Политика информационной безопасности — опыт разработки и рекомендации
Время на прочтение
7 мин
Количество просмотров 153K
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
Здесь вы сможете найти ответы на вопросы:
- для чего нужна политика информационной безопасности;
- как ее составить;
- как ее использовать.
Необходимость наличия политики ИБ
В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.
Понимание целей и задач подразделения информационной безопасности
Прежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.
Требования политики — основание для внедрения защитных мер
Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)
Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.
При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:
- почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
- кто это все придумал
Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток.
При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании
Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?
Рекомендации по разработке политики ИБ
При разработке политики следует помнить о двух моментах.
- Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
- Не нужно пытаться
впихнуть невпихуемоевключить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.
Конечный документ должен удовлетворять следующим требованиям:
- лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
- доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)
Каким образом этого добиться?
На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.
Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.
Анализ политик ИБ существующих компаний
ОАО «Газпромбанк» — www.gazprombank.ru/upload/iblock/ee7/infibez.pdf
АО «Фонд развития предпринимательства „Даму“ — www.damu.kz/content/files/PolitikaInformatsionnoyBezopasnosti.pdf
АО НК „КазМунайГаз“ — www.kmg.kz/upload/company/Politika_informacionnoi_bezopasnosti.pdf
ОАО „Радиотехнический институт имени академика А. Л. Минца“ — www.rti-mints.ru/uploads/files/static/8/politika_informacionnoy_bezopasnosti_rti.pdf
| Полезное количество страниц* | Загруженность терминами | Общая оценка | |
|---|---|---|---|
| ОАО „Газпромбанк“ | 11 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО „Фонд развития предпринимательства “Даму» | 14 | Высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО НК «КазМунайГаз» | 3 | Низкая | Простой для понимания документ, не перегруженный техническими терминами |
| ОАО «Радиотехнический институт имени академика А. Л. Минца» | 42 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц |
* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации
Резюме
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
Внедрение и использование политики ИБ
После утверждения политики ИБ необходимо:
- ознакомить с политикой всех уже работающих сотрудников;
- ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
- проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
- принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
- разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
- не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.
По вопросам и предложениям добро пожаловать в комментарии и личку.
UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).
Вопрос %username%
Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.
Ответ bugaga0112358
Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.
Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.
Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.
Вопрос %username%
Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?
Ответ bugaga0112358
Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.
Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.
Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.
То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.
Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.
В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.
Итого, у вас появляется необходимость ознакомить юзера с двумя документами:
- политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
- этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)
Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
Политикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.
За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными. Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.
Для чего нужна формализация защиты информации
Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.
Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.
Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.
Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.
В DLP-системах политика безопасности – алгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «СёрчИнформ КИБ» разработано 250+ готовых политик безопасности, которые предназначены компаниям из разных сфер.
Несостоявшиеся политики
Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.
Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.
Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.
К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.
Разработка эффективной системы информационной безопасности
Для создания эффективной системы информационной безопасности должны быть разработаны:
- концепция информационной безопасности (определяет в целом политику, ее принципы и цели);
- стандарты (правила и принципы защиты информации по каждому конкретному направлению);
- процедура (описание конкретных действий для защиты информации при работе с ней: персональных данных, порядка доступа к информационным носителям, системам и ресурсам);
- инструкции (подробное описание того, что и как делать для организации информационной защиты и обеспечения имеющихся стандартов).
Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.
Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.
Структура концепции защиты
Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.
Основными разделами концепции безопасности являются:
- определение ИБ;
- структура безопасности;
- описание механизма контроля над безопасностью;
- оценка риска;
- безопасность информации: принципы и стандарты;
- обязанности и ответственность каждого отдела, управления или департамента в осуществлении защиты информационных носителей и прочих данных;
- ссылки на иные нормативы о безопасности.
Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.
Перечень основных требований к документации по безопасности
Политику безопасности надо формулировать с учетом двух основных аспектов:
- Целевая аудитория, на которую рассчитана вся информация по безопасности – руководители среднего звена и рядовые сотрудники не владеют специфической технической терминологией, но должны при ознакомлении с инструкциями понять и усвоить предоставляемую информацию.
- Инструкция должна быть лаконичной и при этом содержать всю необходимую информацию о проводимой политике. Объемный «фолиант» никто подробно изучать не будет, а тем более запоминать.
Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:
- они должны быть составлены простым русским языком, без использования специальных технических терминов;
- текст по безопасности должен содержать цели, пути их достижения с указанием назначения меры ответственности за несоблюдение ИБ. Все! Никакой технической или иной специфической информации.
Организация и внедрение ИБ
После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:
- ознакомить коллектив с утвержденной политикой обработки информации;
- знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения);
- тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков;
- активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ;
- составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.);
- раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно мониторить и изучать существующие угрозы ИБ.
Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы, компании, у которых нет выделенной ИБ-службы, могут воспользоваться аутсорсингом информационной безопасности.
Лица, пытающиеся получить несанкционированный доступ к информации
В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.
Потенциальные внешние нарушители:
- Посетители офиса.
- Ранее уволенные сотрудники (особенно те, кто ушел со скандалом и знает, как получить доступ к информации).
- Хакеры.
- Сторонние структуры, в том числе конкуренты, а также криминальные группировки.
Потенциальные внутренние нарушители:
- Пользователи компьютерной техники из числа сотрудников.
- Программисты, системные администраторы.
- Технический персонал.
Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.
При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Информация является ценным и жизненно важным ресурсом ВАША_КОПАНИЯ (далее – Компания). Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Компании.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник Компании, при этом первоочередной задачей является обеспечение безопасности всех активов Компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Компании. Главные цели Компании не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
В настоящей Политике под термином «сотрудник» понимаются все сотрудники Компании. На лиц, работающих в Компании по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.
1.1. Цель и назначение настоящей Политики
Целями настоящей Политики являются:
-
сохранение конфиденциальности критичных информационных ресурсов;
-
обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;
-
защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;
-
повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;
-
определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в Компании.
Руководители подразделений Компании должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.
1.2. Область применения настоящей Политики
Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации Компании. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Компании, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.
Компании принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования Компании, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала Компании.
2.1. Ответственность за информационные активы
В отношении всех собственных информационных активов Компании, активов, находящихся под контролем Компании, а также активов, используемых для получения доступа к инфраструктуре Компании, должна быть определена ответственность соответствующего сотрудника Компании.
Информация о смене владельцев активов, их распределении, изменениях в конфигурации и использовании за пределами Компании должна доводиться до сведения руководителя Департамента информационных технологий и руководителя Департамента защиты информации Компании.
2.2. Контроль доступа к информационным системам
2.2.1. Общие положения
Все работы в пределах офисов Компании выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в Компании.
Внос в здания и помещения Компании личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы Компании производится только при согласовании с Департаментом защиты информации Компании.
Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну Компании и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. Все портативные компьютеры Компании должны быть оснащены программным обеспечением по шифрованию жесткого диска.
Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.
2.2.2. Доступ третьих лиц к системам Компании
Каждый сотрудник обязан немедленно уведомить руководителя Департамента информационных технологий и руководителя Департамента защиты информации обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
Доступ третьих лиц к информационным системам Компании должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Компании должен быть четко определен, контролируем и защищен.
2.2.3. Удаленный доступ
Пользователи получают право удаленного доступа к информационным ресурсам Компании с учетом их взаимоотношений с Компанией.
Сотрудникам, использующим в работе портативные компьютеры Компании, может быть предоставлен удаленный доступ к сетевым ресурсам Компании в соответствии с правами в корпоративной информационной системе.
Сотрудникам, работающим за пределами Компании с использованием компьютера, не принадлежащего Компании, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.
Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам Компании, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети Компании и к каким-либо другим сетям, не принадлежащим Компании.
Все компьютеры, подключаемые посредством удаленного доступа к информационной сети Компании, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления.
2.2.4. Доступ к сети Интернет
Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.
Рекомендованные правила:
-
сотрудникам Компании разрешается использовать сеть Интернет только в служебных целях;
-
запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
-
сотрудники Компании не должны использовать сеть Интернет для хранения корпоративных данных;
-
работа сотрудников Компании с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации Компании в сеть Интернет;
-
сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем Компании;
-
сотрудники Компании перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
-
запрещен доступ в Интернет через сеть Компании для всех лиц, не являющихся сотрудниками Компании, включая членов семьи сотрудников Компании.
Специалисты Департамента информационных технологий и Департамента защиты информации имеют право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях.
2.3. Защита оборудования
Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация Компании.
Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения. Все изменения производят авторизованные специалисты Департамента информационных технологий, после согласования изменений с Департаментом защиты информации.
2.3.1. Аппаратное обеспечение
Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы), для целей настоящей Политики вместе именуются «компьютерное оборудование». Компьютерное оборудование, предоставленное Компанией, является ее собственностью и предназначено для использования исключительно в производственных целях.
Пользователи портативных компьютеров, содержащих информацию, составляющую коммерческую тайну Компании, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах, или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.
Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.
Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля в гостиничный номер.
Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.
При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.
Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.
Порты передачи данных, в том числе FD и CD дисководы в стационарных компьютерах сотрудников Компании блокируются, за исключением тех случаев, когда сотрудником получено разрешение на запись информации у Департамента защиты информации.
2.3.2. Программное обеспечение
Все программное обеспечение, установленное на предоставленном Компанией компьютерном оборудовании, является собственностью Компании и должно использоваться исключительно в производственных целях.
Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника и в Департамент защиты информации.
На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:
-
персональный межсетевой экран;
-
антивирусное программное обеспечение;
-
программное обеспечение шифрования жестких дисков;
-
программное обеспечение шифрования почтовых сообщений.
Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем Департамента информационных технологий.
Сотрудники Компании не должны:
-
блокировать антивирусное программное обеспечение;
-
устанавливать другое антивирусное программное обеспечение;
-
изменять настройки и конфигурацию антивирусного программного обеспечения.
Компания предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со своим менеджером по бизнес информации, который проинформирует их о порядке приобретения и/или разработки программного обеспечения.
2.4. Рекомендуемые правила пользования электронной почтой
Электронные сообщения (удаленные или не удаленные) могут быть доступны или получены государственными органами или конкурентами по бизнесу для их использования в качестве доказательств в процессе судебного разбирательства или при ведении бизнеса. Поэтому содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.
Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует бизнес деятельности.
Сотрудникам запрещается направлять партнерам конфиденциальную информацию Компании по электронной почте без использования систем шифрования. Строго конфиденциальная информация Компании, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.
Сотрудникам Компании запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.
Использование сотрудниками Компании публичных почтовых ящиков электронной почты осуществляется только при согласовании с Департаментом защиты информации при условии применения механизмов шифрования.
Сотрудники Компании для обмена документами с бизнес партнерами должны использовать только свой официальный адрес электронной почты.
Сообщения, пересылаемые по электронной почте, представляют собой постоянно используемый инструмент для электронных коммуникаций, имеющих тот же статус, что и письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.
В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю. Если полученная таким образом информация носит конфиденциальный характер, об этом следует незамедлительно проинформировать специалистов Департамента защиты информации.
Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.
Ниже перечислены недопустимые действия и случаи использования электронной почты:
-
рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;
-
групповая рассылка всем пользователям Компании сообщений/писем;
-
рассылка рекламных материалов, не связанных с деятельностью Компании;
-
подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;
-
поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
-
пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит корпоративным стандартам в области этики.
Ко всем исходящим сообщениям, направляемым внешним пользователям, пользователь может добавлять уведомление о конфиденциальности.
Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в Компании процедурами документооборота.
Пересылка значительных объемов данных в одном сообщении может отрицательно повлиять на общий уровень доступности сетевой инфраструктуры Компании для других пользователей. Объем вложений не должен превышать 2 Мбайт.
2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность
Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.
В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте директору Департамента защиты информации.
Пользователи должны знать способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.
Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:
-
проинформировать специалистов Департамента информационных технологий;
-
не пользоваться и не выключать зараженный компьютер;
-
не подсоединять этот компьютер к компьютерной сети Компании до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование специалистами Департамента информационных технологий.
2.6. Помещения с техническими средствами информационной безопасности
Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.
Перечень помещений с техническими средствами информационной безопасности утверждается Руководством Компании.
Участникам заседаний запрещается входить в помещения с записывающей аудио/видео аппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования с Департаментом защиты информации.
Аудио/видео запись, фотографирование во время конфиденциальных заседаний может вести только сотрудник Компании, который отвечает за подготовку заседания, после получения письменного разрешения руководителя группы организации встречи.
Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.
2.7. Управление сетью
Уполномоченные сотрудники Департамента информационных технологий и Департамента защиты информации контролируют содержание всех потоков данных проходящих через сеть Компании.
