Политики безопасности компании при работе в Интернет
Шрифт:
Рекомендуемый состав политики безопасности. Ключевыми аспектами политики информационной безопасности являются:
• область применения,
• необходимость строгого соблюдения политики,
• основная часть политики,
• ответственность,
• последствия за несоответствие требованиям политики. Существенными утверждениями политики безопасности являются следующие:
• компания является собственником всех данных и систем;
• сотрудник обязуется не делать копий данных и программного обеспечения без получения соответствующего разрешения;
• сотрудник обязуется выполнять требования по парольной защите;
• сотрудник обязуется получать доступ к системам и информации только легальным способом, после авторизации;
• сотрудник подтверждает право компании осуществлять мониторинг его деятельности.
Рекомендуемый объем политики информационной безопасности не должен превышать двух страниц.
Реализация политики достигается использованием стандартов, процедур, руководств.Что
• была простой для понимания,
• основывалась на требованиях бизнеса,
• была реализуемой,
• поддерживала баланс между безопасностью и производительностью,
• была доступна всем сотрудникам для ознакомления,
• не противоречила другим политикам компании,
• не противоречила требованиям законодательства,
• ясно определяла ответственность сотрудников за ее нарушение,
• была регулярно обновляемой.Стандарты. Требования к стандартам:
• каждый стандарт должен поддерживать выполнение бизнес-целей компании, соответствовать требованиям существующего законодательства и действующим в компании политикам;
• стандарт должен быть разработан для защиты информации, в то же время он не должен затруднять получение доступа к информации сотрудникам компании;
• стандарт должен разрабатываться совместными усилиями бизнес-менеджеров и технических экспертов;
• стандарт не должен противоречить требованиям политики информационной безопасности.
За основу при разработке стандартов компания Symantec рекомендует использовать стандарт ISO 17799:2005.Процедуры. Следующим уровнем документов являются процедуры. Роль процедуры – определить, как реализуются и администрируются средства безопасности. Процедуры являются своего рода «библией» для сотрудников компании, их ежедневным руководством к действию. Процедуры, в отличие от политики и стандартов, являются часто изменяющимися документами, поэтому важно иметь в компании хорошую процедуру управления изменениями документов. Каждая процедура должна быть написана в соответствии с общим шаблоном, разработанным для процедур, быть доступной сотрудникам как в электронном, так и в бумажном виде. Так как некоторые процедуры могут содержать конфиденциальную информацию, то доступ к ним может быть ограничен, что регулируется отдельным стандартом.
Рекомендуемыми элементами процедур безопасности являются:
цель процедуры:
– для соответствия какому стандарту она разработана;
– для чего нужна процедура;
область действия процедуры:
– к каким системам, сетям, приложениям, категориям персонала, помещениям применима процедура;
– какая роль необходима для выполнения процесса;
– что нужно знать для выполнения процесса;
определение процесса:
– введение в процесс(описание);
– детальное описание процесса (как, когда, что, критерии успеха, виды отчетов, взаимодействие с другими процессами);
контрольный список процесса;
• проблемы процесса (действия при возникновении проблем).2.6. Подход SANS
2.6.1. Описание политики безопасности
Организация SANS выработала свой подход в понимании политики информационной безопасности и ее составляющих. В терминологии SANS политика информационной безопасности – многоуровневый документированный план обеспечения информационной безопасности компании:
• верхний уровень – политики;
• средний уровень – стандарты и руководства;
• низший уровень – процедуры.
Далее документы разбиваются на следующие основные категории:
• утверждение руководства о поддержке политики информационной безопасности;
• основные политики компании;
• функциональные политики;
• обязательные стандарты (базовые);
• рекомендуемые руководства;
• детализированные процедуры.Стандарты детализируют различия по настройке безопасности в отдельных операционных системах, приложениях и базах данных.
Руководства представляют из себя рекомендуемые, необязательные к выполнению действия по предупреждению проблем, связанных с различными аспектами информационной безопасности.
Процедуры – детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять.
При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип «знать только то, что необходимо для выполнения служебных обязанностей» и использовать разделение обязанностей на критичных системах.
Различают следующие типы политик безопасности:
• направленные на решение конкретной проблемы – примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Интернета;
• программные – высокоуровневые политики, определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов;
• применяемые
Рекомендуемые компоненты политики безопасности:
• цель,
• область действия,
• утверждение политики,
• история документа,
• необходимость политики,
• какие политики отменяет,
• действия по выполнению политики,
• ответственность,
• исключения,
• порядок и периодичность пересмотра.Организация SANS разработала ряд шаблонов политик безопасности:
• политика допустимого шифрования,
• политика допустимого использования,
• руководство по антивирусной защите,
• политика аудита уязвимостей,
• политика хранения электронной почты,
• политика использования электронной почты компании,
• политика использования паролей,
• политика оценки рисков,
• политика безопасности маршрутизатора,
• политика обеспечения безопасности серверов,
• политика виртуальных частных сетей,
• политика беспроводного доступа в сеть компании,
• политика автоматического перенаправления электронной почты компании,
• политика классификации информации,
• политика в отношении паролей для доступа к базам данных,
• политика безопасности лаборатории демилитаризованной зоны,
• политика безопасности внутренней лаборатории,
• политика экстранет,
• политика этики,
• политика лаборатории антивирусной защиты.
2.6.2. Пример политики аудита безопасности [11]
Цель. Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых других компонент информационных систем компании.
Аудит может быть проведен для:
• гарантии целостности, конфиденциальности и доступности информационных ресурсов компании;
• расследования возможных инцидентов в области безопасности компании;
• мониторинга деятельности сотрудников и активности информационной системы в целом.Область действия. Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки класса «отказ в обслуживании».
Политика. Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения аудита безопасности (технические проекты, карта сети, положения и инструкции и пр.).
Доступ к информационной системе включает:
• доступ на уровне пользователя или системный доступ к любому оборудованию системы;
• доступ к данным (в электронном виде, в виде бумажных копий и т. д.), которые создаются, передаются и хранятся в системе;
• доступ в помещения (лаборатории, офисы, серверные и т. д.);
• доступ к сетевому трафику.Управление сетью. Если в компании доступ из корпоративной сети в Интернет обеспечивается сторонней организацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.
Уменьшение производительности и/или недоступность сервиса. Компания освобождает аудиторов от любой ответственности, связанной с уменьшением сетевой производительности или недоступностью сервисов, вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.
Контактные лица компании при проведении аудита. Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам, возникающим во время проведения аудита безопасности.
Период сканирования. Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.
Процесс оценки рисков. Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.
Ответственность. К любому сотруднику компании, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.Глава 3 РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО СОЗДАНИЮ ПОЛИТИК БЕЗОПАСНОСТИ
В последнее время в разных странах появилось новое поколение стандартов в области информационной безопасности, посвященных практическим вопросам обеспечения информационной безопасности в компаниях и организациях. Это, прежде всего, международные стандарты ISO/IEC 17799:2005 (BS 7799-1:2002), ISO/IEC 15408, ISO/IEC TR 13335, германский стандарт BSI IT Protection Manual, стандарты NIST США серии 800, стандарты и библиотеки CobiT, ITIL, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. В соответствии с названными стандартами политики безопасности компании должны явно определять следующее: