Разработка политики безопасности организации
Разработка политики безопасности является ключевым этапом построения защищенной информационной системы или сети. Составление политики или политик безопасности является началом осуществления общей программы обеспечения безопасности организации. На основе разработанной политики безопасности создается детальная программа обеспечения безопасности, которая необходима для создания эффективной системы безопасности организации.
Основные этапы программы обеспечения безопасности включают в себя:
¨ определение ценности технологических и информационных активов организации;
¨ оценка рисков этих активов (сначала путем идентификации тех угроз, для которых каждый актив является целевым объектом, а затем оценкой вероятности того, что эти угрозы будут реализованы на практике);
¨ установление уровня безопасности, определяющего защиту каждого актива, то есть мер безопасности, которые можно считать рентабельными для применения;
¨ формирование на базе предыдущих этапов политики безопасности организации;
¨ привлечение необходимых финансовых ресурсов для реализации политики безопасности, приобретение и установка требуемых средств безопасности;
¨ проведение разъяснительных мероприятий и обучения персонала для поддержки сотрудниками и руководством требуемых мер безопасности;
¨ регулярный контроль пошаговой реализации плана безопасности с целью выявления текущих проблем, учета изменения внешнего окружения и внесение необходимых изменений в состав персонала.
К политикам безопасности предъявляются следующие основные требования:
¨ политики безопасности должны:
· указывать цели и причины, по которым нужна политика;
· описывать, что именно охватывается этими политиками;
· определить роли, обязанности и контакты;
· определить, как будут обрабатываться нарушения безопасности;
¨ политики безопасности должны быть:
· реальными и осуществимыми;
· краткими и доступными для понимания;
· сбалансированными по защите и производительности.
Первыми шагами по разработке политики безопасности являются следующие:
¨ создание команды по разработке политики;
¨ принятие решения об области действия и целях политики;
¨ принятие решения об особенностях разрабатываемой политики;
¨ определение лица или органа для работы в качестве официального интерпретатора политики.
Процесс проектирования политики безопасности целесообразно унифицировать. Унифицированный процесс проектирование политик безопасности состоит из следующих этапов.
Создание команды по разработке политики безопасности организации. Команда создается руководством организации, которое должно осознавать важность информационной безопасности и полностью реализовать свою позитивную роль в успешной разработке, принятии и внедрении этой политики.
В состав команды включают квалифицированных специалистов, хорошо разбирающихся в требованиях бизнеса, информационных технологиях и безопасности, юриста и члена руководства, который сможет проводить в жизнь эту политику безопасности. К работе этой команды должны быть также привлечены администраторы безопасности и системные администраторы, представитель от сообщества пользователей.
Размер команды по разработке политики зависит от масштаба и области действия политики. Крупномасштабные политики могут потребовать команды из 5÷10 человек, в то время как для политики небольшого масштаба достаточно только одного или двух человек.
Анализ требований бизнеса. Члены команды с различными позициями и точками зрения должны проанализировать требования бизнеса к использованию компьютерных и сетевых сервисов. Когда мнения некоторых членов этой команды не совпадают, столкновения их интересов и пересечения разных отраслей знания при обсуждении требований бизнеса позволяют получить более полную и объективную картину, чем при обычном опросе людей, работающих в области маркетинга, продаж или разработки.
На этом этапе анализируются и решаются следующие вопросы:
à какие компьютерные и сетевые сервисы требуются для бизнеса и как эти требования могут быть удовлетворены при условии обеспечения безопасности?
à скольким сотрудникам необходимы доступ в Интернет, использование электронной почты и интранет-сервисов?
à зависят ли компьютерные и сетевые сервисы от удаленного доступа к внутренней сети?
à имеются ли требования по веб-доступу?
à требуются ли клиентам данные технической поддержки через Интернет?
Анализ рисков. Использование информационных систем и сетей связано с определенной совокупностью рисков. Этот этап является важнейшим этапом формирования политики безопасности (рис. 2.2).
На этапе анализа рисков осуществляются следующие действия:
à идентификация и оценка стоимости технологических и информационных активов;
à анализ тех угроз, для которых данный актив является целевым объектом;
à оценка вероятности того, что угроза будет реализована на практике;
à оценка рисков этих активов.
Оценка риска выявляет как самые ценные, так и наиболее уязвимые активы, она позволяет точно установить, на какие проблемы нужно обратить особое внимание. Отчет об оценке рисков является инструментом при формировании политики сетевой безопасности.
Установление уровня безопасности. Здесь определяется защита каждого актива, то есть меры безопасности, которые можно считать рентабельными для применения. Стоимость защиты конкретного актива не должна превышать стоимости самого актива.
Рис. 2.2. Схема разработки политики безопасности
С этой целью составляется подробный перечень всех активов, который включает такие материальные объекты, как серверы и рабочие станции, и такие нематериальные объекты, как данные и программное обеспечение. Идентифицируются каталоги, которые содержат конфиденциальные файлы или файлы целевого назначения. После идентификации этих активов проводится определение стоимости замены каждого актива с целью назначения приоритетов в перечне активов.
Переоценка рисков. Производится с целью контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
После проведения описанной выше работы переходят к непосредственному составлению политики безопасности. В политике безопасности организации должны быть определены используемые стандарты, правила и процессы безопасности.
Стандарты указывают, каким критериям должно следовать управление безопасностью. Правила подробно описывают принципы и способы управления безопасностью. Процессы должны осуществлять точную реализацию правил в соответствии с принятыми стандартами.
Кроме того, политика безопасности должна определить значимые для безопасности роли и указать ответственности этих ролей. Роли устанавливаются во время формирования процессов.
Обычно процесс состоит из одного или более действий, где каждое действие включает четыре компонента (рис. 2.3):
Рис. 2.3. Графическое представление действия в рамках процесса
1. Вход, например запрос пользователем нового пароля.
2. Механизм, реализующий данное действие и указывающий средства или роли, с помощью которых это действие выполняется. Он определяет, какие роли вовлечены в это конкретное действие (например, пользователь, запрашивающий новый пароль, и администратор безопасности).
3. Управление – описывает алгоритм или условия, которые управляют этим действием (например, при запросе нового пароля инициатор запроса должен успешно пройти аутентификацию).
4. Выход – является результатом этого действия (например, сообщение пользователю нового пароля).