Разработка политики безопасности информационной системы

Разработка политики информационной безопасности

Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политики безопасности.

Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.

Основные направления разработки политики безопасности:

· определение объема и требуемого уровня защиты данных;

· определение ролей субъектов информационных отношений.

В «Оранжевой книге» политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.

Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

· основные положения информационной безопасности организации;

· область применения политики безопасности;

· цели и задачи обеспечения информационной безопасности организации;

· распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.

При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.

В состав автоматизированной информационной системы входят следующие компоненты:

· аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;

· программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

· данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

· персонал – обслуживающий персонал и пользователи.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д.

Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):

· специалист по информационной безопасности;

· поставщики аппаратного и программного обеспечения;

В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.).

Владелец информации – лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Администратор сети – лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.

Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

Пример разработки политики безопасности организации

Что нужно для создания политики безопасности

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

• Уточнение важности информационных и технологических активов предприятия;
• определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
• Определение рисков на угрозы активам;
• Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
• Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
• Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

• указывать на причины и цели создания политики безопасности;
• осматривать, какие границы и ресурсы охватываются политикой безопасности;
• определить ответственных по политике безопасности;
• определить условие не выполнение и так званное наказание
• политики безопасности должны быть реальными и осуществимыми;
• политики безопасности должны быть доступными, краткими и однозначными для понимания;
• должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

• создание адекватной команды для создание политики;
• решить вопросы об возникающих особенностях при разработки.
• решить вопросы об области действии и цели создании политики;
• решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на локальные атаки. Сделав основные шаги нужно проанализировать есть ли выход локальной сети(seti_PDH или seti_dwdm) в интернет. Ведь при выходе сети в интернет возникает вопрос о проблемах защиты информации в сетях. Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и оценки рисков.Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

На этом этапе реализуются следующие шаги:

• анализ угроз информационной безопасности которые непосредственно обозначены для объекта защиты;
• оценка и идентификация цены информационных и технологических активов;
• осмотр вероятности реализации угроз на практике;
• осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

• Вход, допустим это пользователь делает запрос на создания нового пароля;
• механизм, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора;
• Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
• Выход, это результат процесса. Получение пароля.

Компоненты архитектуры безопасности

Физическая безопасность, важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

• открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
• контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
• особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и тд). также должен быть обозначен метод обнаружения ошибок при передачи информации. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Ресурсы делят на две категории, которые подвержены угрозам:

• Ресурсы ОС;
• Ресурсы пользователя.
• Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру спутниковые системы;

Определение полномочий администратору, должны быть четко обозначены и также все их действие должны логироватся и мониториться. Также есть администраторы которые следят за контролем удаленного доступа к ресурсам.

• должны определить полномочия для каждой системы и платформы;
• проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

• каждое нарушение безопасности должно давать сигнал события;
• Одно событие не есть поводом для утверждения, они должны накапливаться;
• должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

• Анализ информационных предприятия, который могут нанести максимальный ущерб.
• Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия.
• Разработать планы действий при ЧС для уменьшения ущерба.
• Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

• Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
• Осмотр бизнес-стратегии предприятия.
• Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рекомендуемая структура руководящих документов для реализации информационной безопасности показана на рис.4.

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

• анализа информационных угроз и методов их уменьшения
• создание норм и правил безопасности разных уровней предприятия
• уточнение методов защиты, которые будут реализованы на предприятии
• конкретное определение процедур безопасности
• анализ ожиданий относительно результатов от сотрудников и компании в целом
• реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Срок действия — с 1 января по 31 декабря … года.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз, сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

• управление бизнесом
• отдел защиты информации
• техническое управление
• департамент управления рисками
• отдел системного/сетевого администрирования
• юридический отдел
• департамент системных операций
• отдел кадров
• служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

• назначения ценности информационных активов
• управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
• управление информационной безопасностью
• обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

• Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
• Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
• Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
• Комплексность — должны учитываться все направления безопасности.
• Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
• Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
• Своевременность — все противодействия угрозам должны быть своевременны.
• Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
• Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
• Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Разработка политики ИБ

Развитие и рост предприятий очень тесно связан с ростом ИТ-инфраструктуры и информационных систем , сложность и масштабы которых постоянно растут, порождая при этом новые виды угроз, уязвимостей и рисков, которые прямым образом влияют на деятельность организации.

Возникновение проблем в информационной безопасности организации приводит как к финансовым, так и к репутационным потерям . Важная задача руководства – предотвратить эти угрозы, минимизировать риски и обеспечить должный уровень безопасности ИТ-инфраструктуры предприятия.

О политике информационной безопасности

Политика информационной безопасности – это высокоуровневый документ, который включает в себя принципы и правила, определяющие и ограничивающие определенные виды деятельности объектов и участников системы информационной безопасности, направленные на защиту информационных ресурсов организации.

Как известно, стратегическое планирование позволяет определить основные направления деятельности организации, связав воедино маркетинг, производство и финансы. Долгосрочный стратегический план позволяет компании выстроить все свои бизнес-процессы с учетом микро и макросреды для достижения наилучших финансовых показателей и темпов экономического роста. Важной составляющей в стратегическом планировании является учет требований политики информационной безопасности, которые должны быть краеугольным камнем при определении среднесрочных и долгосрочных целей и задач организации. С ростом компании и пересмотром планов политика также должна пересматриваться. Низкоуровневые документы информационной безопасности необходимо пересматривать в соответствии с реализацией краткосрочных планов.

Политика информационной безопасности неразрывно связана с развитием компании, ее стратегическим планированием, она определяет общие принципы и порядок обеспечения информационной безопасности на предприятии. Политика информационной безопасности тесно интегрируется в работу предприятия на всем этапе его существования. Все решения, предпринимаемые на предприятии, должны учитывать её требования.

Эффективное обеспечение требуемого уровня информационной безопасности организации возможно только при наличии формализованного и системного подхода к выполнению мер по защите информации. Целью разработки политики информационной безопасности организации является создание единой системы взглядов и понимания целей, задач и принципов обеспечения информационной безопасности.

Основные этапы разработки политики информационной безопасности следующие:

• Исследование текущего состояния информационной среды и информационной безопасности организации;
• Анализ полученных сведений по результатам исследования;
• Формирование плана работ по разработке политики информационной безопасности;
• Разработка политика информационной безопасности организации.

Пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности включает следующие типы документов:

• Политика информационной безопасности организации — высокоуровневый документ, описывающий основные принципы и правила, направленные на защиту информационных ресурсов организации;
• Регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности в соответствии с основными принципами и правилами, описанными в политике;
• Инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов;
• Прочие документы, представляющие собой отчеты, регистрационные журналы и прочие низкоуровневые руководящие документы.

Конкретные проекты необходимых документов каждого типа определяются в ходе обследования существующего уровня информационной безопасности Заказчика, её организационной структуры и основных бизнес процессов.

Разработка политики информационной безопасности

Система информационной безопасности представляет из себя совокупность корпоративных правил и норм работы, процедур обеспечения ИБ, формируемую на основе аудита состояния информационной системы компании, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации ( ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и компаний активно взаимодействующих с отечественными и иностранными партнерами.

Достаточная надежность системы информационной безопасности предприятия может быть реализована только в случае наличия на предприятии политики информационной безопасности. В противном случае разрозненные попытки различных служб по противодействию современным угрозам только создают иллюзию безопасности.

Современная система информационной безопасности представляет из себя синтез организационных и программно-технических мер, реализованных на основе единого подхода. При этом организационные меры не менее важны, чем технические – без внедрения безопасных приемов работы и осознания необходимости принимаемых мер, немыслимо создать действительно защищенную инфраструктуру безопасности.

Разработка системы информационной безопасности, как правило, состоит из следующих этапов:

• проведение аудита информационной безопасности предприятия;
• анализ возможных рисков безопасности предприятия и сценариев защиты;
• выработка вариантов требований к системе информационной безопасности;
• выбор основных решений по обеспечению режима информационной безопасности;
• разработка нормативных документов, включая политику информационной безопасности предприятия;
• разработка нормативных документов по обеспечению бесперебойной работы компании;
• разработка нормативной документации по системе управления информационной безопасностью;
• принятие выработанных нормативных документов
• создание системы информационной безопасности и системы обеспечения бесперебойной работы компании;
• сопровождение созданных систем, включая доработку принятых нормативных документов.