Сотрудникам Компании запрещается:
-
нарушать информационную безопасность и работу сети Компании;
-
сканировать порты или систему безопасности;
-
контролировать работу сети с перехватом данных;
-
получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;
-
использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства;
-
передавать информацию о сотрудниках или списки сотрудников Компании посторонним лицам;
-
создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение.
2.7.1. Защита и сохранность данных
Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты Департамента информационных технологий обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.
Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения.
Только специалисты Департамента информационных технологий на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.
Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.
Все заявки на проведение технического обслуживания компьютеров должны направляться в Департамент информационных технологий.
2.8. Разработка систем и управление внесением изменений
Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителями Департамента защиты информации и Департамента информационных технологий.
Назначение
Настоящий документ «Политика информационной безопасности Группы Компаний «Софтлайн Россия» (далее — Политика) является основополагающим документом, определяющим позицию, цели, задачи и принципы Группы Компаний «Софтлайн Россия» (далее — Софтлайн, или Группа) в области информационной безопасности.
Общие положения
Информационная безопасность — это совокупность сотрудников, политик, процессов и технологий, задействованных Софтлайн в целях защиты информационных активов. Защищенность информационных активов Софтлайн характеризуется нейтрализацией актуальных угроз информационной безопасности техническими, организационными и правовыми мерами.
Под информационными активами для целей настоящей Политики признаются сотрудники, информация, деловая репутация, материальные ценности и бизнес-процессы.
Деятельность Софтлайн в области информационной безопасности основывается на стратегии развития Группы, а решаемые задачи способствуют эффективному и безопасному развитию бизнеса Софтлайн в современном мире цифровизации и цифровой трансформации.
Политика разработана в соответствии с положениями международных стандартов и мировых передовых практик.
Период действия и внесение изменений
Настоящая Политика является локальным нормативным актом постоянного действия. Настоящая Политика утверждается, изменяется и признается утратившей силу Генеральным директором ГК «Софтлайн Россия». Пересмотр Политики проводится на регулярной основе не реже одного раза в два года или по мере необходимости.
Декларация об информационной безопасности
Принятием Политики Софтлайн провозглашает и обязуется осуществлять надлежащие меры защиты информационных активов от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.
Руководство Софтлайн осознает важность и необходимость совершенствования мер и средств обеспечения информационной безопасности в контексте развития законодательства в области информационной безопасности, а также усложнения используемых информационных технологий.
Руководство Софтлайн инициирует и контролирует работы в области информационной безопасности.
Соблюдение принципов, правил и требований информационной безопасности является элементом корпоративной культуры Группы.
Руководители и специалисты по информационной безопасности Софтлайн должны ответственно выполнять свои обязанности, осознавая, что качество их работы непосредственно влияет на защищённость информационных активов Группы.
Сотрудники Софтлайн должны руководствоваться настоящей Политикой в профессиональной деятельности, при внутрикорпоративном взаимодействии, личном развитии и повышении культуры информационной безопасности.
Каждый сотрудник Софтлайн или партнера Группы несёт ответственность за выполнение требований информационной безопасности при работе с информационными активами.
Достижение целей информационной безопасности при соблюдении принципов дополнительно позволит упрочить конкурентные преимущества, обеспечить соответствие правовым, регуляторным и договорным требованиям, снизить риски деловой репутации.
Цели в области информационной безопасности
Управление и обеспечение информационной безопасности Софтлайн ориентировано на достижение следующих целей:
- Предоставление безопасной информационной среды для функционирования и развития бизнеса.
- Повышение конкурентоспособности, деловой репутации и ценности бизнеса для акционеров путем снижения уровня риска в области информационной безопасности.
- Соответствие требованиям законодательства в области информационной безопасности и защиты персональных данных, а также соблюдение соответствующих договорных обязательств.
- Повышение корпоративной культуры обработки и защиты информации, в т. ч. персональных данных.
- Эффективное управление процессами информационной безопасности и непрерывное совершенствование системы управления информационной безопасностью.
Задачи в области информационной безопасности
Для достижения целей в Софтлайн приняты следующие задачи в области информационной безопасности:
- Проектирование, внедрение и непрерывное совершенствование системы управления информационной безопасностью (далее — СУИБ).
- Вовлечение высшего руководства Софтлайн в процесс функционирования СУИБ.
Вопросы информационной безопасности регулярно рассматриваются уполномоченными комитетами и/или рабочими группами.
- Эффективное использование ресурсов, выделенных в целях обеспечения информационной безопасности. Оценка эффективности расходов.
- Обеспечение безопасности информационных активов Софтлайн.
- Соблюдение законодательства, требований регулирующих организаций в области информационной безопасности и защиты персональных данных.
- Совершенствование технических, организационных и правовых мер защиты.
- Формирование, накопление и развитие компетенций в области информационной безопасности и защиты персональных данных.
- Использование рискориентированного подхода. В Софтлайн регулярно проводится оценка рисков информационной безопасности и мероприятия по повышению уровня защищенности информационных активов.
- Управление инцидентами информационной безопасности. Софтлайн непрерывно совершенствует механизмы реагирования на инциденты.
- Повышение осведомленности сотрудников. Сотрудники Софтлайн регулярно проходят обязательное обучение по информационной безопасности.
- Формализация требований информационной безопасности. Требования фиксируются в локальных нормативных актах и доводятся до сотрудников.
- Учет требований информационной безопасности в проектной деятельности. Разработка и документирование требований к обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов.
- Проверка благонадежности сотрудников. Все кандидаты на вакантные должности проходят проверку в соответствии с установленными процедурами.
- Мониторинг и непрерывное совершенствование СУИБ по результатам периодических аудитов (проверок).
Принципы обеспечения информационной безопасности
В Софтлайн определены следующие принципы обеспечения информационной безопасности:
Принцип системности
Активы рассматриваются как взаимозависимые компоненты единой системы. Взаимовлияние компонентов учитывается при анализе рисков и угроз информационной безопасности.
Принцип полноты (комплексности)
В целях обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты, комплексное использование которых обеспечивает нейтрализацию актуальных угроз и отсутствие и уязвимостей в точках интеграции.
Принцип эшелонированности
Недопустимо полагаться на один защитный рубеж. Система обеспечения информационной безопасности строится так, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.
Принцип равнопрочности
Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки угроз либо применения неадекватных мер защиты.
Принцип непрерывности
Обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие мер защиты на всех этапах жизненного цикла активов.
Принцип разумной достаточности
«Абсолютная» защита активов невозможна. Выбор средств защиты, адекватных актуальным угрозам, осуществляется на основе анализа рисков.
Принцип законности
При выборе и реализации мер обеспечения информационной безопасности Софтлайн строго соблюдает применимое законодательство, требования нормативных правовых и технических документов в области информационной безопасности.
Принцип управляемости
Процессы обеспечения и совершенствования информационной безопасности должны быть управляемыми, т.е. необходимо осуществлять мониторинг, измерение параметров и своевременно корректировать процессы.
Принцип персональной ответственности
Ответственность за обеспечение информационной безопасности возлагается на каждого сотрудника в пределах его полномочий.
Ответственность за нарушение Политики
Сотрудники Софтлайн обязаны выполнять требования и правила информационной безопасности при работе с информацией и информационными активами Группы, её партнёров и контрагентов.
Высокие корпоративные стандарты и правила обеспечения информационной безопасности Софтлайн обязательны для всех без исключения сотрудников Группы и должны учитываться во взаимоотношениях с партнерами и контрагентами.
При использовании сети Интернет, при общении в социальных сетях и мессенджерах, использовании электронной почты, других электронных средств и платформ коммуникаций сотрудникам Софтлайн следует проявлять осмотрительность и сдержанность.
Каждый сотрудник Софтлайн за несоблюдение требований информационной безопасности несет дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с применимым законодательством.
Сотрудники партнёров и контрагентов, использующие информационные активы Софтлайн, а также предоставленную им информацию, несут ответственность в соответствии с договорными положениями, а также применимым законодательством.
Генеральный директор ГК «Софтлайн Россия»
В. Лавров
Скачать политику в формате PDF
Нашли ошибку? Пожалуйста, напишите нам.
Если вы хотите разместить публикацию, перейдите на страницу Добавить материал.
Если вы хотите вступить в клуб, пожалуйста, зарегистрируйтесь (вход тут).
Если вы хотите воспользоваться платными услугами, напишите нам, указав компанию, которую вы представляете, а также продукт или услугу, которые вы хотите рекламировать.
PR сервис от CISOCLUB в Telegram: t.me/cisoclub_pr.
Разработка политики информационной безопасности
Система информационной безопасности представляет из себя совокупность корпоративных правил и норм работы, процедур обеспечения ИБ, формируемую на основе аудита состояния информационной системы компании, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации ( ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и компаний активно взаимодействующих с отечественными и иностранными партнерами.
