Понятие политики безопасности
Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy». Здесь имеются в виду не отдельные правила или их наборы, а стратегия организации в области информационной безопасности.
Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности - набор законов, правил практического опыта, на основе которого строится управление, защита и распределение конфиденциальной информации в системе.
Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.
Наиболее часто рассматривается политика безопасности связанная с понятием доступа.
Доступ — категория субъектно-объектной модели, описывающей процесс выполнения операций субъектов (активный компонент компьютерной системы) над объектами (пассивный компонент компьютерной системы). [2]
Существуют различные уровни защиты информации.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации к обеспечению защиты информации. Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Политика безопасности административного уровня — это совокупность документированных решений, принимаемых руководством организации и на правленых на защиту информации и ассоциированных с ней ресурсов.
Выработку политики безопасности и ее содержания рассматривают на трех горизонтальных уровнях детализации:
· Верхний уровень — вопросы, относящиеся к организации в целом;
· Средний уровень — вопросы, касающиеся отдельных аспектов информационной безопасности;
· Нижний уровень — вопросы, относящиеся к конкретным сервисам;
Более подробно эти уровни рассмотрим ниже.
После формулирования политики безопасности составляется программа обеспечения информационной безопасности. Она так же структурируется по уровням:
· Верхний уровень (центральный) — охватывает всю организацию;
· Нижний уровень (служебный) — относится к отдельным услугам или группам однородных сервисов.
Разработка и реализация политики безопасности.
Разработка политики информационной безопасности в общем случае является итерационной процедурой, состоящей из выполнения следующих шагов:
Первый шаг — разработка гипотетически идеальной для организации политики, куда закладываются те требования, которые идеально подходят для данной организации — формулируется некий идеальный профиль защиты.
Второй шаг- выбор (или разработка) системы защиты, максимально обеспечивающей выполнение требований гипотетически идеальной политики информационной безопасности.
Третий шаг — определение требований политики информационной безопасности, которые не выполняются системой защиты.
Политика безопасности верхнего уровня, затрагивающая всю организацию в целом, включает в себя:
а) решение сформировать или изменить комплексную программу обеспечения информационной безопасности;
б) формулирование целей организации в области информационной безопасности, определение общих направлений в достижении данных целей;
в) обеспечение нормативной базы для соблюдения законов и правил;
г) формулирование административных решений по вопросам, затрагивающих организацию в целом.
На данном уровне решаются следующие вопросы:
а) управление ресурсами защиты и координация использования данных ресурсов;
б) выделение персонала для защиты конфиденциально важных систем;
в) определение взаимодействия с внешними организациями, обеспечивающими или контролирующими режим безопасности;
г) определение правил соблюдения законодательных и нормативных правил, контроля за действием сотрудников, выработка системы поощрений и наказаний.
К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО.
Политика среднего уровня для каждого аспекта должна освещать: описание объекта; область применения; позицию организации по данному вопросу; роли и обязанности персонала; точки контакта различные подразделений.
Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Она включает в себя два аспекта:
1) Цели
2) Правила достижения поставленных целей
Политика безопасности нижнего уровня должна быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными.
Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами. Для разработки целей безопасности создается комитет по информационной безопасности.
Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17 799).
В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Microsoft, Symantec и пр.