Современные информационные технологии/
4.Информационная безопасность.
Горячкіна Ю.В.
Національний гірничий
університет, Україна
Обґрунтування
варіантів структури та вимог до політики безпеки інформації
Цінність
інформаційних ресурсів у наш час незаперечна. Тому питання інформаційної
безпеки поступово виходить на перший план у проблематиці національної безпеки.
Кожна велика організація застосовує новітні інформаційні технології, тому дуже
важливо мати комплекс заходів щодо захисту інформації. Головною метою будь-якої
системи забезпечення інформаційної безпеки є запобігання загроз безпеці
підприємства, захист його інтересів від протиправних посягань, недопущення
розкрадання фінансових засобів, розголошення, втрати, витоку, спотворення і
знищення службової інформації.
Політика
інформаційної безпеки є однією з вагомих складових комплексної системи захисту
інформації. Щоб дати чітке сформульоване визначення політики безпеки
скористаємося нормативно-правовою базою України в сфері захисту інформації.
Згідно з НД ТЗІ
1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах
від несанкціонованого доступу» під політикою безпеки інформації (information
security policy) розуміють сукупність законів, правил, обмежень, рекомендацій,
інструкцій тощо, які регламентують порядок обробки інформації [1].
В НД ТЗІ 1.1-002-99
«Загальні положення щодо захисту інформації в комп’ютерних системах від
несанкціонованого доступу» є визначення політиці безпеки інформації - набір
законів, правил, обмежень, рекомендацій і т. ін., які регламентують порядок обробки інформації і спрямовані на
захист інформації від певних загроз [2]. Термін "політика безпеки"
застосовують щодо організацій, операційних систем, автоматизованих систем,
послуг, що реалізуються системою (набору функцій) для забезпечення захисту від
певних загроз.
Для кожної автоматизованої
системи (АС) політика безпеки інформації є індивідуальною та залежить від того,
як оброблюється інформація, яка реалізується, особливостей операційної системи,
фізичного середовища і від інших чинників. Автоматизована система може
реалізовувати не одну технологію обробки інформації. Тому політика безпеки
інформації в такій АС буде складеною. Це означає, що її частини, які
відповідають різним технологіям, можуть відрізнятись одна від одної.
Політика безпеки визначає
ресурси АС, які потребують захисту.
Політика безпеки має проводити категоріювання інформації, оброблюваної в АС та
має визначити основні загрози для операційної системи, інформації різних
категорій, персоналу та вимоги до захисту від цих загроз. У загальній політиці
безпеки мають бути політики забезпечення конфіденційності, цілісності і
доступності оброблюваної інформації. Увесь персонал має буди ознайомлений з
вимогами та нести відповідальність за дотримання правил, які вказані у
відповідному розділі.
Проаналізуємо
структуру політики безпеки за стандартом ISO/IEC 27003:2011: політика безпеки
може мати наступну структуру:
1. стисле викладення політики -
загальний опис з одного-двох речень;
2. вступ - стисле пояснення предмета
політики;
3. область дії - описує частини або дії
організації, що знаходяться під
впливом політики; при необхідності, у
пункті "Область дії" перераховуються
інші політики, підкріплені даної
політикою;
4. цілі - опис призначення політики;
5. принципи - опис правил, що
стосуються дій і рішень для досягнення цілей; у
деяких випадках може бути корисним
визначити ключові процеси, пов'язані з
предметом політики, і потім - правила
виконання процесів;
6. сфери відповідальності - хто
відповідає за дії з виконання вимог політики; у деяких випадках цей пункт може
містити опис організаційних угод, а
також сфери відповідальності осіб з
певними ролями;
7. ключові результати - опис
результатів, які отримало підприємство, якщо цілі досягнуті;
8. пов'язані політики - опис інших
політик, що відносяться до досягнення цілей,
зазвичай з поданням додаткових
подробиць, що стосуються окремих
предметів. [3]
Примітка. Зміст
політики може бути організовано різними способами. Наприклад, організації, які
роблять акцент на ролях і сферах відповідальності, можуть спростити опис цілей,
і застосовувати принципи конкретно до ролей і сферам відповідальності.
Згідно зі структурою
політики безпеки за стандартом ISO/IEC 27001:2010: політика безпеки може мати
наступну структуру:
1.
визначити сферу і межі використання СУІБ виходячи з характеристик
бізнесу, організації, її розташування,
активів і технологій, охоплюючи подробиці
та обґрунтування будь-яких винятків із
галузі застосування;
2. визначити політику СУІБ, виходячи
з характеристик бізнесу,
організації, її розташування, активів і
технологій та підхід організації до оцінки ризику;
3. ідентифікувати ризики, проаналізувати їх та оцінити;
4. ідентифікувати та
оцінити альтернативні варіанти
оброблення ризиків;
5. вибрати цілі контролів та контролі
для оброблення ризиків. [4]
Політика безпеки
встановлює правила, які визначають конфігурацію систем, дії службовців
організації у звичайних умовах і в разі непередбачених обставин. Таким чином,
політика виконує дві основні функції: визначає безпеку всередині організації та
визначає місце кожного службовця в системі безпеки.
Саме тому політика
інформаційної безпеки повинна в першу чергу визначити чотири базові принципи:
1. принцип побудови політики (політика
безпеки може базуватися на одному з двох принципів: або «Все, що явно не
заборонено, те дозволено», або «Все, що явно не дозволено, то заборонено»);
2. принцип реакції на інциденти
(реакція на інциденти повинна базуватися на одному з двох принципів: або
«Захиститися і продовжити», або «Виявити і засудити»);
3. принцип контролю інформаційної
безпеки (будь-які заходи щодо захисту інформації даремні, якщо немає контролю;
контроль інформаційної безпеки буває одним з двох: або умовно-постійний, або
дискретний);
4. принцип аудиту (є два способи аудиту
інформаційної безпеки: зовнішній і внутрішній, тобто силами залучених фахівців
або своїми силами.).
Ми розглянули
основні питання стосовно політики безпеки інформації – сукупність законів,
правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок
обробки інформації. Вивчили різноманітні структури політики інформаційної
безпеки. Розглянули основні принципи політики безпеки.
Кожна зі згаданих структур
має свої недоліки та переваги щодо організації
політики інформаційної безпеки. Чітко визначити яка саме потрібна структура
можливо тільки при детальному розгляді усіх цілей та потреб.
Література:
1. НД ТЗІ 1.1-003-99 «Термінологія в
галузі захисту інформації в комп’ютерних системах від несанкціонованого
доступу»
2. НД ТЗІ 1.1-002-99 «Загальні
положення щодо захисту інформації в комп’ютерних системах від несанкціонованого
доступу»
3. ISO/IEC 27003:2011
4. ISO/IEC 27001:2010