- •Содержание
- •Введение
- •Производственные системы и процессы подлежащие защите.
- •Цели политики информационной безопасности.
- •Правила информационной безопасности.
- •Физическая безопасность.
- •Защита по периметру
- •Внутри центра данных
- •Аутентификация и безопасность сети.
- •Реализация политики безопасности
- •Межсетевой обмен
- •Обмен данными
- •Аутентификация
- •Сервер аутентификации
- •Доступ к Интернету
- •4.1. Разрешенные службы
- •Антивирусная защита.
- •Шифрование.
- •Заключение.
- •Список используемой литературы.
Цели политики информационной безопасности.
Какой же должна быть хорошая политика информационной безопасности? Для решения этого вопроса необходимо обратиться к международным стандартам в области управления информационной безопасностью ISO 27001 и ISO 27002 (бывший ISO 17799).
Согласно этим стандартам, целью политики информационной безопасности является обеспечение развития организации в области ИБ в соответствии с целями бизнеса и требованиями, предъявляемыми различными регулирующими органами.
Стандарт ISO 27002 определяет, что политика информационной безопасности должна быть одобрена руководством компании, опубликована и доведена до сведения всех сотрудников и заинтересованных сторонних организаций.
Политика информационной безопасности должна включать следующее:
Определение понятия информационная безопасность;
Цели обеспечения информационной безопасности;
Признание важности обеспечения информационной безопасности;
Заявление о намерении руководства компании поддерживать цели и принципы обеспечения информационной безопасности, соответствующим целям бизнеса;
Подход к управлению рисками и выбора контрмер для минимизации рисков информационной безопасности;
Краткое объяснение принципов информационной безопасности, требования информационной безопасности (выполнение требований регуляторов, обучение в области информационной безопасности, обеспечение непрерывности бизнеса, последствия нарушения положений политики информационной безопасности);
Определение общих и специфических обязанностей по обеспечению информационной безопасности;
Ссылки на более детальные политики и процедуры, поддерживающие политику информационной безопасности.
Политика информационной безопасности должна пересматриваться через определенные интервалы времени и в случае значительных изменений (изменения структуры компании, стратегических целей бизнеса) для того, чтобы оставаться актуальной и эффективной.
В стандарте ISO 27001 говорится о политике системы управления информационной безопасностью (ISMS policy), которая рассматривается как надмножество политики информационной безопасности, но отмечается, что обе политики могут быть описаны в одном документе. Для простоты изложения будем считать, что это один документ и будем по-прежнему называть его политикой информационной безопасности.
Помимо того, что политика информационной безопасности должна быть утверждена руководством и должна определять принципы информационной безопасности, подход к выбору мер по снижению рисков информационной безопасности, учитывать требования законодательства и закрепленные в контрактах, не противоречить подходу к управлению рисками, принятом в компании, она должна также определять критерии для оценки рисков.
Также к самому документу, как составной части документации системы управления информационной безопасности, стандарт ISO 27001 предъявляет ряд требований, среди которых:
наличие истории изменений и версии;
утверждение документа перед его публикацией.
Типовые цели (то есть такие, которые должны быть учтены на любом предприятии) это:
- обеспечение уровня безопасности, соответствующего нормативным документам предприятия;
- следование экономической целесообразности в выборе защитных мер;
- обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС;
- обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации;
- выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.
Так как предприятие не является режимным (информация на данном предприятии не относится к информации государственной важности), и не предоставляет информационные ресурсы в реальном времени другим лицам, поэтому из дополнительных целей политики информационной безопасности ограничимся следующими:
- защита интеллектуальной собственности предприятия (чертежи, рецептуры, макеты и т. д.)
- обеспечение конфиденциальности личных данных работников предприятия.
- постоянный мониторинг состояния ИС предприятия
- корректировка политики информационной безопасности в зависимости от текущего положения ИС предприятия
- выработка плана ответных действий на нарушение политики безопасности из двух вариантов:
«выследить и осудить», когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания (данную стратегию одобряют правоохранительные органы!);
«защититься и продолжить», когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению.
Перечень обстоятельств, позволяющих выбрать стратегию ответных мер, приведен в таблице:
Критерии выбора ответных мер
Защититься и продолжить |
Выследить и осудить |
s активы ИВС недостаточно защищены; s продолжительность вторжения сопряжена с финансовым риском; s неизвестен круг пользователей; s пользователи могут привлечь к ответственности организацию ИВС за нанесенный ущерб и др. |
s ИВС хорошо защищена, имеются надежные средства резервирования; s наблюдаются повторяющиеся и частые атаки; s действия злоумышленника можно контролировать; s организация имеет положительный опыт работы с правоохранительными и правозащитными органами и др. |