Политики безопасности компании при работе в Интернет
Шрифт:
Рис. 3.13. Справочник «\'ONLINE\' SECURITY POLICIES AND SUPPORT»
Демонстрационные версии (Evaluation version) Information Security Police SOS – Interactive «\'ONLINE\' SECURITY POLICIES AND SUPPORT» Security Professionals Guide можно загрузить с сайта www.rusecure.com. Явным достоинством справочника является гипертекстовая структура и удобная навигация. Еще один аналогичный продукт – «ISO 17799\'TOOLKIT POLICY TEMPLATES» – представляет электронную версию документа с примерными текстами политик безопасности в соответствии с рекомендациями стандарта ISO 17799. Содержание документа представлено ниже.
Contents
INTRODUCTION
Chapter 01 Classifying Information and Data SECTION 01 SETTING CLASSIFICATION STANDARDS
Chapter 02 Controlling Access to Information and Systems SECTION 01 CONTROLLING ACCESS TO INFORMATION AND SYSTEMS
Chapter 03 Processing Information and Documents
SECTION 01 NETWORKS
SECTION 02 SYSTEM OPERATIONS AND ADMINISTRATION
SECTION 04 TELEPHONES & FAX
SECTION 05 DATA MANAGEMENT
SECTION 06 BACKUP, RECOVERY AND ARCHIVING
SECTION 07 DOCUMENT HANDLING
SECTION 08 SECURING DATA
SECTION 09 OTHER INFORMATION HANDLING AND PROCESSINGChapter 04 Purchasing and Maintaining commercial Software
SECTION 01 PURCHASING AND INSTALLING SOFTWARE
SECTION 02 SOFTWARE MAINTENANCE & UPGRADE
SECTION 03 OTHER SOFTWARE ISSUESChapter 05 Securing Hardware, Peripherals and Other Equipment
SECTION 01 PURCHASING AND INSTALLING HARDWARE
SECTION 02 CABLING, UPS, PRINTERS AND MODEMS
SECTION 03 CONSUMABLES
SECTION 04 WORKING OFF PREMISES OR USING OUTSOURCED PROCESSING
SECTION 05 USING SECURE STORAGE
SECTION 06 DOCUMENTING HARDWARE
SECTION 07 OTHER HARDWARE ISSUESChapter 06 Combating Cyber Crime SECTION 01 COMBATING CYBER CRIME
Chapter 07 Controlling e?Commerce Information Security SECTION 01 E COMMERCE ISSUES
Chapter 08 Developing and Maintaining In?House Software
SECTION 01 CONTROLLING SOFTWARE CODE
SECTION 02 SOFTWARE DEVELOPMENT
SECTION 03 TESTING & TRAINING
SECTION 04 DOCUMENTATION
SECTION 05 OTHER SOFTWARE DEVELOPMENTChapter 09 Dealing with Premises related Considerations
SECTION 01 PREMISES SECURITY
SECTION 02 DATA STORES
SECTION 03 OTHER PREMISES ISSUESChapter 10 Addressing Personnel Issues relating to Security
SECTION 01 CONTRACTUAL DOCUMENTATION
SECTION 02 CONFIDENTIAL PERSONNEL DATA
SECTION 03 PERSONNEL INFORMATION SECURITY RESPONSIBILITIES
SECTION 04 HR MANAGEMENT
SECTION 05 STAFF LEAVING EMPLOYMENT
SECTION 06 HR ISSUES OTHERChapter 11 Delivering Training and Staff Awareness
SECTION 01 AWARENESS
SECTION 02 TRAININGChapter 12 Complying with Legal and Policy Requirements
SECTION 01 COMPLYING WITH LEGAL OBLIGATIONS
SECTION 02 COMPLYING WITH POLICIES
SECTION 03 AVOIDING LITIGATION
SECTION 04 OTHER LEGAL ISSUESChapter 13 Detecting and Responding to IS Incidents
SECTION 01 REPORTING INFORMATION SECURITY INCIDENTS
SECTION 02 INVESTIGATING INFORMATION SECURITY INCIDENTS
SECTION 03 CORRECTIVE ACTIVITY
SECTION 04 OTHER INFORMATION SECURITY INCIDENT ISSUESChapter 14 Planning for Business Continuity SECTION 01 BUSINESS CONTINUITY MANAGEMENT (BCP)
3.6.