Выработанная политика информационной безопасности состоит из организационно-распорядительных и нормативно-методических руководящих документов и включает:

• общую характеристику объектов защиты и описание функций и принятых технологий обработки данных;
• описание целей создания системы защиты и путей достижения принятых целей;
• перечень действующих угроз информационной безопасности, оценку риска их реализации, модель вероятных нарушителей;
• описание принятых принципов и подходов к построению системы обеспечения информационной безопасности. Принятые меры обеспечения информационной безопасности разбиваются на два уровня:
  • административно-организационные меры – действия сотрудников организации по обеспечению норм безопасности;
  • программно-технические меры
• описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам;
• описание политики антивирусной защиты;
• описание системы резервного копирования;
• описание порядка проведения восстановительных и регламентных работ;
• описание системы расследования инцидентов;
• порядок тестирования, приемки, аттестации и сертификации созданной системы на соответствие действующим стандартам. Данный этап создания системы необходим, так как аттестация созданных систем информационной безопасности по требованиям защищенности информации в соответствии с Российским законодательством является обязательным условием, позволяющим обрабатывать информацию ограниченного доступа. Сертификация же по действующим стандартам позволяет не только убедиться в качестве созданной системы, но и наладить полноценное взаимодействие с различными компаниями, что автоматически делает ее более привлекательной для зарубежных компаний при выборе деловых партнеров в России;
• план мероприятий по обеспечению безопасности, включая план развития системы информационной безопасности.

При формировании политики безопасности необходимо максимально учесть принятые нормы работы предприятия, с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.

Более подробную информацию вы можете получить, связавшись со специалистами нашей компании.

Пример разработки политики безопасности организации

Что нужно для создания политики безопасности

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

• Уточнение важности информационных и технологических активов предприятия;
• определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
• Определение рисков на угрозы активам;
• Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
• Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
• Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

• указывать на причины и цели создания политики безопасности;
• осматривать, какие границы и ресурсы охватываются политикой безопасности;
• определить ответственных по политике безопасности;
• определить условие не выполнение и так званное наказание
• политики безопасности должны быть реальными и осуществимыми;
• политики безопасности должны быть доступными, краткими и однозначными для понимания;
• должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

• создание адекватной команды для создание политики;
• решить вопросы об возникающих особенностях при разработки.
• решить вопросы об области действии и цели создании политики;
• решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на локальные атаки. Сделав основные шаги нужно проанализировать есть ли выход локальной сети(seti_PDH или seti_dwdm) в интернет. Ведь при выходе сети в интернет возникает вопрос о проблемах защиты информации в сетях. Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и оценки рисков.Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

На этом этапе реализуются следующие шаги:

• анализ угроз информационной безопасности которые непосредственно обозначены для объекта защиты;
• оценка и идентификация цены информационных и технологических активов;
• осмотр вероятности реализации угроз на практике;
• осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

• Вход, допустим это пользователь делает запрос на создания нового пароля;
• механизм, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора;
• Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
• Выход, это результат процесса. Получение пароля.

Компоненты архитектуры безопасности

Физическая безопасность, важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

• открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
• контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
• особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и тд). также должен быть обозначен метод обнаружения ошибок при передачи информации. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Ресурсы делят на две категории, которые подвержены угрозам:

• Ресурсы ОС;
• Ресурсы пользователя.
• Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру спутниковые системы;

Определение полномочий администратору, должны быть четко обозначены и также все их действие должны логироватся и мониториться. Также есть администраторы которые следят за контролем удаленного доступа к ресурсам.

• должны определить полномочия для каждой системы и платформы;
• проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

• каждое нарушение безопасности должно давать сигнал события;
• Одно событие не есть поводом для утверждения, они должны накапливаться;
• должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

• Анализ информационных предприятия, который могут нанести максимальный ущерб.
• Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия.
• Разработать планы действий при ЧС для уменьшения ущерба.
• Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

• Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
• Осмотр бизнес-стратегии предприятия.
• Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рекомендуемая структура руководящих документов для реализации информационной безопасности показана на рис.4.

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

• анализа информационных угроз и методов их уменьшения
• создание норм и правил безопасности разных уровней предприятия
• уточнение методов защиты, которые будут реализованы на предприятии
• конкретное определение процедур безопасности
• анализ ожиданий относительно результатов от сотрудников и компании в целом
• реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Срок действия — с 1 января по 31 декабря … года.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз, сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

• управление бизнесом
• отдел защиты информации
• техническое управление
• департамент управления рисками
• отдел системного/сетевого администрирования
• юридический отдел
• департамент системных операций
• отдел кадров
• служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

• назначения ценности информационных активов
• управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
• управление информационной безопасностью
• обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

• Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
• Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
• Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
• Комплексность — должны учитываться все направления безопасности.
• Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
• Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
• Своевременность — все противодействия угрозам должны быть своевременны.
• Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
• Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
• Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.