Материал: Политика информационной безопасности организации

Политика информационной безопасности организации

Введение

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия.

Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых разработать политику безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;

разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться соответствующими положениями Трудового кодекса.

1. Аналитическая часть

.1 Понятие информационной безопасности

Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Информационная безопасность - задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем .

Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров. Этому есть простое объяснение: объём обрабатываемой и хранящейся в электронном виде информации для среднего предприятия в миллионы раз выше по сравнению с «бумажной». На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства ИБ в таких организациях часто сводятся к выпуску инструкций с ключевыми словами: «углубить», «расширить», «повысить», «обеспечить» и т.д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы - это тема для отдельной большой статьи.

В то же время ИБ малых предприятий с не очень большим числом рабочих мест для специалистов (часто не более 50) уделяется не слишком много внимания. Однако существующая организационно-техническая обстановка на данный момент такова, что большинство существующих угроз ИБ, в силу хорошей защищённости от них больших предприятий, становятся актуальными как раз для предприятий меньшего размера. Обычно такие предприятия имеют весьма скромный IT-бюджет, позволяющий приобрести только необходимое оборудование, ПО и содержать одного системного администратора.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

целостность данных -- защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

конфиденциальность информации;

доступность информации для всех авторизованных пользователей.

Выделяют и другие не всегда обязательные категории модели безопасности:

неотказуемость или апеллируемость - невозможность отказа от авторства;

подотчётность - обеспечение идентификации субъекта доступа и регистрации его действий;

достоверность - свойство соответствия предусмотренному поведению или результату;

аутентичность или подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

.2      Понятие политики безопасности

Политика информационной безопасности (ПИБ) - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые направлены на защиту ценной информации.

Назначение политика информационной безопасности :

формулирование целей и задач информационной безопасности организации с точки зрения бизнеса (позволяет определить это для руководства и продемонстрировать поддержку руководством значимости ИБ),

определение правил организации работы в компании для минимизации рисков информационной безопасности и повышения эффективности бизнеса.

Требования к политика информационной безопасности:

Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.) для демонстрации поддержки руководства.

Политика ИБ должна быть написана понятным языком для конечных пользователей и руководства компании и быть по возможности краткой.

Политика ИБ должна определять цели ИБ, способы их достижения и ответственность. Технические подробности реализации способов содержатся в инструкциях и регламентах, на которые даются ссылки в Политике.

Минимизация влияния политики безопасности на производственный процесс.

Непрерывность обучения сотрудников и руководства организации в вопросах обеспечения ИБ

Непрерывный контроль выполнения правил политики безопасности на этапе внедрения и в дальнейшем.

Постоянное совершенствование политик безопасности.

Согласованность во взглядах и создание корпоративной культуры безопасности.

Предлагается следующая структура ПИБ:

·    Общие положения (ссылки на законы, нормативные акты и др.руководящие документы, которым подчиняется деятельность организации),

·              Подтверждение значимости ИБ для организации и формулирование целей защиты информации с точки зрения бизнеса организации (выполнение требований законодательства и др. норм, удовлетворение ожиданий клиентов и партнеров, повышение конкурентоспособности, финансовой стабильности, имиджа организации).

·              Описание стратегии организации по обеспечению информационной безопасности (например, выполнение требований законодательства, оценка и управление рисками).

·              Область применения ПИБ (например, ПИБ обязательна для выполнения всеми сотрудниками и руководством организации, или отдельного филиала, или сотрудниками, использующими ноутбуки)

·              Описание объекта защиты (защищаемые ресурсы - информация различных категорий, информационная инфраструктура и т.д.)

·              Цели и задачи обеспечения информационной безопасности (например, снижение угроз ИБ до приемлемого уровня, выявление потенциальных угроз и уязвимостей ИБ, предотвращение инцидентов ИБ)

·              Угрозы и модель нарушителя, которые принимаются во внимание для данной организации (по источникам возникновения, по способам реализации, по направленности)

·              Краткое разъяснение принципов политики ИБ:

o подход к построению СУИБ,

o     требования к подготовке и осведомленности персонала в области ИБ,

o     последствия и ответственность за нарушение ПИБ,

o     подход к управлению рисками,

o     определение оргструктуры, общих и специальных обязанностей по управлению ИБ, включая отчеты об инцидентах,

o     ссылки на документацию, которая может поддержать политику, например, частные политики и процедуры в области защиты для конкретных информационных систем или правила защиты, которым должны следовать пользователи.

o     механизмы контроля за выполнением положений ПИБ,

o     порядок пересмотра и принятия изменений в политике.

После утверждения политики ИБ необходимо:

·    Довести положения политики ИБ, подполитик, процедур и инструкций под роспись до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании;

·              Разработать процедуры, инструкции и т.д., уточняющие и дополняющие политику (для специалистов отдела ИБ);

·              Периодически анализировать политику для поддержки ее адекватности и результативности;

·              Проводить периодический аудит на выполнение сотрудниками положений политики с предоставлением отчета Руководству организации.

·    Кроме того, в должностные инструкции ответственного персонала, положения о подразделениях, контрактные обязательства организации должны быть включены обязанности по обеспечению информационной безопасности.

Таким образом, в результате не только создается документальная база СУИБ, но и происходит реальное распределение обязанностей по обеспечению безопасности информации среди персонала организации.

Жизненный цикл политики безопасности:

. Планирование

Первоначальный аудит безопасности

проведение обследования,

идентификация ресурсов, нуждающихся в защите

оценка рисков.

В ходе аудита производится анализ текущего состояния информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и самые чувствительные к угрозам безопасности бизнес-процессы.

Разработка политики безопасности:

Определяются основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющие уменьшить риски до приемлемой величины

Оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.

. Внедрение ПИБ

Решение технических, организационных и дисциплинарных проблем.

. Проверка

Аудит и контроль.

. Корректировка

Периодические пересмотр и корректировка, а также при изменении исходных данных.

компьютерный защита информация система

1.3    Современные средства физической, аппаратной и программной защиты информации

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов. Для этого необходимо:

отнести информацию к категории ограниченного доступа (служебной тайне);

прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.

При разработке политики безопасности можно использовать следующую модель (рис. 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология - методы защиты - критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью».

Рис. 1 Модель построения корпоративной системы защиты информации