Достаточная надёжность системы информационной безопасности предприятия может быть реализована только в случае наличия на предприятии политики информационной безопасности. В противном случае разрозненные попытки различных служб по противодействию современным угрозам только создают иллюзию безопасности.
Современная система информационной безопасности представляет из себя синтез организационных и программно-технических мер, реализованных на основе единого подхода. При этом организационные меры не менее важны, чем технические – без внедрения безопасных приемов работы и осознания необходимости принимаемых мер, немыслимо создать действительно защищенную инфраструктуру безопасности.
Разработка системы информационной безопасности, как правило, состоит из следующих этапов:
- проведение аудита информационной безопасности предприятия;
- анализ возможных рисков безопасности предприятия и сценариев защиты;
- выработка вариантов требований к системе информационной безопасности;
- выбор основных решений по обеспечению режима информационной безопасности;
- разработка нормативных документов, включая политику информационной безопасности предприятия;
- разработка нормативных документов по обеспечению бесперебойной работы компании;
- разработка нормативной документации по системе управления информационной безопасностью;
- принятие выработанных нормативных документов
- создание системы информационной безопасности и системы обеспечения бесперебойной работы компании;
- сопровождение созданных систем, включая доработку принятых нормативных документов.
Выработанная политика информационной безопасности состоит из организационно-распорядительных и нормативно-методических руководящих документов и включает:
- общую характеристику объектов защиты и описание функций и принятых технологий обработки данных;
- описание целей создания системы защиты и путей достижения принятых целей;
- перечень действующих угроз информационной безопасности, оценку риска их реализации, модель вероятных нарушителей;
- описание принятых принципов и подходов к построению системы обеспечения информационной безопасности. Принятые меры обеспечения информационной безопасности разбиваются на два уровня:
- административно-организационные меры – действия сотрудников организации по обеспечению норм безопасности;
- программно-технические меры.
- описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам;
- описание политики антивирусной защиты;
- описание системы резервного копирования;
- описание порядка проведения восстановительных и регламентных работ;
- описание системы расследования инцидентов;
- порядок тестирования, приемки, аттестации и сертификации созданной системы на соответствие действующим стандартам. Данный этап создания системы необходим, так как аттестация созданных систем информационной безопасности по требованиям защищенности информации в соответствии с Российским законодательством является обязательным условием, позволяющим обрабатывать информацию ограниченного доступа. Сертификация же по действующим стандартам позволяет не только убедиться в качестве созданной системы, но и наладить полноценное взаимодействие с различными компаниями, что автоматически делает ее более привлекательной для зарубежных компаний при выборе деловых партнеров в России;
- план мероприятий по обеспечению безопасности, включая план развития системы информационной безопасности.
При формировании политики безопасности необходимо максимально учесть принятые нормы работы предприятия, с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.
Получить консультацию
Политика безопасности. Краткий обзор защитных политик. (часть первая)
Эта статья — первая из цикла, посвященного обсуждению того, как информационная
политика безопасности может использоваться для защиты ценных информационных
активов организации. В нашем мире, где, по существу, происходит информационная
и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в
скорости появления с соответствующими заплатами, где постоянно растущее число
различных операционных систем и приложений к ним вскорости превысит все уменьшающееся
из-за этого количество волос на голове системного администратора (которые, надеюсь,
еще не стали седыми), политика дает нам возможность изменить темп этой гонки,
заставить игру идти по нашим собственным правилам.
Вступление
Эта статья — первая из цикла, посвященного обсуждению того, как информационная
политика безопасности может использоваться для защиты ценных информационных
активов организации. В нашем мире, где, по существу, происходит информационная
и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в
скорости появления с соответствующими заплатами, где постоянно растущее число
различных операционных систем и приложений к ним вскорости превысит все уменьшающееся
из-за этого количество волос на голове системного администратора (которые, надеюсь,
еще не стали седыми), политика дает нам возможность изменить темп этой гонки,
заставить игру идти по нашим собственным правилам. Политика безопасности позволяет
организациям установить методы и процедуры для своего конкретного случая, что
уменьшает вероятность нападения или другого инцидента и минимизирует ущерб,
который такой инцидент, если он все же произойдет, мог бы причинять.
