Основа защиты информационных процессов в компьютерных системах
Оглавление
1 Информационная безопасность_ 2
1.1 Основные понятия и анализ угроз информационной безопасности_ 2
1.2 Политика информационной безопасности_ 2
1.2.1 Введение_ 2
1.2.2 Основные понятия политики информационной безопасности_ 3
Описание проблемы_ 4
Область применения_ 4
Позиция организации_ 4
Распределение ролей и обязанностей_ 5
Санкции_ 6
Дополнительная информация_ 6
Описание обязанностей категорий персонала_ 9
Управленческие меры обеспечения информационной безопасности_ 12
1.2.3 Структура политики информационной безопасности организации_ 13
1.2.3.1 Базовая политика безопасности_ 14
1.2.3.2 Специализированные политики безопасности_ 14
Политика допустимого использования_ 15
Политика удаленного доступа_ 17
1.2.3.3 Процедуры безопасности_ 18
Процедура реагирования на события_ 19
1.2.4 Разработка политики безопасности организации_ 21
Компоненты архитектуры безопасности_ 27
Роли и ответственности в безопасности сети_ 30
Управление тревожной сигнализацией_ 33
1 Информационная безопасность
1.1 Основные понятия и анализ угроз информационной безопасности
1.2 Политика информационной безопасности
1.2.1 Введение
Под политикой информационной безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика информационной безопасности является тем средством, с помощью которого реализуется деятельность в компьютерной информационной системе организации. Вообще, политики информационной безопасности определяются используемой компьютерной средой и отражают специфические потребности организации.
|
|
Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты чаще всего обладают собственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика информационной безопасности в качестве согласованной платформы по обеспечению безопасности корпоративной информационной системы. По мере роста компьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.
Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, менеджер по персоналу может иметь доступ к частной информации любого сотрудника, в то время как специалист по отчетности может иметь доступ только к финансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ лишь к своей собственной, персональной информации.
|
|
Политика безопасности определяет позицию организации по рациональному использованию компьютерной сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик - от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.
1.2.2 Основные понятия политики информационной безопасности
Политика информационной безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.
Для того чтобы ознакомиться с основными понятиями политик безопасности, рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоторой организации, и ассоциированную с ней политику безопасности.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.
|
|
Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае данный документ политики не потребуется изменять слишком часто.
Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы
Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения
В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации
Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:
· обеспечение уровня безопасности, соответствующего нормативным документам;
· следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходи ть предполагаемого ущерба от нарушения информационной безопасности);
· обеспечение безопасности в каждой функциональной области локальной сети;
· обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
· обеспечение анализа регистрационной информации;
· предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
· выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
· обеспечение соответствия с имеющимися законами и общей политикой безопасности организации.
Распределение ролей и обязанностей
За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.
Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Ниже приведены более подробные сведения о ролях и обязанностях должностных лиц и пользователей сети.
Санкции
Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.