Политики безопасности компании при работе в Интернет
Шрифт:
Рекомендуемый состав политики безопасности. Ключевыми аспектами политики информационной безопасности являются:
• область применения,
• необходимость строгого соблюдения политики,
• основная часть политики,
• ответственность,
• последствия за несоответствие требованиям политики. Существенными утверждениями политики безопасности являются следующие:
• компания является собственником всех данных и систем;
• сотрудник обязуется не делать копий данных и программного обеспечения без получения соответствующего разрешения;
• сотрудник обязуется выполнять требования по парольной защите;
• сотрудник обязуется получать доступ к системам и информации только легальным способом, после авторизации;
• сотрудник подтверждает право компании осуществлять мониторинг его деятельности.
Рекомендуемый объем политики информационной безопасности не должен превышать двух страниц.
Реализация политики достигается использованием стандартов, процедур, руководств.Что принимается во внимание? Для эффективности политики безопасности необходимо, чтобы политика:
• была простой для понимания,
• основывалась на требованиях бизнеса,
• была реализуемой,
• поддерживала баланс между безопасностью и производительностью,
• была доступна всем сотрудникам для ознакомления,
• не противоречила другим политикам компании,
• не противоречила требованиям законодательства,
• ясно определяла ответственность сотрудников за ее нарушение,
• была регулярно обновляемой.Стандарты. Требования к стандартам:
• каждый стандарт должен поддерживать выполнение бизнес-целей компании, соответствовать требованиям существующего законодательства и действующим в компании политикам;
• стандарт должен быть разработан для защиты информации, в то же время он не должен затруднять получение доступа к информации сотрудникам компании;
• стандарт должен разрабатываться совместными усилиями бизнес-менеджеров и технических экспертов;
• стандарт не должен противоречить требованиям политики информационной безопасности.
За основу при разработке стандартов компания Symantec рекомендует использовать стандарт ISO 17799:2005.Процедуры. Следующим уровнем документов являются процедуры. Роль процедуры – определить, как реализуются и администрируются средства безопасности. Процедуры являются своего рода «библией» для сотрудников компании, их ежедневным руководством к действию. Процедуры, в отличие от политики и стандартов, являются часто изменяющимися документами, поэтому важно иметь в компании хорошую процедуру управления изменениями документов. Каждая процедура должна быть написана в соответствии с общим шаблоном, разработанным для процедур, быть доступной сотрудникам как в электронном, так и в бумажном виде. Так как некоторые процедуры могут содержать конфиденциальную информацию, то доступ к ним может быть ограничен, что регулируется отдельным стандартом.
Рекомендуемыми элементами процедур безопасности являются:
цель процедуры:
– для соответствия какому стандарту она разработана;
– для чего нужна процедура;
область действия процедуры:
– к каким системам, сетям, приложениям, категориям персонала, помещениям применима процедура;
– какая роль необходима для выполнения процесса;
– что нужно знать для выполнения процесса;
определение процесса:
– введение в процесс(описание);
– детальное описание процесса (как, когда, что, критерии успеха, виды отчетов, взаимодействие с другими процессами);
контрольный список процесса;
• проблемы процесса (действия при возникновении проблем).2.6. Подход SANS
2.6.1. Описание политики безопасности
Организация SANS выработала свой подход в понимании политики информационной безопасности и ее составляющих. В терминологии SANS политика информационной безопасности – многоуровневый документированный план обеспечения информационной безопасности компании:
• верхний уровень – политики;
• средний уровень – стандарты и руководства;
• низший уровень – процедуры.
Далее документы разбиваются на следующие основные категории:
• утверждение руководства о поддержке политики информационной безопасности;
• основные политики компании;
• функциональные политики;
• обязательные стандарты (базовые);
• рекомендуемые руководства;
• детализированные процедуры.Стандарты детализируют различия по настройке безопасности в отдельных операционных системах, приложениях и базах данных.
Руководства представляют из себя рекомендуемые, необязательные к выполнению действия по предупреждению проблем, связанных с различными аспектами информационной безопасности.
Процедуры – детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять.
При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип «знать только то, что необходимо для выполнения служебных обязанностей» и использовать разделение обязанностей на критичных системах.
Различают следующие типы политик безопасности:
• направленные на решение конкретной проблемы – примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Интернета;
• программные – высокоуровневые политики, определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов;
• применяемые к конкретной среде – например, каждая операционная система требует отдельного стандарта по ее настройке.
Рекомендуемые компоненты политики безопасности:
• цель,
• область действия,
• утверждение политики,
• история документа,
• необходимость политики,
• какие политики отменяет,
• действия по выполнению политики,
• ответственность,
• исключения,
• порядок и периодичность пересмотра.Организация SANS разработала ряд шаблонов политик безопасности:
• политика допустимого шифрования,
• политика допустимого использования,
• руководство по антивирусной защите,
• политика аудита уязвимостей,
• политика хранения электронной почты,
• политика использования электронной почты компании,
• политика использования паролей,
• политика оценки рисков,
• политика безопасности маршрутизатора,
• политика обеспечения безопасности серверов,
• политика виртуальных частных сетей,
• политика беспроводного доступа в сеть компании,
• политика автоматического перенаправления электронной почты компании,
• политика классификации информации,
• политика в отношении паролей для доступа к базам данных,
• политика безопасности лаборатории демилитаризованной зоны,
• политика безопасности внутренней лаборатории,
• политика экстранет,
• политика этики,
• политика лаборатории антивирусной защиты.
2.6.2. Пример политики аудита безопасности [11]
Цель. Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых других компонент информационных систем компании.
Аудит может быть проведен для:
• гарантии целостности, конфиденциальности и доступности информационных ресурсов компании;
• расследования возможных инцидентов в области безопасности компании;
• мониторинга деятельности сотрудников и активности информационной системы в целом.Область действия. Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки класса «отказ в обслуживании».
Политика. Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения аудита безопасности (технические проекты, карта сети, положения и инструкции и пр.).
Доступ к информационной системе включает:
• доступ на уровне пользователя или системный доступ к любому оборудованию системы;
• доступ к данным (в электронном виде, в виде бумажных копий и т. д.), которые создаются, передаются и хранятся в системе;
• доступ в помещения (лаборатории, офисы, серверные и т. д.);
• доступ к сетевому трафику.Управление сетью. Если в компании доступ из корпоративной сети в Интернет обеспечивается сторонней организацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.
Уменьшение производительности и/или недоступность сервиса. Компания освобождает аудиторов от любой ответственности, связанной с уменьшением сетевой производительности или недоступностью сервисов, вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.
Контактные лица компании при проведении аудита. Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам, возникающим во время проведения аудита безопасности.
Период сканирования. Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.
Процесс оценки рисков. Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.
Ответственность. К любому сотруднику компании, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.Глава 3 РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО СОЗДАНИЮ ПОЛИТИК БЕЗОПАСНОСТИ
В последнее время в разных странах появилось новое поколение стандартов в области информационной безопасности, посвященных практическим вопросам обеспечения информационной безопасности в компаниях и организациях. Это, прежде всего, международные стандарты ISO/IEC 17799:2005 (BS 7799-1:2002), ISO/IEC 15408, ISO/IEC TR 13335, германский стандарт BSI IT Protection Manual, стандарты NIST США серии 800, стандарты и библиотеки CobiT, ITIL, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. В соответствии с названными стандартами политики безопасности компании должны явно определять следующее: