Политики безопасности
ГЛАВА 2. РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ СРЕДНЕГО УРОВНЯ Задачи политики информационной безопасности Под политикой информационной безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Основные задачи разработки политики безопасности определить какие данные и насколько серьезно необходимо защищать; определить, кто и какой ущерб может нанести фирме в информационном аспекте; вычисление рисков и определение схемы уменьшения их до приемлемой величины.
Реализация политики информационной безопасности Реализация политики безопасности для разрабатываемой программы заключается в Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, определение ответственных за продвижение программы. Аутентификация систем Аутентификация систем - это механизм, предназначенный для установления личности пользователей, желающих получить доступ к программе. Механизмы аутентификации - это пароли, смарт-карты и биометрия. Требования к ним должны быть включены в программы профессиональной переподготовки по вопросам безопасности. Сканирование уязвимых мест
Уязвимые места системы стали очень важной темой в безопасности. Установка операционной системы с параметрами по умолчанию обычно сопровождается запуском ненужных процессов и появлением уязвимых мест. Самой распространенной угрозой является DDos-атака.
Практические рекомендации по внедрению политики безопасности С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы: - решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы; - формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; - обеспечение базы для соблюдения законов и правил; - формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом. Для политики безопасности верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности. Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала. Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний. Политика безопасности среднего уровня должна для каждого аспекта освещать следующие темы: 1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации. 2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины? 3. Роли и обязанности. В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.
4. Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них. 5. Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня: - кто имеет право доступа к объектам, поддерживаемым сервисом? - при каких условиях можно читать и модифицировать данные? - как организован удаленный доступ к сервису? При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|