Разработка политики информационной безопасности

Введение

Развитие и рост предприятий очень тесно связан с ростом ИТ-инфраструктуры и информационных систем, сложность и масштабы которых постоянно растут, порождая при этом новые виды угроз, уязвимостей и рисков, которые прямым образом влияют на деятельность организации. Важная задача руководства – предотвратить эти угрозы, минимизировать риски и обеспечить должный уровень безопасности ИТ-инфраструктуры предприятия. Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Цели и задачи политики безопасности

Инвестиции организаций в обеспечение информационной безопасности в виде приобретаемых средств защиты, затрат на оплату труда специалистов, на проведение внешнего аудита безопасности и т. п., неуклонно увеличиваясь из года в год, зачастую не окупаются. Происходит это главным образом потому, что большинство организаций продолжают придерживаться фрагментарного подхода, который оправдывает себя только при слабой зависимости организации от ИТ и низком уровне рисков информационной безопасности. Адекватный уровень информационной безопасности в состоянии обеспечить только комплексный подход, предполагающий планомерное использование как программно-технических, так и организационных мер защиты на единой концептуальной основе. При этом организационные меры играют первостепенную роль. Эффективность самых сложных и дорогостоящих механизмов защиты сводится к нулю, если пользователи игнорируют элементарные правила парольной политики, а сетевые администраторы нарушают установленные процедуры предоставления доступа к ресурсам корпоративной сети. В основе организационных мер защиты информации лежат политики безопасности. От их эффективности в наибольшей степени зависит успешность любых мероприятий по обеспечению информационной безопасности.

Согласно международному стандарту ISO/IEC 27001, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала:

–          определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации

–          изложение целей и принципов информационной безопасности, сформулированных руководством

–          краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например, таких как:

–          соответствие законодательным требованиям и договорным обязательствам;

–          требования в отношении обучения вопросам безопасности;

–          предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

–          управление непрерывностью бизнеса;

–          ответственность за нарушения политики безопасности.

–          определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности

–          ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

 

–          Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме.

Разработка политики информационной безопасности

Для создания эффективной политики безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.

Методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер. В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи, внешние сервисы и т.п.

 

При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Основные этапы разработки политики информационной безопасности следующие:

–          Исследование текущего состояния информационной среды и информационной безопасности организации;

–          Анализ полученных сведений по результатам исследования;

–          Формирование плана работ по разработке политики информационной безопасности;

–          Разработка политика информационной безопасности организации.

Пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности включает следующие типы документов:

–          Политика информационной безопасности организации - высокоуровневый документ, описывающий основные принципы и правила, направленные на защиту информационных ресурсов организации;

–          Регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности в соответствии с основными принципами и правилами, описанными в политике;

–          Инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов;

–          Прочие документы, представляющие собой отчеты, регистрационные журналы и прочие низкоуровневые руководящие документы.

Заключение

Адекватный уровень информационной безопасности в современной организации может быть обеспечен только на основе комплексного подхода, реализация которого начинается с разработки и внедрения эффективных политик безопасности. Такие политики определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски информационной безопасности до приемлемой величины. Для того чтобы политика безопасности оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах безопасности и обучать их выполнению правил, предписываемых ею.