Сегодня отечественные предприятия остро нуждаются в политиках безопасности. Например, 44 % предприятий финансового и государственного сектора вынуждены пересматривать политики безопасности два или более раз в год. К тому же здесь часто возникают проблемы, которые заключаются в том, что высокоуровневые политики безопасности, как правило, далеки от практики и никак не связаны с низкоуровневыми техническими политиками безопасности. В свою очередь технические политики безопасности не учитывают цели и задачи организации режима информационной безопасности компании в должной мере. При этом одни технические политики безопасности задают требуемые настройки маршрутизаторов и межсетевых экранов, другие определяют правила создания паролей и порядок использования Интернета, но, как правило, они рассматриваются разрозненно и не позволяют отладить целостную интегрированную систему управления политиками безопасности. В результате если спросить у ИТ-специалистов, что такое управление политиками безопасности, то можно получить более десяти различных ответов: управление правилами и конфигурациями, управление паролями, управление уязвимостями, управление критичными обновлениями, управление пользователями и пр. В действительности, эти определения, а также многие другие верны. Именно поэтому создание, внедрение и отслеживание политик безопасности – одна из самых важных и трудных задач для специалистов в области информационных технологий и защиты информации (см. рис 3.14-3.16).
Рис. 3.14. Пример создания политики безопасности для маршрутизатора Cisco
Среди наиболее общих проблем разработки требуемых политик безопасности следует отметить:
• сложности с поиском шаблонов или примеров подходящих по содержанию политик безопасности;
• недостаток собственных ресурсов или времени на разработку политик безопасности;
Рис. 3.15. Пример доработки шаблона политики безопасности
• сложности с обновлением политик безопасности, особенно в территориально распределенных компаниях, где часто мониторинг соответствия версий политик безопасности на конечных местах не осуществляется;
• слишком дорогие или не достигающие поставленной цели обучение, тестирование и аттестация знаний персонала по безопасности;
• сложности с обучением пользователей требованиям политик безопасности, отслеживанием компетентности сотрудников; потребность в использовании учебных средств с Web-интерфейсом для снижения издержек на поездки сотрудников в центральный офис для обучения и тестирования (аттестации);
• сложности с доведением политик безопасности до конечных пользователей;
• нехватка сотрудников, ответственных за управление политиками безопасности.
Рис. 3.16. Пример трансляции текста политики в технические спецификации
Для решения этих и других проблем можно воспользоваться специальными системами управления политиками безопасности. К основным задачам названных систем относятся:
• эффективное создание текстовых политик безопасности и управление ими;
• осуществление программы ознакомления сотрудников с политиками информационной безопасности, проверка знаний и понимания названных политик;
• обеспечение связи между высокоуровневыми текстовыми политиками безопасности и техническими политиками конфигураций аппаратно-программных средств защиты информации и пр.
3.7. Обзор возможностей современных систем управления политиками безопасности
Как правило, современные системы управления политиками безопасности используют лицензированные библиотеки политик безопасности, разработанные другими компаниями. Так, например, продукт компании NetlQ, использует библиотеку Information Security Policies Made Easy (ISPME), решение компании Bindview ориентировано на применение библиотеки Meta Security Group, а система управления компании Zequel поставляется вместе с библиотекой компаний Protiviti и Bizmanualz. Каждый из названных продуктов включает примеры политик безопасности, разработанные на основе международного стандарта ISO 17799. Ряд компаний, например компания NetlQ, создавая политики безопасности на основе требований стандарта ISO 17799, сортируют их по функционалу и темам – от классификации данных до безопасности Web-серверов (см. рис. 3.17).
Рис. 3.17. Пример библиотеки политик безопасности
Общей особенностью современных систем управления политиками безопасности является возможность оперативно создавать высоуровневые и низкоуровневые политики безопасности, распространять эти политики сотрудникам компании и ослеживать факты ознакомления и согласия с политиками. Далее рассмотрим возможности современных инструментальных систем управления политиками безопасности на примере решений Bindview Policy Operations Center (РОС), NetlQ VigilEnt Policy Center (VPC), Zequel Dynamic Policy. Сводные характеристики указанных систем управления политиками безопасности представлены в табл. 3.6 и 3.7.
Таблица 3.6. Характеристики систем управления политиками безопасности
Таблица 3.7. Оценка возможностей систем управления политиками безопасности
3.7.1 Bindview Policy Operations Center
Основное отличие Policy Operations Center Bindview Corp. (www.bindview.com) от других систем управления политиками безопасности заключается в том, что Bindview РОС по существу является удаленным сервисом компании Bindview. В качестве библиотеки шаблонов политик безопасности используется разработка компании Meta Security Group. Уникальной особенностью системы является встроенная возможность анализа защищенности корпоративной информационной системы (vulnerability reporting). Однако в целом названная система уступает по функциональным возможностям NetlQ, VigilEnt Policy Center (VPC) и DynamicPolicy. Особенно это заметно при создании и внедрении политик безопасности, а также соответствующих тестов для проверки знаний сотрудников компании.