Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.
Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.
Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.
Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.
Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности:
- определение какие данные и насколько серьезно необходимо защищать,
- определение кто и какой ущерб может нанести фирме в информационном аспекте,
- вычисление рисков и определение схемы уменьшения их до приемлимой величины.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы - злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".
Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:
концепция безопасности информации;- определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
- сопоставление угроз с объектами защиты;
- оценка рисков;
- оценка величины возможных убытков, связанных с реализацией угроз;
- оценка расходов на построение системы информационной безопасности;
- определение требований к методам и средствам обеспечения информационной безопасности;
- выбор основных решений обеспечения информационной безопасности;
- организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
- правила разграничения доступа.
Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений .
Публикации по теме
|
29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети. |
|
Вне зависимости от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ обычно состоят из следующих этапов (рисунок 1):
– определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;
– оценка рисков;
– выбор контрмер, обеспечивающих режим ИБ;
– управление рисками;
– аудит системы управления ИБ;
– выработка политики безопасности.
DIV_ADBLOCK315">
Этап 3. Структуризация контрмер по защите информации по следующим основным уровням: административному, процедурному, программно-техническому.
Этап 4. Установление порядка сертификации и аккредитации КИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, в том числе периодического пересмотра положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы в области ИБ. Известно, что выработка политики безопасности организации – наименее формализованный этап. Однако в последнее время именно здесь сосредоточены усилия многих специалистов по защите информации.
Этап 5. Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания. На этом этапе определяются границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ строится именно в этих границах. Само описание границ системы рекомендуется выполнять по следующему плану:
– структура организации. Представление существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы ;
– ресурсы информационной системы, подлежащие защите. Целесообразно рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методика получения результатов по этим критериям;
· выработка принципов классификации информационных активов компании и оценивания их защищенности;
· оценка информационных рисков и управление ими;
· обучение сотрудников компании методам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками компании;
· консультирование менеджеров компании по вопросам управления информационными рисками;
· согласование частных политик и регламентов безопасности среди подразделений компании;
· контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;
· взаимодействие со службой персонала компании по проверке личных данных сотрудников при найме на работу;
· организация мероприятий по устранению нештатных ситуаций или чрезвычайных происшествий в области защиты информации в случае их возникновения;
Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Обычно субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т. е. ее не искаженности .
Существует различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда – служебная информация. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т. п.). Соответствующие действия в сетевой среде называются активным прослушиванием.
Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства. Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО – пример подобного нарушения.
Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя. Например, "троянцы" Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows.
Угроза нарушения конфиденциальности
Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".
Конфиденциальность информации – субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая н необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной. Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как «маскарад» – выполнение действий под видом лица, обладающего полномочиями для доступа к данным. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя.
В настоящее время наиболее распространены так называемые «фишинговые» атаки. Фи́шинг (fishing – рыбная ловля) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов (Rambler, Mail. ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники. ru). Целью фишеров сегодня являются клиенты банков и электронных платёжных систем . Так например в США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках в 2009 году.
Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.
Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.
Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.
Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливаливающей критерии для оценивания рисков и т.д.
Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа - задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть досточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.
BS ISO/IEC 27001:2005 4.2.1 b) Политика СУИБ:
Определить политику СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, которая:
включает в себя основу для определения ее целей и устанавливает общее направление и принципы деятельности по отношению к информационной безопасности;
учитывает требования бизнеса и требования законодательной или нормативной базы, а также контрактные обязательства в области безопасности;
объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение СУИБ;
устанавливает критерии для оценивания рисков (см. 4.2.1с)); и
утверждена руководством.
ПРИМЕЧАНИЕ: В этом Международном стандарте политика СУИБ рассматривается в качестве надмножества политики информационной безопасности. Эти политики могут быть описаны в одном документе.
BS ISO/IEC 17799:2005 5.1.1 Документированная политика информационной безопасности:
Механизм контроля
Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.
Руководство по внедрению
Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать следующие заявления:
определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);
заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;
основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;
краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:
соответствие требованиям законодательства, нормативной базы и договоров;
требования к повышению осведомленности, обучению и тренингам в области безопасности;
управление непрерывностью бизнеса;
последствия нарушений политики информационной безопасности;
определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;
ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.
Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.
Другая информация
Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации. Дополнительная информация содержится в ISO/IEC 13335-1:2004.
В современном мире понятие «политика информационной безопасности» может трактоваться как в широком, так и в узком смысле. Что касается первого, более широкого значения, она обозначает комплексную систему решений, которые приняты некоей организацией, документированы официально и направлены на обеспечение безопасности предприятия. В узком понимании под этим понятием кроется документ местного значения, в котором оговорены требования безопасности, система проводимых мер, ответственность сотрудников и механизм контроля.
