующие элементы:


  • Решение сформировать или пересмотреть комплексную программу
    обеспечения информационной безопасности, определение ответственных
    за продвижение программы.
  • Формулировка целей, которые преследует организация в области
    информационной безопасности, определение общих направлений в достижении
    этих целей.
  • Обеспечение базы для соблюдения законов и правил.
  • Формулировка управленческих решений по тем вопросам реализации
    программы безопасности, которые должны рассматриваться на уровне
    организации в целом.


Для политики верхнего уровня цели организации в области информационной
безопасности формулируются в терминах целостности, доступности
и конфиденциальности. Если организация отвечает за поддержание
критически важных баз данных, на первом плане может стоять уменьшение
числа потерь, повреждений или искажений данных. Для организации,
занимающейся продажей компьютерной техники, вероятно, важна актуальность
информации о предоставляемых услугах и ценах и ее доступность
максимальному числу потенциальных покупателей. Режимная организация
в первую очередь заботится о защите от несанкционированного доступа,
то есть о конфиденциальности.


На верхний уровень выносится управление защитными ресурсами и
координация использования этих ресурсов, выделение специального
персонала для защиты критически важных систем, поддержание контактов
с другими организациями, обеспечивающими или контролирующими режим
безопасности.


Политика верхнего уровня должна четко очерчивать сферу своего
влияния. Возможно, это будут все компьютерные системы организации
(или даже больше, если политика регламентирует некоторые аспекты
использования сотрудниками своих домашних компьютеров). Возможна,
однако, и такая ситуация, когда в сферу влияния включаются лишь
наиболее важные системы.


В политике должны быть определены обязанности должностных лиц
по выработке программы безопасности и по проведению ее в жизнь.
В этом смысле политика безопасности является основой подотчетности
персонала.


Политика верхнего уровня имеет дело с тремя аспектами законопослушности
и исполнительской дисциплины. Во-первых, организация должна соблюдать
существующие законы. Во-вторых, следует контролировать действия
лиц, ответственных за выработку программы безопасности. Наконец,
необходимо обеспечить определенную степень послушности персонала,
а для этого нужно выработать систему поощрений и наказаний.


Вообще говоря, на верхний уровень следует выносить минимум вопросов.
Подобное вынесение целесообразно, когда оно сулит значительную
экономию средств или когда иначе поступить просто невозможно.


К среднему уровню можно отнести вопросы, касающиеся отдельных
аспектов информационной безопасности, но важные для различных
систем, эксплуатируемых организацией. Примеры таких вопросов —
отношение к передовым (но, возможно, недостаточно проверенным)
технологиям, доступ к Internet (как сочетать свободу получения
информации с защитой от внешних угроз?), использование домашних
компьютеров, применение пользователями неофициального программного
обеспечения и т.д.


Политика среднего уровня должна для каждого аспекта освещать следующие
темы:


  • Описание аспекта. Например, если рассмотреть применение пользователями
    неофициального программного обеспечения, последнее можно определить
    как обеспечение, которое не было одобрено и/или закуплено на уровне
    организации.
  • Область применения. Следует специфицировать, где, когда, как,
    по отношению к кому и чему применяется данная политика безопасности.
    Например, касается ли политика по поводу неофициального программного
    обеспечения организаций-субподрядчиков? Затрагивает ли она работников,
    пользующихся портативными и домашними компьютерами и вынужденных
    переносить информацию на производственные машины?
  • Позиция организации по данному аспекту. Продолжая пример с
    неофициальным программным обеспечением, можно представить себе
    позиции полного запрета, выработки процедуры приемки подобного
    обеспечения и т.п. Позиция может быть сформулирована и в гораздо
    более общем виде, как набор целей, которые преследует организация
    в данном аспекте. Вообще стиль документов по политике безопасности
    (как и перечень этих документов) может быть существенно разным
    для разных организаций.
  • Роли и обязанности. В "политический" документ необходимо
    включить информацию о должностных лицах, отвечающих за проведение
    политики безопасности в жизнь. Например, если для использования
    работником неофициального программного обеcпечения нужно официальное
    разрешение, должно быть известно, у кого и как его следует получать.
    Если должны проверяться дискеты, принесенные с других компьютеров,
    необходимо описать процедуру проверки. Если неофициальное программное
    обеспечение использовать нельзя, следует знать, кто следит за
    выполнением данного правила.
  • Законопослушность. Политика должна содержать общее описание
    запрещенных действий и наказаний за них.
  • Точки контакта. Должно быть известно, куда следует обращаться
    за разъяснениями, помощью и дополнительной информацией. Обычно
    "точкой контакта" служит должностное лицо, а не конкретный
    человек, занимающий в данный момент данный пост.


Политика безопасности нижнего уровня относится к конкретным сервисам.
Она включает в себя два аспекта — цели и правила их достижения,
поэтому ее порой трудно отделить от вопросов реализации. В отличие
от двух верхних уровней, рассматриваемая политика должна быть
гораздо детальнее. Есть много вещей, специфичных для отдельных
сервисов, которые нельзя единым образом регламентировать в рамках
всей организации. В то же время эти вещи настолько важны для обеспечения
режима безопасности, что решения, относящиеся к ним, должны приниматься
на управленческом, а не техническом уровне. Приведем несколько
примеров вопросов, на которые следует дать ответ в политике безопасности
нижнего уровня:


  • Кто имеет право доступа к объектам, поддерживаемым сервисом?
  • При каких условиях можно читать и модифицировать данные?
  • Как организован удаленный доступ к сервису?


При формулировке целей, политика нижнего уровня может отправляться
от соображений целостности, доступности и конфиденциальности,
но она не должна на них останавливаться. Ее цели должны быть конкретнее.
Например, если речь идет о системе расчета заработной платы, можно
поставить цель, чтобы только работникам отдела кадров и бухгалтерии
позволялось вводить и модифицировать информацию. В более общем
случае цели должны связывать между собой объекты сервиса и осмысленные
действия с ними.


Из целей выводятся правила безопасности, описывающие, кто, что
и при каких условиях может делать. Чем детальнее правила, чем
более формально они изложены, тем проще поддержать их выполнение
программно-техническими мерами. С другой стороны, слишком жесткие
правила могут мешать работе пользователей, вероятно, их придется
часто пересматривать. Руководству придется найти разумный компромисс,
когда за приемлемую цену будет обеспечен приемлемый уровень безопасности,
а работники не окажутся чрезмерно скованы. Обычно наиболее формально
задаются права доступа к объектам ввиду особой важности данного
вопроса.


Чтобы сделать изложение более конкретным, рассмотрим вслед за
[20] гипотетическую локальную сеть, которой владеет организация
XYZ, и ассоциированную с ней политику безопасности среднего уровня.
Дабы фрагмент не выглядел вырванным из контекста, в него добавлены
некоторые положения политики верхнего уровня.


Описание аспекта. Информация, циркулирующая в рамках локальной
сети, является критически важной. Локальная сеть позволяет пользователям
разделять программы и данные; это увеличивает риск. Следовательно,
каждый из компьютеров, входящих в сеть, нуждается в более сильной
защите, чем отдельная машина. Эти повышенные меры безопасности
и являются предметом данного документа.


Документ преследует две главные цели — продемонстрировать сотрудникам
XYZ важность защиты сетевой среды и описать их роль в обеспечении
безопасности, а также распределить конкретные обязанности по защите
информации, циркулирующей в сети, равно как и самой сети.


Область применения. В сферу действия данной политики попадают
все аппаратные, программные и информационные ресурсы, входящие
в локальную сеть предприятия. Политика ориентирована также на
людей, работающих с сетью, в том числе на пользователей, субподрядчиков
и поставщиков.


Позиция организации. Целью организации XYZ является обеспечение
целостности, доступности и конфиденциальности данных, а также
их полноты и актуальности. Более частными целями являются:


  • Обеспечение уровня безопасности, соответствующего нормативным
    документам.
  • Следование экономической целесообразности в выборе защитных
    мер (расходы на защиту не должны превосходить предполагаемый ущерб
    от нарушения информационной безопасности).
  • Обеспечение безопасности в каждой функциональной области локальной
    сети.
  • Обеспечение подотчетности всех действий пользователей с информацией
    и ресурсами.
  • Обеспечение анализа регистрационной информации.
  • Предоставление пользователям достаточной информации для сознательного
    поддержания режима безопасности.
  • Выработка планов восстановления после аварий и иных критических
    ситуаций для всех функциональных областей с целью обеспечения
    непрерывности работы сети.
  • Обеспечение соответствия с имеющимися законами и общеорганизационной
    политикой безопасности.


Роли и обязанности (общие положения). Следующие группы
людей отвечают за реализацию сформулированных выше целей. Детально
их обязанности будут описаны ниже.


  • Руководители подразделений. Они отвечают за доведение положений
    политики безопасности до пользователей и за контакты с пользователями.
  • Администраторы локальной сети. Они обеспечивают непрерывное
    функционирование сети и отвечают за реализацию технических мер,
    необходимых для проведения в жизнь политики безопасности.
  • Администраторы сервисов. Они отвечают за конкретные сервисы
    и, в частности, за то, что их защита построена в соответствии
    с общей политикой безопасности.
  • Пользователи. Они обязаны использовать локальную сеть в соответствии
    с политикой безопасности, подчиняться распоряжениям лиц, отвечающих
    за отдельные аспекты безопасности, ставить в известность руководство
    обо всех подозрительных ситуациях.


Законопослушность. Нарушение политики безопасности может
подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому
риску. Случаи нарушения со стороны персонала будут рассматриваться
руководством для принятия мер вплоть до увольнения.


