Создание политики — один из завершающих этапов построения корпоративной службы ИТ-безопасности. От того, насколько полным и детальным будет этот пакет документов, в дальнейшем будет зависеть защита информации во всей компании.
Для создания этой защиты необходимо решить ряд организационных мер, таких как создание специального подразделения защиты информации, которое будет осуществлять контроль полномочий пользователей, поддержку и настройку технических средств, оперативное реагирование на нарушения в области защиты информации, разработает технологию обеспечения информационной безопасности, внедрит данную технологию.
В основу организационных документов входят “Концепция обеспечения защиты информации”, “Положение о категорировании”, “План защиты информационной системы”, определяющий конкретный комплекс мер по защите информации, документы по регламентации действий пользователей.
Основные цели регламентации пользователей — сокращение возможностей совершать нарушения, реализация специальных мер противодействия внешним и внутренним угрозам.
Регламентация предусматривает введение таких мер, которые, с одной стороны, не создают помех для исполнения сотрудниками своих обязанностей, а с другой — минимизируют возможности совершения ими (случайно или умышленно) нарушений.
С учётом сказанного следует сделать вывод, что к обеспечению информационной безопасности привлекаются все сотрудники, участвующие в процессах её обработки.
Политика информационной безопасности (ИБ) — это комплекс документируемых решений в виде программных, аппаратных, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, определяющих деятельность организации в области обеспечения ИБ.
Основная цель политики безопасности — доведение до всех пользователей, включая руководство, информации об обязательных требованиях по защите информации.
Политика ИБ должна быть опубликована и утверждена руководством. Все сотрудники организации должны быть ознакомлены с политикой безопасности. Концептуальные вопросы политики безопасности организации изложены в “Концепции обеспечения ИБ в автоматизированной системе организации”.
Организационные меры включают разовые мероприятия, мероприятия, которые проводятся по мере необходимости, периодические мероприятия, постоянно проводимые мероприятия.
К разовым мероприятиям относят: создание нормативно-правовой базы защиты информации, мероприятия, осуществляемые на этапе проектирования, строительства и оборудования информационной системы, мероприятия, осуществляемые при вводе в эксплуатацию технических и программных средств, а также внесение необходимых изменений и дополнений во все распорядительные документы, создание подразделения информационной безопасности, мероприятия по созданию политики безопасности, разработка правил разграничения доступа, определение перечня информации, составляющей коммерческую тайну, организация охраны и пропускного режима.
К периодическим относят такие мероприятия: распределение реквизитов доступа (паролей, ключей шифрования), анализ системных журналов, пересмотр правил разграничения доступа, оценка эффективности мер защиты, анализ состояния.
По мере необходимости осуществляются мероприятия в случае кадровых изменений в составе персонала, ремонта и модификации оборудования и ПО, а также мероприятия по подбору кадров, обновление технических и программных средств защиты информации.
Постоянно проводимые мероприятия включают в себя мероприятия по обеспечению физической защиты всех компонентов информационной системы, организации явного и скрытого контроля за работой пользователей и персонала системы.
Целью разработки официальной политики предприятия в области информационной безопасности является определение способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.
Необходимо принять во внимание цели и основные направления деятельности организации. Естественно, что на военной базе и в университете требования к конфиденциальности будут существенно отличаться.
Разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.
Если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удалённой стороны, а также удалённые проблемы, причиной которых является локальный хост или пользователь.
Политика безопасности является результатом совместной работы технического персонала, который понимает все направления политики и способы её реализации, а также руководителей, которые способны проводить политику в жизнь. Вместе с тем следует понимать, что нереализуемая и неподдерживаемая политика бесполезна.
Главным элементом политики является доведение до сведения каждого пользователя его обязанностей по обеспечению режима безопасности. Политика не может предусмотреть всего, однако её положения должны гарантировать наличие ответственного лица для каждого вида проблем.
В связи с этим определяются несколько уровней ответственности.
На первом уровне стоит пользователь, который обязан следить за безопасностью своей учётной записи.
Пользователь, который допустил компрометацию своей учётной записи, увеличивает вероятность компрометации других учётных записей и ресурсов.
На втором уровне стоят системные администраторы. Они обеспечивают защиту компьютерных систем.
На следующем, третьем, уровне стоят сетевые администраторы.
При разработке политики безопасности необходимо дать ответы на ряд вопросов. Наиболее типичные из них: кто имеет право использовать ресурсы? как правильно использовать ресурсы? кто наделён правом давать привилегии и разрешать использование?кто может иметь административные привилегии? каковы права и обязанности пользователей? каковы права и обязанности системных администраторов по отношению к обычным пользователям? как работать с конфиденциальной информацией?
Вместе с тем в политике безопасности должен быть раздел, относящийся к физической безопасности вашего предприятия.
Необходимо иметь план восстановления после аварии. Данный план должен подвергаться периодическому пересмотру, с интервалом между пересмотрами не более одного года. В процедуру пересмотра и контроля должен быть включён план по тестированию самой процедуры.
Вместе с тем крайне важно выработать у персонала и пользователей информационной системы дисциплину и правила использования ресурсов системы.
Эта дисциплина невозможна без персональной ответственности всех пользователей за нарушение установленных правил обработки информации.
Регламентация работы сотрудников предусматривает определение для каждой категории пользователей обязательных знаний и действий, необходимых для осуществления информационной безопасности, запрещённых действий, ответственности пользователей за нарушение установленных требований по защите информации.
