Раздел 1 Вопрос 6. Политика информационной безопасности.
Политика информационной безопасности — совокупность руководящих принципов, правил, процедур и практических приемов в области ИБ, которые регулируют управление, защиту и распределение ценной информации.(гост 15408)
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня является согласно ГОСТ Р ИСО/МЭК 17799—2005 Общая политика информационной безопасности или иначе Концепция информационной безопасности. Данный документ должен отражать приверженность руководства к обеспечению информационной безопасности, общие подходы и требования и являться основой для создания всей структуры документов.
(Например, если организации отвечает за поддержание критически важных баз данных, то на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.
Для организации, занимающейся продажами или складским хозяйством, наиболее важным может оказаться актуальность информации (т. е. отражение текущих цен и состояния дел), а также доступность этой информации максимальному числу потенциальных клиентов.
Для предприятия, занимающегося разработкой военной техники, наибольшее значение может иметь обеспечение конфиденциальности информации.)
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации.
Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п.( К среднему уровню можно отнести вопросы:
– следует ли внедрять передовые, но недостаточно проверенные (в том числе точки зрения информационной безопасности) технологии?
– следует ли обеспечить доступ в Интернет с рабочих мест сотрудников?; следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие, и наоборот?; следует ли допускать использование неофициального программного обеспечения?.
В документах, характеризующих политику безопасности среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы:
· описание аспекта (например, для вопроса, касающегося применения неофициального программного обеспечения, необходимо определить, что именно понимается под неофициальным программным обеспечением (это может быть ПО, которое не было одобрено и/или закуплено на уровне организаций);
· область применения – объясняет, где, когда, как, по отношению к кому и к чему применяется данная политика безопасности (например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций–субподрядчиков).
Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня относится к конкретным информационным сервисам, отдельным системам или подсистемам обработки данных.
Например, могут определяться общие правила доступа к информации, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
и т. д.
Вопросы политики безопасности нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. В то же время они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.
(из лекций: ПИБ оформляется в виде документ требований на ИС, документы разделяются по уровню детализации процесса защиты.
На верхнем уровне должны быть оформлены :
К следующему уровню относятся документы касающиеся отдельных аспектов ИБ- требование на создание СЗИ, организацию информационных и бизнес-процессов.
В политику ИБ нижнего уровня входят – профиль защиты, политика доступа(включает политику учетных записей))
После того, как сформулирована политика безопасности, можно приступать к составлению программы безопасности, т. е. выработке конкретных мер по реализации политики безопасности.
Обычно программа безопасности разделяется на 2 уровня:
· верхний, или центральный уровень, который охватывает всю организацию;
· нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации.
Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.
Основными целями и задачами программы верхнего уровня являются следующие:
– управление рисками, включая оценку рисков и выбор эффективных средств защиты
– координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
– стратегическое планирование.
В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств, контроль деятельности в области информационной безопасности.
Такой контроль имеет двустороннюю направленность.
Во-первых, необходимо гарантировать, что действия организации не противоречат законам.
При этом следует поддерживать контакты с внешними контролирующими организациями.
Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.
Программа нижнего уровня
Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы сервисов.
На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т. д. Обычно за программу нижнего уровня отвечают администраторы сервисов.
Следует особо отметить, что вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах жизненного цикла информационного сервиса (информационной системы, программы обработки данных).
Разработка и внедрение документов, составляющих политику информационной безопасности, как и любой другой проект, имеющий общеорганизационное значение, в первую очередь должен быть санкционирован и поддержан руководством. Руководство должно отвечать за отслеживание выполнения работ, выделение необходимых ресурсов (людских, денежных и пр.), а также за утверждение разработанных документов.