Роли и обязанности (детальное изложение). Руководители
подразделений обязаны:


  • Постоянно держать в поле зрения вопросы безопасности. Следить
    за тем, чтобы то же делали их подчиненные.
  • Проводить анализ рисков, выявляя активы, требующие защиты,
    и уязвимые места систем, оценивая размер возможного ущерба от
    нарушения режима безопасности и выбирая эффективные средства защиты.
  • Организовать обучение персонала мерам безопасности. Обратить
    особое внимание на вопросы, связанные с антивирусным контролем.
  • Информировать администраторов локальной сети и администраторов
    сервисов об изменении статуса каждого из подчиненных (переход
    на другую работу, увольнение и т.п.).
  • Обеспечить, чтобы каждый компьютер в их подразделениях имел
    хозяина или системного администратора, отвечающего за его безопасность
    и имеющего достаточную квалификацию для выполнения этой роли.


Администраторы локальной сети обязаны:


  • Информировать руководство об эффективности существующей политики
    безопасности и о технических мерах, которые могут улучшить защиту.
  • Обеспечить защиту оборудования локальной сети, в том числе
    интерфейсов с другими сетями.
  • Оперативно и эффективно реагировать на события, таящие угрозу.
    Информировать администраторов сервисов о попытках нарушения защиты.
    Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении
    информации для их наказания.
  • Использовать проверенные средства аудита и обнаружения подозрительных
    ситуаций.
  • Ежедневно анализировать регистрационную информацию, относящуюся
    к сети в целом и к файловым серверам в особенности.
  • Следить за новинками в области информационной безопасности,
    информировать о них пользователей и руководство.
  • Не злоупотреблять данными им большими полномочиями. Пользователи
    имеют право на тайну.
  • Разработать процедуры и подготовить инструкции для защиты
    локальной сети от зловредного программного обеспечения. Оказывать
    помощь в обнаружении и ликвидации зловредного кода.
  • Регулярно выполнять резервное копирование информации, хранящейся
    на файловых серверах.
  • Выполнять все изменения сетевой аппаратно-программной конфигурации.
  • Гарантировать обязательность процедуры идентификации и аутентификации
    для доступа к сетевым ресурсам.
  • Выделять пользователям входные имена и начальные пароли только
    после заполнения регистрационных форм.
  • Периодически производить проверку надежности защиты локальной
    сети. Не допускать получения привилегий неавторизованными пользователями.


Администраторы сервисов обязаны:


  • Управлять правами доступа пользователей к обслуживаемым объектам.
  • Оперативно и эффективно реагировать на события, таящие угрозу.
    Информировать администраторов локальной сети о попытках нарушения
    защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей
    и предоставлении информации для их наказания.
  • Регулярно выполнять резервное копирование информации, обрабатываемой
    сервисом.
  • Выделять пользователям входные имена и начальные пароли только
    после заполнения регистрационных форм.
  • Ежедневно анализировать регистрационную информацию, относящуюся
    к сервису.
  • Регулярно контролировать сервис на предмет зловредного программного
    обеспечения.
  • Периодически производить проверку надежности защиты сервиса.
    Не допускать получения привилегий неавторизованными пользователями.


Пользователи обязаны:


  • Знать и соблюдать законы, правила, принятые в XYZ, политику
    безопасности, процедуры безопасности.
  • Использовать доступные защитные механизмы для обеспечения
    конфиденциальности и целостности своей информации.
  • Использовать механизм защиты файлов и должным образом задавать
    права доступа.
  • Выбирать хорошие пароли, регулярно менять их. Не записывать
    пароли на бумаге, не сообщать их другим лицам.
  • Помогать другим пользователям соблюдать меры безопасности.
    Указывать им на замеченные упущения с их стороны.
  • Информировать администраторов или руководство о нарушениях
    безопасности и иных подозрительных ситуациях.
  • Не использовать слабости в защите сервисов и локальной сети
    в целом.
  • Не совершать неавторизованной работы с данными, не создавать
    помех другим пользователям.
  • Всегда сообщать корректную идентификационную и аутентификационную
    информацию, не пытаться работать от имени других пользователей.
  • Обеспечивать резервное копирование информации с жесткого диска
    своего компьютера.
  • Знать принципы работы зловредного программного обеспечения,
    пути его проникновения и распространения, слабости, которые при
    этом могут использоваться.
  • Знать и соблюдать процедуры для предупреждения проникновения
    зловредного кода, для его обнаружения и уничтожения.
  • Знать слабости, которые используются для неавторизованного
    доступа.
  • Знать способы выявления ненормального поведения конкретных
    систем, последовательность дальнейших действий, точки контакта
    с ответственными лицами.
  • Знать и соблюдать правила поведения в экстренных ситуациях,
    последовательность действий при ликвидации последствий аварий.
 

Оставит комментарий