Политика безопасности организации

- организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

- классификационный,  описывающий имеющиеся на предприятии  материальные и информационные  ресурсы и необходимый уровень  их защиты;

- штатный, характеризующий  меры безопасности, применяемые  к персоналу (описание должностей  с точки зрения информационной  безопасности, организация обучения, порядок реагирования на нарушение  режима и т.д.);

- раздел, освещающий  вопросы физической защиты информации;

- раздел управления, описывающий подход к управлению  компьютерами и сетями передачи  данных;

- раздел, описывающий  правила разграничения доступа  к производственной информации;

- раздел, описывающий  порядок разработки и внедрения  систем;

- раздел, описывающий  меры, направленные на обеспечение  непрерывной работы организации  (доступности информации);

- юридический  раздел, подтверждающий соответствие  политики информационной безопасности  текущему законодательству.

Рекомендация  в качестве основы для построения политики информационной безопасности зарубежных документов может вызвать  недоумение. Однако, как видно из рекомендаций стандарта BS 7799:1995, они  носят общий характер и одинаково  применимы для предприятий в  любой точке земного шара. Так  же как правила постройки дома одинаковы для всех домов в  мире и лишь корректируются действующим  законодательством, строительными  правилами и нормами и подобными  документами. К тому же последний  раздел рекомендаций содержит подтверждение  соответствия политики безопасности текущему законодательству страны, на основе которого она и должна базироваться.

Начать составление  политики следует с анализа рисков. Анализ рисков состоит из двух основных этапов: инвентаризация и классификация  информационных ресурсов.

Инвентаризация  информационных ресурсов поможет в  определении степени необходимой  защиты, контроле защищенности, а также  будет полезна в других областях, как-то охрана труда и техника  безопасности, страхование, финансы. В  качестве ресурсов, связанных с информационных технологий, могут выступать:

- информационные  ресурсы: файловые хранилища,  базы данных, документация, учебные  пособия, документы процедурного  уровня (инструкции и т.д.);

- программные  ресурсы: прикладное и системное  программное обеспечение, утилиты  и т.д.;

- физические  ресурсы: вычислительное и коммуникационное  оборудование, носители данных (ленты  и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения;

- сервисы: отопление,  освещение, энергоснабжение, кондиционирование  воздуха;

- человеческие  ресурсы.

После инвентаризации производится классификация ресурсов. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.

Приведем пример классификации информационного  ресурса. В качестве основной переменной обычно выбирают степень конфиденциальности информации со следующими значениями:

- информация, содержащая  государственную тайну; 

- информация, содержащую  коммерческую тайну;

- конфиденциальная  информация (информация, не представляющая  собой коммерческой или государственной  тайны, хотя огласка ее нежелательна);

- свободная информация.

Следующей переменной может быть выбрано отношение  того или иного ресурса к нарушениям основных трех аспектов информационной безопасности. К примеру, база данных телефонов работников предприятия  может быть оценена на 81 с точки  зрения доступности, на 2 с точки  зрения конфиденциальности2 и на 4 с точки зрения целостности3 .

Далее производится собственно анализ рисков. Для каждого  из информационных ресурсов определяется его интегральная ценность и возможные  угрозы. Каждая из угроз оценивается  с точки зрения её применимости к  данному ресурсу, вероятности возникновения  и возможного ущерба. На основе результатов  этого анализа составляется классификационный  раздел политики информационной безопасности.

В штатный раздел направлен на уменьшение риска ошибок персонала, краж, мошенничества или  незаконного использования ресурсов. В дальнейшем этот раздел используется для составления должностных  инструкций пользователей и руководящих  документов для отделов и служб  информационной безопасности. В документ желательно включить следующие разделы:

- правила проверки  принимаемого на работу персонала;

- обязанности  и права пользователей по отношению  к информационным ресурсам;

- обучение пользователей  и порядок допуска к работам  с информационными ресурсами;

- права и обязанности  администраторов;

- порядок реагирования  на события, несущие угрозу  информационной безопасности;

- порядок наложения  взысканий.

В первый пункт включаются правила подачи заявлений о приеме, необходимые документы, форму резюме, рекомендаций и т.д. Кроме того, определяются необходимость, форма и порядок проведения собеседования с работниками различных категорий. Здесь же описываются различные обязательства о неразглашении.

Во втором пункте описываются обязанности пользователей  по обслуживанию своего рабочего места, а также при работе с информационным ресурсами. Этот пункт тесно связан с третьим пунктом, поскольку определяет необходимые знания пользователей.

Третий пункт  определяет необходимые знания для  различных категорий работников, периодичность и порядок проведения инструктажа по пользованию информационными  ресурсами. Необходимо четкое знание пользователями всех процедурных вопросов (идентификация  в системе, смена пароля, обновление антивирусных баз, работа с пакетами программ и т.д.). Кроме того, описывается  порядок подключения пользователя к информационным ресурсам (необходимые  документы, согласующие лица и подразделения).

Для нормального  функционирования системы администраторы информационной безопасности должны обладать достаточными правами. Отключение от сети или информационного ресурса  рабочей станции, являющейся носителем  вируса, - необходимость, а не нарушение  технологического процесса.

Для своевременной  реакции на угрозы безопасности системы  следует четко определить формальные процедуры уведомления и реагирования на подобные системы. Все пользователи должны быть обязаны сообщать закрепленным лицам об инцидентах и слабых местах в системе безопасности, сбоях  в работе программного и аппаратного  обеспечения. Необходимо определить и  довести до сведения пользователей  методы фиксации симптомов сбоев  оборудования.

Последний раздел содержит описание процедуры наложения  взысканий за нарушения установленных  на предприятии правил информационной безопасности. Карательные меры и  степень ответственности необходимо закрепить документально.

В зависимости  от типа предприятия меры физической защиты могут варьироваться в  широком диапазоне. Исходя из анализа  рисков для каждого предприятия, необходимо жестко описать типы помещений  и необходимые для них меры безопасности. К мерам безопасности относятся установка решеток, замков, порядок допуска в помещения, средства электромагнитной защиты и  т.д. Кроме того, необходимо установить правила использования рабочего стола и способы утилизации материалов (различных магнитных носителей, бумажных документов, агрегатов), правила выноса программного и аппаратного обеспечения за пределы организации.

Разделы управления, описывающие подходы к управлению компьютерами и сетями передачи данных и порядок разработки и внедрения  систем, описывают порядок выполнения стандартных операционных процедур оперирования данными, правила ввода  систем в эксплуатацию (приемка систем), аудита их работы. Кроме того, в данном разделе указывается порядок  защиты предприятия от вредоносного программного обеспечения (регламент  работы антивирусной системы в частности). Определяются порядок аудита работоспособности  систем и резервное копирование. Описываются стандартное программное  обеспечение, разрешенное к работе на предприятии. Здесь же описываются  системы защиты электронной почты, системы электронной цифровой подписи  и другие криптографические системы  и системы аутентификации, работающие на предприятии. Это немаловажно, поскольку  российское законодательство в области  жестко в этом отношении.

Права доступа  к системам должны быть документированы, а порядок их предоставления определен  нормативными документами. Должны быть указаны должности, производящие согласование заявок на предоставление прав доступа, а также осуществляющие раздачу  прав. Кроме того, в организациях с серьезными требованиями к информационной безопасности определяется порядок  проверок прав доступа к системам и лица, его осуществляющие. В  этом же разделе описываются правила (политика) пользовательских паролей.

Итак, политика информационной безопасности предприятия  представляет собой документ, на основе которого строится система обеспечения  безопасности. В свою очередь, политика строится на анализе рисков, и чем  полнее будет произведен анализ, тем  эффективнее будет документ. Анализу  подвергаются все основные ресурсы, включая материальную базу и человеческие ресурсы. Политика безопасности строится в соответствии со спецификой предприятия  и законодательной базой государства.