Раздел 1 Вопрос 6.Политика информационной безопасности.
Политика информационной безопасности — совокупность руководящих принципов, правил, процедур и практических приемов в области ИБ, которые регулируют управление, защиту и распределение ценной информации (ГОСТ 15408).
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня являются согласно ГОСТ Р ИСО/МЭК 17799—2005 Общая политика информационной безопасности или иначе Концепция информационной безопасности. Данный документ должен отражать приверженность руководства к обеспечению информационной безопасности, общие подходы и требования и являться основой для создания всей структуры документов.
Например, если организации отвечает за поддержание критически важных баз данных, то на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.
Для организации, занимающейся продажами или складским хозяйством, наиболее важным может оказаться актуальность информации (т. е. отражение текущих цен и состояния дел), а также доступность этой информации максимальному числу потенциальных клиентов.
Для предприятия, занимающегося разработкой военной техники, наивысшее значение может иметь обеспечение конфиденциальности информации.
К среднему уровню относятся документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организация информационных и бизнес-процессов организации по конкретному направлению защиты информации.
Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т.п.
К среднему уровню можно отнести вопросы:
- следует ли внедрять передовые, но недостаточно проверенные технологии?
- следует ли обеспечить доступ в Интернет с рабочих мест сотрудников?
- следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие, и наоборот?
- следует ли допускать использование неофициального программного обеспечения?
В документах, характеризующих политику безопасности среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы:
- описание аспекта;
- область применения — объясняет, где, когда, как, по отношению к кому и к чему применяется данная политика безопасности;
Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня относится к конкретным информационным сервисам, отдельным системам или подсистемам обработки данных.
Например, могут определяться общие правила доступа к информации, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
Вопросы политики безопасности нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. В то же время они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.
На верхнем уровне должны быть оформлены:
- концепция обеспечения ИБ.
- Правила допустимого использования ресурсов ИБ,
- правила обеспечения непрерывного процесса ГОСТ 17799-2005.
К следующему уровню относятся документы касающиеся отдельных аспектов ИБ — требование на создание СЗИ, организацию информационных и бизнес-процессов.
В политику ИБ нижнего уровня входят — профиль защиты, политика доступа (включает политику учетных записей).
Программа безопасности
После того, как сформулирована политика безопасности, можно приступать к составлению программы безопасности, т. е. выработке конкретных мер по реализации политики безопасности.
Обычно программа безопасности разделяется на 2 уровня:
- верхний, или центральный уровень, который охватывает всю организацию;
- нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Она должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.
Основными целями и задачами программы верхнего уровня являются следующие:
- управление рисками, включая оценку рисков и выбор эффективных средств защиты;
- координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
- стратегическое планирование.
В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств, контроль деятельности в области информационной безопасности.
Такой контроль имеет двустороннюю направленность:
- необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями.
- нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.
Программа нижнего уровня
Цель программы нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т. д. Обычно за программу нижнего уровня отвечают администраторы сервисов.
Следует особо отметить, что вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах жизненного цикла информационного сервиса (информационной системы, программы обработки данных).
Разработка и внедрение документов, составляющих политику информационной безопасности, как и любой другой проект, имеющий общеорганизационное значение, в первую очередь должен быть санкционирован и поддержан руководством. Руководство должно отвечать за отслеживание выполнения работ, выделение необходимых ресурсов (людских, денежных и пр.), а также за утверждение разработанных документов.