Много людей рассматривают политику, как вкусный, но необязательный десерт,
который может быть по желанию добавлен к основным блюдам – межсетевым защитам,
вирусным сканерам и VPN, слегка сдобренным IDS. Это неправильно. В этой статье
я попытаюсь объяснить, почему, на мой взгляд, именно политика должна служить
основой всесторонней стратегии информационной безопасности, и как политика может
быть эффективной, практической частью ваших цифровых защитных систем.
Что такое — политика?
Самое близкое по смыслу определение слова ‘политика’, которое можно найти в
словаре — это: «план или курс действий, как для правительств, политических
партий, или структур бизнеса, предназначенный, чтобы определить или повлиять
на решения, действия и другие вопросы» (American Heritage Dictionary of
the English language)
В терминах же компьютерной безопасности политику можно определить как изданный
документ (или свод документов), в котором рассмотрены вопросы философии, организации,
стратегии, методов в отношении конфиденциальности, целостности и пригодности
информации и информационных систем.
Таким образом, политика — набор механизмов, посредством которых ваши цели информационной
безопасности могут быть определены и достигнуты. Давайте, кратко исследуем каждую
из этих концепций. Для начала, рассмотрим цели информационной безопасности:
Конфиденциальность – обеспечение информацией только тех людей, которые
уполномочены для получения такого доступа. Хранение и просмотр ценной информации
только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен
для этого.
Целостность — поддержание целостности ценной и секретной информации
означает, что она защищена от неправомочной модификации. Существуют множество
типов информации, которые имеют ценность только тогда, когда мы можем гарантировать,
что они правильные. Главная цель информационной политики безопасности должна
гарантировать, что информация не была повреждена, разрушена или изменена любым
способом.
Пригодность – обеспечение того, чтобы информация и информационные системы
были доступны и готовы к эксплуатации всегда, как только они потребовались.
В этом случае, основная цель информационной политики безопасности должна быть
гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.
Эти цели характерны для любой системы безопасности.
Теперь обсудим механизмы, через которые эти цели могут быть достигнуты,
а именно:
Философия
Это — подход к организации информационной безопасности, структура, руководящие
принципы информационной стратегии безопасности. Философии безопасности можно
представить, как большой купол, под которым находятся все другие механизмы безопасности.
Философия должна объяснять во всех будущих ситуациях, почему вы делали именно
то, что вы делали.
Стратегия
Стратегия – это план или проект в философии безопасности. Детализация этого
плана показывает, как организация намеревается достигнуть целей, поставленных
(явно или неявно) в пределах структуры философии.
Правила
Правила – они и в Африке правила. Они объясняют, что нам следует делать, а
чего не следует делать никогда в нашей политике информационной безопасности.
Методы
Методы определяют, как организована наша политика. Они — практический гид того,
что и как делать в каждом конкретном случае.
Преимущества политики: какую выгоду предлагает политика?
В предыдущем разделе мы кратко рассмотрели, что такое политика, и более подробно,
что такое политика информационной безопасности. Но даже из этого краткого описания
уже должно быть ясно, что, когда мы имеем в виду политику, мы подразумеваем
серьезный бизнес. В сфере информационных технологий это обычно означает необходимость
серьезных инвестиции – денежных, временных, человеческих ресурсов. В этой области
невозможно скупиться на затраты, если мы планируем их возместить, эффективная
политика никогда не бывает быстрой для установки. Здесь возникает вопрос, который
для себя решают все, кто решил создать качественную политику информационной
защиты: «Что она даст такого, чего бы не было у меня, ну скажем для примера,
в Snort 1.7 для Bastion Linux?»
Вот — некоторые примеры того, что может быть достигнуто политикой защиты
Босс может сам контролировать это
Традиционно, если в организации нет четкой политики информационной безопасности,
вся ответственность, как за принятие решений по безопасности, так и за все сбои
и инциденты лежит на системных администраторах. Во многих организациях они не
могут нормально уйти в отпуск или на больничный, потому, что оставшиеся сотрудники
будут просто не в состоянии решить множество постоянно возникающих вопросов
и проблем. С другой стороны, в большинстве стран принято, что всю ответственность
за защиту активов компании несет руководство, а не какой-то никому не известный
системный администратор. Директор или руководитель отдела, как правило, не является
специалистом в области компьютерной безопасности и его попытки вмешиваться в
техническую сторону вопроса будут всегда приводить к неприятным последствиям.