Комплексная политика информационной безопасности является гарантией стабильного функционирования любой компании. Всесторонность ее заключается в продуманности и сбалансированности степени защиты, а также разработке правильных мер и системы контроля в случае каких-либо нарушений.
Все организационные методы играют важную роль в создании надежной схемы защиты информации, потому что незаконное использование информации является результатом злоумышленных действий, небрежности персонала, а не технических неполадок. Для достижения хорошего результата нужно комплексное взаимодействие организационно-правовых и технических мер, которые должны исключать все несанкционированные проникновения в систему.
Информационная безопасность - это гарантия спокойной работы компании и ее стабильного развития. Однако в основе построения качественной системы защиты должны лежать ответы на такие вопросы:
Какова система данных и какая степень серьезности защиты потребуется?
Кто в состоянии нанести урон компании при помощи нарушения функционирования информационной системы и кто может воспользоваться полученными сведениями?
Как можно свести подобный риск до минимума, не нарушая при этом слаженную работу организации?
Концепция информационной безопасности, таким образом, должна разрабатываться персонально для конкретного предприятия и согласно его интересам. Основную роль в ее качественных характеристиках играют организационные мероприятия, к которым можно отнести:
Организацию налаженной системы пропускного режима. Это делается с целью исключения тайного и несанкционированного проникновения на территорию компании посторонних лиц, а также контроль над пребыванием в помещении и временем его ухода.
Работа с сотрудниками. Суть ее состоит в организации взаимодействия с персоналом, подборе кадров. Еще важно ознакомление с ними, подготовка и обучение правилам работы с информацией, чтобы сотрудники знали рамки ее секретности.
Политика информационной безопасности предусматривает также структурированное использование технических средств, направленных на накопление, сбор и повышенной конфиденциальности.
Проведение работ, направленных на контроль над персоналом с точки зрения использования им секретной информации и разработке мер, которые должны обеспечивать ее защиту.
Затраты на проведение такой политики не должны превышать величину потенциального ущерба, который будет получен в результате ее утраты.
Политика информационной безопасности и ее эффективность во многом зависит от количества предъявленных к ней требований со стороны компании, которые позволяют уменьшить степень риска до нужной величины.
Политика информационной безопасности (Пример)
Краткое изложение политики
Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.
Введение
Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.
Информационная безопасность - это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.
Область действия
Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.
Цели информационной безопасности
1. Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.
2. Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.
3. Сохранение целостности материалов бухгалтерского учета.
4. Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.
Принципы информационной безопасности
1. Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.
2. Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.
3. Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.
4. Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.
5. Отчеты о состоянии информационной безопасности должны быть доступны.
6. Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.
7. Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.
8. Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.
Сферы ответственности
1. Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.
2. Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.
3. Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.
4. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.
Ключевые результаты
1. Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.
2. Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.
3. Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг
Связанные политики
Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:
1. Политика системы менеджмента информационной безопасности (СМИБ);
2. Политика контроля доступа;
3. Политика чистого стола и чистого экрана;
4. Политика неразрешенного программного обеспечения;
5. Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;
6. Политика, касающаяся мобильного кода;
7. Политика резервного копирования;
8. Политика, касающаяся обмена информацией между организациями;
9. Политика, касающаяся допустимого использования электронных средств связи;
10. Политика сохранения записей;
11. Политика использования сетевых служб;
12. Политика, касающаяся мобильных вычислений и связи;
13. Политика дистанционной работы;
14. Политика использования криптографического контроля;
15. Политика соответствия;
16. Политика лицензирования программного обеспечения;
17. Политика удаления программного обеспечения;
18. Политика защиты и секретности данных.
Все эти политики подкрепляют:
· идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;
· обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.
Политика информационной безопасности компании
· 1. Общие положения
o 1.1. Цель и назначение настоящей Политики
o 1.2. Область применения настоящей Политики
o 2.1. Ответственность за информационные активы
o 2.2. Контроль доступа к информационным системам
§ 2.2.1. Общие положения
§ 2.2.2. Доступ третьих лиц к системам Компании
§ 2.2.3. Удаленный доступ
§ 2.2.4. Доступ к сети Интернет
o 2.3. Защита оборудования
§ 2.3.1. Аппаратное обеспечение
§ 2.3.2. Программное обеспечение
o 2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность
o 2.6. Помещения с техническими средствами информационной безопасности
o 2.7. Управление сетью
o 2.7.1. Защита и сохранность данных
o 2.8. Разработка систем и управление внесением изменений
Общие положения
Информация является ценным и жизненно важным ресурсом ВАША_КОПАНИЯ (далее – Компания). Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Компании.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник Компании, при этом первоочередной задачей является обеспечение безопасности всех активов Компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Компании. Главные цели Компании не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
В настоящей Политике под термином "сотрудник" понимаются все сотрудники Компании. На лиц, работающих в Компании по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.
