Обзор подготовлен

версия для печати
Практики ИБ помогают рекомендациями

Практики ИБ помогают рекомендациями

Лучшие мировые практики в области построения систем управления информационной безопасности (СУИБ) основаны на общих стандартных подходах. Но при этом необходимо учитывать и индивидуальные особенности каждой организации. Связь между этими составляющими обеспечивается целой серией корпоративных документов. Особая роль при этом принадлежит Политике ИБ.

На сегодняшний день одной из основных проблем, с которой сталкиваются российские организации, заключается в отсутствии формализации процессов защиты информации. Это приводит к тому, что у бизнеса отсутствует утвержденная модель угроз и вытекающие из неё требования безопасности, не распределена ответственность за решения задач по защите информации. А рядовые сотрудники попросту не осведомлены о своих обязанностях в части соблюдения мер защиты. Для решения всех вышеперечисленных задач и предназначена политика информационной безопасности, особенности создания которой будут рассмотрены далее.

Цели и задачи политики ИБ необходимо выработать и задокументировать

С формальной точки зрения политика безопасности представляет собой официально принятую систему взглядов на цели, задачи, основные принципы и направления деятельности в области защиты от возможных угроз. Политика разрабатывается в виде внутрикорпоративного нормативного документа, который утверждается на уровне руководства организации. Крайне важно, чтобы политика утверждалась именно на уровне руководства компании, так как в противном случае статус документа будет существенно ниже и не позволит эффективно реализовывать требования по информационной безопасности.

Все положения политики носят долгосрочный характер и действуют в течение нескольких лет с момента её официального утверждения. Положения и требования политики должны распространяться на все центральные и региональные объекты автоматизации компании, в которых осуществляется хранение, обработка и передача информационных ресурсов, потенциально подверженных информационным атакам. Политика также относится и к подразделениям, осуществляющим сопровождение, обслуживание и обеспечение функционирования автоматизированной системы (АС) предприятия.

Основная цель политики заключается в создании нормативной базы для обеспечения комплексной защиты от угроз безопасности, предусматривающей применение как организационных, так и программно-технических методов защиты. При этом политика должна предусматривать возможность использования следующих мер.

Меры, предусмотренные политикой ИБ

Описание
1. Меры по выявлению и устранению уязвимостей, на основе которых реализуются угрозы безопасности. Превентивная защита этого типа обеспечивают возможность предотвращения информационных атак путём удаления уязвимостей, являющихся причиной их возникновения
2. Меры, направленных на своевременное обнаружение и блокирование атак злоумышленника
3. Меры, обеспечивающих выявление и ликвидацию последствий угроз безопасности. Данный класс направлен на минимизацию ущерба, нанесённого в результате реализации угроз безопасности

Источник: «ДиалогНаука», 2008

Политика может включать в себя меры, как превентивные, так и направленные на ликвидацию последствий угроз.

Разделы Политики ИБ

Описание этапа
1. Цели и задачи Политики безопасности
2. Общие сведения об активах
3. Модели угроз и нарушителей
4. Высокоуровневые требования информационной безопасности
5. Санкции и последствия нарушений политики
6. Определение общих ролей и обязанностей, связанных с обеспечением информационной безопасности
7. Перечень частных политик информационной безопасности
8. Положения по контролю реализации политики информационной безопасности
9. Ответственность за реализацию и поддержку документа
10. Условия пересмотра документа

Источник: «ДиалогНаука», 2008

Видно, что политика ИБ в какой-то степени напоминает юридический документ, а в чем-то технический регламент. В рамках проекта по разработке политики должны быть решены следующие основные задачи.

Задачи, решаемые при разработке Политики ИБ

Описание этапа
1. Проведена систематизация и анализ угроз информационной безопасности. Для этого в Политике должна быть разработана модель угроз безопасности, позволяющая описать характеристики тех угроз, от которых должна быть защищена АС компании
2. Проведена оценка текущего состояния информационной безопасности компании на основе имеющейся информации о структуре АС, а также установленных средствах защиты
3. Определена стратегия создания, функционирования и развития комплексной системы информационной безопасности
4. Разработаны концептуальные подходы к защите типовых объектов автоматизации компании от возможных угроз

Источник: «ДиалогНаука», 2008

Как уже говорилось, Политика ИБ не фиксирует текущее состояние дел, а направлена на создание условий для развития АС на основе индивидуальной модели угроз и построения адекватной СУИБ.

Нормативно-правовая база Политики ИБ не ограничивается законодательством РФ

Политика информационной безопасности должна разрабатываться на основе требований действующего законодательства Российской Федерации, а также учитывать рекомендации международных стандартов. Основные требования российского законодательства, касающегося вопросов защиты информации, изложены в общем виде в Федеральных законах и уточнены в документах Федеральной службы по техническому и экспортному контролю РФ (Гостехкомиссии России), ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению информационной безопасности.

Международные стандарты позволяют дополнить отечественное законодательство в тех областях, которые не затрагиваются российскими нормативно-правовыми документами. Примерами таких областей является аудит информационной безопасности, интеграция различных средств обеспечения безопасности, управление системами защиты и др. В настоящее время наибольшее распространение в России получили следующие Международные стандарты: ISO/IEC 17799, CobiT, ITIL, OCTAVE. В отличие от положений российского законодательства, требования международных стандартов носят рекомендательный характер.

Нормативно-правовые документы, которые должны учитываться в процессе разработки политики, можно разделить на следующие основные группы.

Нормативно-правовая база построения Политики ИБ

Описание
1. Правовые документы, которые включают в себя Федеральные законы и кодексы, указы и распоряжения Президента РФ, а также постановления правительства РФ
2. Специализированные нормативные документы, включающие в себя российские и международные стандарты, а также специальные требования ФСТЭК и ФСБ, касающиеся вопросов защиты информации
3. Внутренние организационно-распорядительные документы, которые действуют в организации, для которой разрабатывается политика информационно безопасности. Примерами таких документов являются должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности

Источник: «ДиалогНаука», 2008

Политика информационной безопасности должна дополняться техническими и организационными политиками, а также должностными инструкциями, технологическими профилями и т.д. Общая структура нормативно-методических документов компании в области информационной безопасности показана на рисунке ниже.

Общая структура нормативно-методических документов в области ИБ

Источник: «ДиалогНаука», 2008

Видно, что Политика ИБ находится на вершине пирамиды документов, которые служат для описания и регламентации частных случаев обеспечения ИБ и действий персонала.

Создать Политику мало - надо ее внедрить

После разработки пакета нормативных документов необходимо провести целый ряд мероприятий по их внедрению на предприятии. Для этого в первую очередь необходимо обеспечить укомплектование подразделений предприятия сотрудниками, ответственными за выполнение работ по защите от угроз безопасности. В ряде случаев эти обязанности могут быть совмещены с другими функциями, которые должны выполнять сотрудники компании

Кроме этого, в компании должен быть организован процесс обучения персонала вопросам информационной безопасности. Программа обучения должна быть направлена на донесение до сотрудников компании основных положений политики безопасности, а также вспомогательных документов, которые её дополняют.

Как правило, обучение должно проводиться представителями службы информационной безопасности или службы автоматизации предприятия. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты защиты информации. При этом программа обучения может по-разному составляться в зависимости от должностных обязанностей сотрудника, а также от того к каким информационным ресурсам он имеет доступ.

Виктор Сердюк, к.т.н., CISSP

Toolbar | КПК-версия | Подписка на новости  | RSS