Страница 1 из 5
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности . Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
Для политики безопасности верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
Политика безопасности среднего уровня должна для каждого аспекта освещать следующие темы:
1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.
2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?
3. Роли и обязанности . В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.
4. Законопослушность . Политика должна содержать общее описание запрещенных действий и наказаний за них.
5. Точки контакта . Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.
Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения , поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей.
Обеспечение информационной безопасности — очень непростая задача, имеющая несколько уровней.
С современной точки зрения информационным системам должны быть доступны следующие механизмы безопасности:
К нему относятся меры, реализуемые людьми. Опыт, накопленный в отечественных организациях, по реализации процедурных мер пришел из докомпьютерного прошлого и нуждается в существенном пересмотре.
Существуют следующие группы организационных (процедурных) мер:
Для каждой группы должны существовать правила, определяющие действия персонала. Они должны быть учреждены в каждой конкретной организации и отработаны на практике.
Политика безопасности, предпринимаемая руководством организации, является основой мер административного уровня. Это совокупность документированных решений руководства, которые направлены на защиту информации, а также ресурсов, ассоциированных с ней. Политика безопасности основывается на анализе реальных рисков, угрожающих информационной системе той или иной организации. После анализа разрабатывается стратегия защиты. Это программа, под которую выделяются деньги, назначаются ответственные, устанавливается порядок контроля ее выполнения и т.д.
Поскольку каждая организация имеет свою специфику, бессмысленно переносить практику государственных режимных предприятий на коммерческие структуры, персональные компьютерные системы или учебные заведения. Целесообразнее использовать основные принципы разработки политики безопасности или готовые шаблоны для основных разновидностей организаций.
Это важнейший уровень обеспечения информационной безопасности. В него входит комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушителям и нарушениям в этой области. Необходимо создать механизм, который позволил бы согласовывать разработку законов с постоянным совершенствованием информационных технологий. Государство должно выполнять координирующую и направляющую роль в этом вопросе.Российские стандарты информационных технологий и информационной безопасности должны соответствовать международному уровню. Это облегчит взаимодействие с зарубежными компаниями и зарубежными филиалами отечественных компаний. Сейчас эта проблема решается путем разовых разрешений, зачастую в обход действующего законодательства.
Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.
Административный уровень защиты информации Под административным уровнем информационной безопасности относятся действия общего характера, предпринимаемые руководством организации к обеспечению защиты информации. Главная цель – формирование политики безопасности, отражающей подход организации к защите данных. Политика безопасности административного уровня – совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Выработку политики безопасности и ее содержание рассматривают на трех горизонтальных уровнях детализации: Верхний уровень – вопросы, относящийся к организации в целом; Средний уровень – вопросы, касающиеся отдельных аспектов ИБ; Нижний уровень – вопросы относящиеся к конкретным сервисам;
Политика безопасности верхнего уровня Политика безопасности верхнего уровня, затрагивающая все организацию в целом, включает в себя: решение сформировать или изменить комплексную программу обеспечения информационной безопасности; формулирование целей организации в области информационной безопасности, определение общих направлений в достижении данных целей; обеспечение нормативной базы для соблюдения законов и правил; формулирование административных решений по вопросам, затрагивающих организацию в целом.
Политика безопасности верхнего уровня На данном уровне выносится: управление ресурсами защиты и координация использования данных ресурсов; выделение персонала для защиты критически важных систем; определение взаимодействия с внешними организациями, обеспечивающими или контролирующими режим безопасности; определение правил соблюдения законодательных и нормативных правил, контроля за действия сотрудников, выработка системы поощрений и наказаний.
Рекомендации к политике безопасности верхнего уровня Британский стандарт BS 7799:1995 рекомендует следующие разделы в документ, характеризующий политику безопасности: вводный, подтверждающий озабоченность руководства проблемами ИБ; организационный, содержащий описание подразделений, ответственных за ИБ; классификационный, описывающий имеющиеся ресурсы и уровень требуемый уровень защиты; штатный, характеризующий меры безопасности применительно к персоналу; раздел, относящийся к вопросам физической защиты; раздел, относящийся к управлению компьютерами и сетями; раздел, описывающий правила разграничения доступа к служебной информации; раздел, характеризующий порядок разработки и сопровождения ИС; раздел, описывающий меры, направленные на обеспечение непрерывности в работе; юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
Политика безопасности среднего уровня К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО. Политика среднего уровня для каждого аспекта должна освещать: описание аспекта; область применения; позиция организации по данному вопросу; роли и обязанности; законопослушность; точки контакта.
Политика безопасности нижнего уровня Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Такая политика включает в себя два аспекта: цели; правила достижения заданных целей. Политика безопасности данного уровня быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными. Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами.
Административный уровень защиты информации После формулирования политики безопасности, составляется программа обеспечения информационной безопасности. Программа безопасности также структурируется по уровням. В простом случае достаточно двух уровней: верхнего (центрального) – охватывающего всю организацию; нижнего (служебного) – относящегося к отдельным услугам или группам однородных сервисов.
Программа верхнего уровня Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Цели такой программы: Управление рисками (оценка рисков, выбор эффективных решений); Координация деятельности в области информационной безопасности Стратегическое планирование Контроль деятельности в области информационной безопасности. Контроль деятельности в области ИБ должен гарантировать, во-первых, что действия организации не противоречат законам, во-вторых, что состояние безопасности в организации соответствует требованиям и реагировать на случаи нарушений.
Программы служебного уровня Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На нижнем уровне осуществляется выбор механизмов защиты, технических и программных средств. Ответственность за реализацию программ нижнего уровня обычно несут администраторы соответствующих сервисов.
Синхронизация программы безопасности с жизненным циклом системы В жизненном цикле информационного сервиса можно выделить следующие этапы: инициация, определяются потребности в новом сервисе, документируется его назначение; приобретение (разработка), составляется спецификация, варианты приобретения или разработки, собственно приобретение; установка (внедрение), сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию; эксплуатация, работа в штатном и регламентном режиме; утилизация (выведение из эксплуатации).
Оценка критичности информационного сервиса Для обеспечения безопасной работы сервиса в рамках информационной системы на всех этапах жизненного цикла должны быть рассмотрены вопросы: Какая информация предназначена для обслуживания? Какие возможные последствия от реализации угроз ИБ а данном сервисе? Каковы особенности данного сервиса? Каковы характеристики персонала, имеющие отношения к информационной безопасности? Каковы угрозы, по отношению к которым сервисы и информация наиболее уязвимы? Каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис? Результаты оценки критичности – отправная точка для составления спецификации.
Политика безопасности строится на основе анализа рисков , которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Термин "политика безопасности" является не совсем точным переводом английского словосочетания " security policy ", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.
Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин " security policy " в " Оранжевой книге " и в построенных на ее основе нормативных документах других стран).
ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.
Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы . Эта карта , разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации , но и видимые грани объектов . Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.
С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО , которое не было одобрено и/или закуплено на уровне организации.
Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности . Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?
Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.
Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.
Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.
Политика безопасности нижнего уровня относится к конкретным информационным сервисам . Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс , когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы, и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.
Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).
ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее. Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.
