Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Политика безопасности делает систему защиты эффективной

Защиту большой информационной системы невозможно решить без грамотно разработанной документации по информационной безопасности — Политики безопасности. Именно она помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. Только всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система в этом случае — защищенной.

По мере роста компании увеличивается ее информационная система. Естественно, что, чем обширнее она становится, чем больше интегрирована с другими системам, тем важнее и труднее становится обеспечение ее информационной безопасности. Компонентов становится много, проследить их взаимосвязь — сложно, следовательно, увеличивается и количество средств защиты. В такой ситуации основной задачей становится не столько само по себе обеспечение безопасности, сколько его целесообразность и эффективность.

В большой информационной системе эту задачу невозможно решить без грамотно разработанной документации по информационной безопасности, которая помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. При разработке системы защиты информации, важно ничего не забыть, и, с другой стороны, не тратить излишние средства. Естественно, что только такая всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система — защищенной.

Главным документом в области обеспечения безопасности в соответствии с ISO 17799 является Политика безопасности. Именно она закладывает основу обеспечения и управления информационной безопасностью компании. Как действует Политика безопасности

Доступ к информационным активам компании может предоставляться сотрудникам компании, а также клиентам, подрядчикам и другим посторонним лицам. Следовательно, пользователями Политики безопасности являются все те, кто имеют доступ к информационным активам компании и от деятельности кого зависит обеспечение безопасности информации компании.

Одним из основных принципов эффективного обеспечения безопасности является вовлеченность руководства в этот процесс. Это важно, в первую очередь, для того, чтобы все сотрудники понимали, что инициатива обеспечения безопасности исходит не от специалистов по информационной безопасности, а от топ-менеджмента компании. Кроме этого, учитывая тот факт, что в настоящее время обеспечение информационной безопасности интересует клиентов и партнеров компании, подпись ее главного лица на основополагающем документе по информационной безопасности будет гарантировать, что компания серьезно относится к информационной безопасности и пользоваться предоставляемыми ею услугами неопасно. Следовательно, содержание политики безопасности должно излагаться от имени руководства компании.

В документе политики безопасности следует описать цели и задачи информационной безопасности, а также ценные активы компании, которые требуют защиты. Целями обеспечения информационной безопасности, как правило, является обеспечение конфиденциальности, целостности и доступности информационных активов, а также обеспечение непрерывности ведения бизнеса компании.

Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности и пр.

Ценные активы компании можно описать, например, так: «Положения настоящей Политики безопасности распространяются на все виды информации, хранящиеся или передающиеся в компании. В том числе, на информацию, зафиксированную на материальных носителях или передающуюся в устной или визуальной форме».

Основные принципы управления ИБ

В политике безопасности необходимо описать важность процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса.

Система управления информационной безопасностью, построенная в соответствии с ISO 27001, предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности следует описать процесс разделения обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании.

Кроме этого, следует описать основные этапы процессного подхода к обеспечению безопасности как основы эффективного управления. В частности, каждая процедура системы управления информационной безопасности должна последовательно проходить этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без тщательного документирования всех процедур — правильность и контролируемость выполнения процедуры зависит именно от наличия четко сформулированных правил ее выполнение. Кроме этого, важно определить, каким образом будет контролироваться эффективность функционирования всех процедур системы управления информационной безопасностью. В частности, следует описать правила ведения записей, подтверждающих выполнение процедур.

Организационная структура

С целью формализации процесса управления информационной безопасностью в компании требуется создание организационной структуры, которую необходимо описать в Политике безопасности.

В компании должны быть специалисты, непосредственно осуществляющие деятельность по управлению безопасностью — например, обучающие сотрудников компании, разрабатывающие критерии для оценки эффективности, планирующие мероприятия по управлению безопасностью и пр. Однако, кроме этого, учитывая тот факт, что процесс управления инициируется руководством компании и именно руководство его контролирует, следует создать рабочую группу по управлению информационной безопасностью. В рабочую группу, как правило, входят руководители различных подразделений компании. В обязанности группы входит утверждение документов по информационной безопасности, разработка и утверждение стратегии управления рисками, контроль выполнение процедур системы управления информационной безопасностью, оценка эффективности функционирования системы управления информационной безопасностью.

Основные подходы к управлению информационными рисками

Эффективная и экономически целесообразная система защиты информации строится на основе анализа информационных рисков. Без осознания того, что необходимо защищать и в какой степени, вряд ли удастся обеспечить требуемый уровень безопасности. Этот постулат требует своего отражения в Политике безопасности, как основа разработки системы обеспечения и управления безопасностью.

Кроме этого, следует описать основные принципы анализа и управления информационными рисками компании. В частности, отражаются следующие процедуры анализа и управления рисками — инвентаризация и категорирование информационных активов компании, аудит защищенности информационной системы, определение информационных рисков, определение уровня приемлемого риска, а также стратегии управлении рисками. Необходимо обратить особое внимание на то, что анализ информационных рисков — это регулярный процесс, который требуется выполнять с заданной периодичностью.

Основные требования к обеспечению ИБ

В Политике безопасности требуется кратко описать все процедуры системы обеспечения и управления информационной безопасностью. В частности, следует отметить такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, повышение квалификации сотрудников компании в области информационной безопасности, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее.

В описании каждой процедуры необходимо четко определить цели и задачи процедуры, основные правила выполнения процедуры, регулярность или сроки выполнение процедуры.

Как вариант составления процедуры обеспечения безопасности можно рассмотреть описание процедуры контроля доступа к информационным ресурсам компании: «В целях обеспечения конфиденциальности, целостности и доступности информационных активов в компании применяется процедура контроля доступа. Доступ пользователей к информационным активам компании предоставляется только на основе производственной необходимости. Использование информационных активов компании в личных целях запрещено. Для каждого пользователя создается уникальная учетная запись с назначенными правами доступа. Все права доступа пользователей к информационной системе компании документально зафиксированы в матрице доступа. Контроль назначения прав доступа осуществляется на всех этапах доступа пользователей к информационным активам, начиная с регистрации нового пользователя и вплоть до удаления учетной записи пользователя информационной автоматизированной системы. Пересмотр прав доступа пользователей осуществляется регулярно не реже двух раз в год или в случае изменения должностных обязанностей пользователя. .Требования и рекомендации к процессу управления доступом пользователей к информационной системе компании изложены в «Инструкции по управлению доступом к информационным активам»».

В Политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также — в соответствии с договором — на сторонних пользователей, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.

Пересмотр Политики безопасности

Естественно, что вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в систему управления информационной безопасностью, а также в Политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть период пересмотра Политики безопасности. Данный раздел Политики безопасности может быть изложен, например, следующим образом:

«Положения Политики безопасности требуют регулярного пересмотра и корректировки не реже одного раза в полгода. Внеплановый пересмотр Политики безопасности проводится в случае:

• внесения существенных изменений в информационную автоматизированную систему компании;
• возникновения инцидентов информационной безопасности.

Ссылки на документы по информационной безопасности

Политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью. Следовательно, при описании процедур системы управления информационной безопасностью следует указывать ссылки на документы, в которых требования к процедуре изложены подробно.

Таким образом, в Политике безопасности описываются все необходимые требования к обеспечению и управлению информационной безопасностью, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования Политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании достигнет требуемого уровня, сотрудники компании будут осознавать свою роль и вовлеченность в процесс обеспечения безопасности. И, как следствие, требуемые информационные активы будут доступны в необходимые моменты времени, изменения будут вноситься только авторизованными пользователями, а конфиденциальность не будет нарушаться.

Наталья Куканова