Понятие политики безопасности

Политика безопасности – совокупность правил, которым должны следовать люди, программы и устройства при действиях с информацией. Этот термин чаще всего используется по отношению к организации.

Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [15].

Комплект документов может включать:

– Концепцию безопасности (систематически изложенные взгляды на основные направления, условия и порядок практического решения задач защиты деятельности организации от противоправных действий и недобросовестной конкуренции – цели и задачи, принципы, объекты защиты, виды угроз, правовые основы, техническое обеспечение и т.д.);

– Положение о конфиденциальной информации (перечень, учет, хранение и использование, порядок допуска, меры по контролю, ответственность);

– Положение об использовании информационной системы;

– Положение об использовании мобильных устройств и носителей информации;

– Положение об учете, хранении и использовании ключевой информации;

– Положение об использовании программного обеспечения;

– Положение об использовании сети Интернет;

– Положение об использовании электронной почты;

– Положение об обучении сотрудников;

– Положение о системе резервного копирования (система, стратегия, порядок, организация резервного копирования, задачи, права, ответственность администратора);

– Положение об отделе информационных технологий;

– Должностные инструкции – начальника отдела информационных технологий, инженера-электроника этого отдела и т.д. В них определяются требования, компетенция, выполняемые обязанности, права и ответственность.

В документах рассматриваются две группы мероприятий – по построению (формированию) системы защиты и по использованию системы для защиты информации.

Политика информационной безопасности определяет облик системы защиты информации – правовые нормы, организационные меры, программно-технические средства, процедуры, направленные на противодействие угрозам, минимизацию возможных последствий. Для каждого вида потенциальных проблем обычно назначается ответственный исполнитель.

Контроль состояния должен получать ответы на вопросы:

– Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве?

– Какие задачи и с какой целью решаются на каждом компьютере?

– Можно ли узнать каждый компьютер «в лицо» и обнаружить «маскарад» оборудования, когда какой-нибудь компьютер, его часть или программное обеспечение подменены?

– Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего? Если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вред.

– Каков порядок ремонта и технической профилактики компьютеров?

– Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?

– Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Аналогичные вопросы могут быть заданы и относительно программного обеспечения, и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому приходилось на практике заниматься вопросами информационной безопасности в автоматизированных системах, отмечают следующее: реальный интерес к проблеме защиты информации, проявляемый на верхнем уровне управления, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

– появляются дополнительные ограничения для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;

– как правило, дополнительные действия, которые возлагаются на пользователей, не сопровождаются дополнительной оплатой труда;

– возникают дополнительные материальные затраты как на проведение таких работ, так и на расширение штата специалистов, занимающихся информационной безопасностью.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

– принятие только организационных мер защиты информации;

– использование только технических средств защиты.

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующего технического обеспечения) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.

Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

По времени проведения мероприятия могут быть:

– разовые (однократные и повторяемые только при полном пересмотре принятых решений);

– периодические (через определенное время);

– проводимые при возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);

– постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

К разовым мероприятиям относятся:

– общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;

– мероприятия при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);

– мероприятия при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых средств, документирование и т. п.);

– разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

– внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;

– определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

– разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну);

– выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);

– организация пропускного режима;

– определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;

– организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

– определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

– создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;

– определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия:

– распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);

– анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы;

– анализ состояния и оценки эффективности мер и применяемых средств защиты (периодически, с привлечением сторонних специалистов);

– пересмотр состава и построения системы защиты.

Мероприятия, проводимые по необходимости:

– осуществляемые при кадровых изменениях в составе персонала системы;

– осуществляемые при ремонте и модификациях оборудования и программного обеспечения;

– по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

Постоянно проводимые мероприятия:

– противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т.п.;

– явный и скрытый контроль за работой персонала системы;

– контроль за применением мер защиты.

Все мероприятия осуществляются в соответствии с планом защиты, ревизию которого рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного его пересмотра. К их числу относятся изменения следующих компонентов объекта:

– Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т. д.

– Техника. Изменение плана может быть вызвано подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.

– Помещения. Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.

Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.

Для государственных учреждений комплект подобных документов регламентируется централизовано, не требует самостоятельной разработки, как для вновь создаваемых коммерческих организаций и предприятий.

Поиск по сайту: