Конспекты
по Основам управления информационной безопасности
Разработка политики информационной безопасности
Цель работы
Изучить структуру типовой политики информационной безопасности и научиться составлять частную политику информационной безопасности.
Теоретическая часть
В современной практике термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности.
Примерами таких документов могут служить:
- Правила работы пользователей в корпоративной сети;
- Правила работы пользователей в корпоративной сети;
- Политика обеспечения безопасности при взаимодействии с сетью Интернет;
- Антивирусная политика, инструкция по защите от компьютерных вирусов;
- Политика выбора и использования паролей;
- Правила предоставления доступа к ресурсам корпоративной сети;
- Политика установки обновлений программного обеспечения;
- Политика и регламент резервного копирования и восстановления данных;
- Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.
Разработка политик безопасности собственными силами – длительный трудоемкий процесс, поэтому на практике адаптируют следующий ряд докуметов:
- ISO 17799;
- ISO 9001;
- ISO 15408;
- BSI;
- COBIT;
- ITIL;
- etc.
Основными нормативными документами в области информационной безопасности выступают:
- «Общие критерии оценки безопасности информационных технологий» (ISO 15408),которые определяют функциональные требования безопасности и требования адекватности реализации функций безопасности;
- «Практические правила управления информационной безопасностью» (ISO 17799).
Для того, чтобы сформировать и определить политику информационной безопасности, понадобятся следующие исходные данные:
- Необходимо определить информацию, которая подлежит защите, и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией;
- Определить топологии средств автоматизации (физической и логической);
- Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа;
- Определить угрозы безопасности информации и создать модель нарушителя;
- Обнаружить и описать известные угроз и уязвимости;
- Расположить угрозы по убыванию уровня риска (провести анализ рисков).
Ответственность и обязательства персонала
Эффективная информационная безопасность требует соответствующего участия персонала. Персонал ответственен за свои действия и, следовательно, отвечает за все события и последствия под своим идентификационным кодом пользователя (логин/пароль). Придерживаться политик и процедур доступа к сетям и системам – обязанность персонала.
Ответственность персонала включает, но не ограничивается следующим:
- считывать и передавать только данные, на которые у Вас есть авторизованные права и которые Вам положено знать, включая ошибочно адресованную электронную почту;
- сознательно придерживаться всех политик, законов и нормативных документов (локальных, федеральных, международных), касающихся использованию компьютерных систем и программ;
- сообщать о нарушениях информационной безопасности ответственным за безопасность сотрудникам, тесно сотрудничать в расследованиях злоупотреблений и неправомерных действий персонала с ИТ ресурсами;
- защищать назначенные Вам имя и коды пользователя, пароли, другие ключи доступа от раскрытия;
- оберегать и содержать конфиденциальную печатную информацию, магнитные и электронные носители в предназначенных для этого местах, когда они не в работе и размещать их в соответствии с политикой компании;
- использовать только приобретенное компанией и лицензионное программное обеспечение, разрешенное для использования внутри компании, устанавливать программы и сервисы только через сотрудника ИТ подразделения;
Политика разрешения доступа к технологическим ресурсам
Политика разрешения доступа к технологическим ресурсам подразделения, службы, отделы, чья деятельность связана с использованием ИТ ресурсов компании, выдачей разрешений доступа к этим ресурсам. Описывает процедуры, которые должны быть выполнены всеми участниками процесса разрешения доступа к ИТ ресурсам компании.
Политика пользования электронной почтой
Политика пользования электронной почтой предоставляет персоналу разрешенные правила пользования ресурсами электронной почты (e-mail) компании. Политика охватывает e-mail, приходящий или отправляемый через все принадлежащие компании персональные компьютеры, сервера, ноутбуки, терминалы, карманные переносные компьютеры, сотовые телефоны и любые другие ресурсы, способные посылать или принимать e-mail по протоколам SMTP, POP3, IMAP.
Антивирусная политика
Антивирусная политика применяется ко всем компьютерам сети компании, каталогам общего пользования, к которым относятся настольные компьютеры, ноутбуки, file/ftp/proxy серверы, терминалы, любое сетевое оборудование, генерирующее трафик. Источниками вирусов могут быть e-mail, Интернет-сайты со скрытыми вредоносными активными элементами, носители информации (флоппи-диски, CD-диски, flash-диски и пр.), открытые для общего доступа папки и файлы и т.д.
Политика подготовки, обмена и хранения документов
Политика подготовки, обмена и хранения документов охватывает все подразделения, службы, отделы, чья деятельность связана с подготовкой, копированием, хранением, обменом документами, информацией, данными с использованием информационно-технологических ресурсов компании. Персонал компании должен придерживаться следующих требований по подготовке, копированию, хранению, обмену документами, информацией, данными , файлами...
Политика серверной безопасности
Политика серверной безопасности применяется к серверному оборудованию, принадлежащему и используемому в компании, и к серверам, зарегистрированным в принадлежащих компании внутренних сетевых доменах.
Контрольные вопросы
Дайте определение политики информационно безопасности.
Политика безопасности – это совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Из каких основных документов состоит политика информационной безопасности?
- Правила работы пользователей в корпоративной сети
- Политика обеспечения безопасности удаленного доступа к ресурсам корпоративной сети
- Политика обеспечения безопасности при взаимодействии с сетью Интернет
- Антивирусная политика, инструкция по защите от компьютерных вирусов
- Политика выбора и использования паролей;
- Правила предоставления доступа к ресурсам корпоративной сети;
- Политика установки обновлений программного обеспечения;
- Политика и регламент резервного копирования и восстановления данных;
- Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями
Назовите общее содержание политики разрешения доступа к технологическим ресурсам.
Описывает процедуры, которые должны быть выполнены всеми участниками процесса разрешения доступа к ИТ ресурсам компании Например, весь персонал, допущенный к работе с ИТ ресурсами компании, должен:
- иметь соответствующую компьютерную подготовку
- пройти тестовый контроль и, при необходимости, обучение работе с корпоративными информационными системами
- получить и иметь авторизованный доступ к выделенным ему ресурсам компании
- ознакомиться и соблюдать политики безопасности
Что включает в себя политика пользования электронной почтой?
Она предоставляет персоналу разрешенные правила пользования ресурсами электронной почты (e-mail) компании. Политика охватывает e-mail, приходящий или отправляемый через все принадлежащие компании персональные компьютеры, сервера, ноутбуки, терминалы, карманные переносные компьютеры, сотовые телефоны и любые другие ресурсы, способные посылать или принимать e-mail по протоколам SMTP, POP3, IMAP
Назовите общее содержание антивирусная политика.
В ней описываются какое антивирусное По использовать, как часто должны выполняться антивирусные проверки, правила рабоыт пользователей с антивирусами, а также рекомендованные антивирусные процедуры, например:
- всегда запускайте доступное на корпоративном сервере (сайте) антивирусное программное обеспечение.
- никогда не скачивайте файлы с неизвестных, подозрительных и «зазывающих» Интернет-сайтов;
Назовите общее содержание политика подготовки, обмена и хранения документов.
Персонал компании должен придерживаться следующих требований по подготовке, копированию, хранению, обмену документами, информацией, данными, файлами.
По содержанию:
- документы по виду и содержанию должны соответствовать официальному имиджу компании, следует употреблять общепринятую деловую лексику;
- следует избегать употребления слов и выражений, раскрывающих критическую деятельность компании, в необходимых случаях использовать сокращения.
По хранению:
- документы должны создаваться и храниться в папках Мои Документы;
- критичные для компании документы после создания и обработки следует хранить в общедоступной папке ДляОбмена
По обмену электронными документами:
- разрешено считывать, передавать, изменять только данные, на которые у Вас есть авторизованные права и которые Вам положено знать включая ошибочно доступные папки и электронную почту;
- внутриофисный обмен файлами может выполняться через общедоступную папку на сервере
Что включает в себя политика информационно-технической поддержки?
Она охватывает и описывает все уровни поддержки персонала, выполняемые по заявкам через службу HelpDesk - единой точки контакта с персоналом.
Что включает в себя политика серверной безопасности?
Применяется к серверному оборудованию, принадлежащему и используемому в компании, и к серверам, зарегистрированным в принадлежащих компании внутренних сетевых доменах.
Все серверы компании должны быть идентифицированы:
- имя и местонахождение;
- перечень и версии оборудования и операционной системы;
- главные функции и развернутые приложения. Изменения конфигураций и назначения серверов должны сопровождаться соответствующим изменением процедур управления.