Если же в организации разработана политика информационной безопасности, в которой
четко прописаны обязанности и уровень доступа самых разных сотрудников, то руководство
может легко, и что главное, с пользой для общего дела, контролировать выполнение
этих правил. Вовлечение руководства компании в дело информационной безопасности
приносит огромную вспомогательную выгоду — оно значительно увеличивает приоритет
безопасности, что положительно сказывается на общем уровне безопасности компании.
Обеспечение подтверждения должного усердия в вопросе безопасности
В некоторых отраслях промышленности ваша компания может иметь юридические обязательства
относительно целостности и конфиденциальности некоторой информации. В большинстве
случаев единственный путь, по которому вы можете доказать должное усердие в
этом отношении — издание политики безопасности. Поскольку политика отражает
философию и стратегию управления, это – четкое и бесспорное доказательство намерений
компании относительно качества информационной безопасности. Что интересно, ваших
партнеров, как правило, интересуют именно эти «намерения», а не технические
средства, которыми они могут быть достигнуты.
Иллюстрация обязательств по организации безопасности
Поскольку политика, как правило, публикуется, она может служить дополнительным
доводом для потенциальных клиентов / инвесторов, специалисты другой компании
могут сами оценить уровень компетентности ваших специалистов. Все большее число
крупных российских, а тем более, иностранных, компаний требуют доказательства
обеспечения достаточного уровня надежности и безопасности, в том числе и информационной,
своих инвестиций и ресурсов. Без наличия в вашей организации профессиональной
политики безопасности с вами в большинстве случаев просто не будут иметь никаких
контактов.
Практические выгоды от политики безопасности
Кто-то может возразить, что приведенные выше параметры обеспечивают скорее
маркетинговые и организационные преимущества. Хорошо, специально для них ниже
рассмотрим практические выгоды.
Она формируют эталонный тест измерения прогресса в вопросах безопасности
Политика отражает философию и стратегию управления в отношении информационной
безопасности. Также это — совершенный стандарт, которым может быть измерена
целесообразность и окупаемость затрат на компьютерную защиту. Например, если
вы хотите узнать, окупится ли установка, скажем, суперсовременной интеллектуальной
межсетевой защиты марки «Ответь хакеру тем же», проверенное космонавтами на
МКС, и стоимостью с небольшой Карибский островок, достаточно проверить, какой
ущерб и затраты предусмотрены в политике.
Точно так же, для того чтобы определить, эффективно ли расходует бюджет организации
новый менеджер IT безопасности, руководителю организации достаточно сравнить
предлагаемые выгоды с данными, прописанными в политике безопасности. И еще,
если политика правильно сформулирована и связана с трудовыми контрактами служащих,
то любые нарушения, типа установки игрушек на рабочем месте или порно-серфинга
в сети, могут быть наказаны согласно ранее оговоренным пунктам, подписанным
служащими. Даже просто наличие подобного документа в компании значительно улучшает
информационную безопасность и улучшает производительность труда сотрудников.
Она помогает гарантировать усердие и последовательность во всех филиалах
Самая большая проблема, с которой сталкиваются руководители службы информационной
безопасности крупных корпораций – не новые типы вирусов, не неизвестные эксплоиты
и даже не программы взлома и перехвата паролей. Нет, со всем этим можно бороться.
Труднее всего гарантировать, что системный администратор в отдаленном филиале
фирмы где-нибудь в Крыжополе вовремя появится на своем рабочем месте и установит
свежие заплаты, допустим к IIS, а не пойдет на пляж или не засидится дома за
телевизором во время матча чемпионата мира по футболу. А ведь от этого может
зависеть не только безопасность офиса в Крыжополе, но и безопасность всей корпорации
в целом. Хорошо осуществленная политика помогает гарантировать выполнение инструкций,
путем создания единой директивы и ясного назначения обязанностей и, что одинаково
важно, описания ответственности за последствия неудачи и неисполнение обязанностей.
Она служит гидом для информационной безопасности
Хорошо разработанная политика может стать Библией администратора. Печально,
но далеко не каждый сотрудник, чей компьютер подключен в вашу корпоративную
сеть, понимает угрозу TCP sequence number guessing атаки на OpenBSD. К счастью,
ваша политика безопасности IP сети будет гарантировать, что машины всегда установлены
в той части сети, которая предлагает уровень безопасности, соответствующей роли
машины и предоставляемой информации.
(продолжение следует …)