Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.
1.2.3 Структура политики информационной безопасности организации
Для большинства организаций политика безопасности абсолютно необходима. Политика безопасности определяет отношение организации к обеспечению безопасности и необходимые действия организации по защите своих ресурсов и активов. На основе политики безопасности устанавливаются необходимые средства и процедуры безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.
Обычно политика безопасности организации включает следующие компоненты:
· базовая политика безопасности;
· процедуры безопасности;
· специализированные политики безопасности (рис. 2.1).
Рис. 2.1. Структура политики безопасности организации
Основные положения политики безопасности организации описываются в следующих документах:
· обзор политики безопасности;
· описание базовой политики безопасности;
· руководство по архитектуре безопасности.
Главным компонентом политики безопасности организации является базовая политика безопасности.
1.2.3.1 Базовая политика безопасности
Базовая политика безопасности устанавливает, как организация обрабатывает информацию, кто может получить к ней доступ и как это можно сделать. В описании базовой политики безопасности определяются разрешенные и запрещенные действия, а также указываются необходимые средства управления в рамках реализуемой архитектуры безопасности. С базовой политикой безопасности согласовываются специализированные политики и процедуры безопасности.
Нисходящий подход, реализуемый базовой политикой безопасности, дает возможность постепенно и последовательно выполнять работу по созданию системы безопасности, не пытаясь сразу выполнить ее целиком. Базовая политика позволяет в любое время ознакомиться с политикой безопасности в полном объеме и выяснить текущее состояние безопасности в организации.
Обзор политики безопасности раскрывает цель политики безопасности, описывает ее структуру, подробно излагает, кто и за что отвечает, устанавливает процедуры и предполагаемые временные рамки для внесения изменений. В зависимости от масштаба организации политика безопасности может содержать больше или меньше разделов.
Руководство по архитектуре безопасности описывает реализацию механизмов безопасности в компонентах архитектуры, используемых в сети организации.
Как отмечалось выше, структура и состав политики безопасности зависят от размера и целей компании. Обычно базовая политика безопасности организации поддерживается набором специализированных политик и процедур безопасности.
1.2.3.2 Специализированные политики безопасности
Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие специфичны для определенных компьютерных окружений.
С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:
· политики, затрагивающие значительное число пользователей;
· политики, связанные с конкретными техническими областями.
К специализированным политикам, затрагивающим значительное число пользователей, относятся:
· политика допустимого использования;
· политика удаленного доступа к ресурсам сети;
· политика защиты информации;
· политика защиты паролей и др.
К специализированным политикам, связанным с конкретными техническими областями, относятся:
· политика конфигурации межсетевых экранов;
· политика по шифрованию и управлению криптоключами;
· политика безопасности виртуальных защищенных сетей VPN;
· политика по оборудованию беспроводной сети и др.
Рассмотрим подробнее некоторые из ключевых специализированных политик.