Обзор подготовлен
При поддержке
Практики ИБ помогают рекомендациями
Лучшие мировые практики в области построения систем управления информационной безопасности (СУИБ) основаны на общих стандартных подходах. Но при этом необходимо учитывать и индивидуальные особенности каждой организации. Связь между этими составляющими обеспечивается целой серией корпоративных документов. Особая роль при этом принадлежит Политике ИБ.
На сегодняшний день одной из основных проблем, с которой сталкиваются российские организации, заключается в отсутствии формализации процессов защиты информации. Это приводит к тому, что у бизнеса отсутствует утвержденная модель угроз и вытекающие из неё требования безопасности, не распределена ответственность за решения задач по защите информации. А рядовые сотрудники попросту не осведомлены о своих обязанностях в части соблюдения мер защиты. Для решения всех вышеперечисленных задач и предназначена политика информационной безопасности, особенности создания которой будут рассмотрены далее.
Цели и задачи политики ИБ необходимо выработать и задокументировать
С формальной точки зрения политика безопасности представляет собой официально принятую систему взглядов на цели, задачи, основные принципы и направления деятельности в области защиты от возможных угроз. Политика разрабатывается в виде внутрикорпоративного нормативного документа, который утверждается на уровне руководства организации. Крайне важно, чтобы политика утверждалась именно на уровне руководства компании, так как в противном случае статус документа будет существенно ниже и не позволит эффективно реализовывать требования по информационной безопасности.
Все положения политики носят долгосрочный характер и действуют в течение нескольких лет с момента её официального утверждения. Положения и требования политики должны распространяться на все центральные и региональные объекты автоматизации компании, в которых осуществляется хранение, обработка и передача информационных ресурсов, потенциально подверженных информационным атакам. Политика также относится и к подразделениям, осуществляющим сопровождение, обслуживание и обеспечение функционирования автоматизированной системы (АС) предприятия.
Основная цель политики заключается в создании нормативной базы для обеспечения комплексной защиты от угроз безопасности, предусматривающей применение как организационных, так и программно-технических методов защиты. При этом политика должна предусматривать возможность использования следующих мер.
Меры, предусмотренные политикой ИБ
| № | Описание |
| 1. | Меры по выявлению и устранению уязвимостей, на основе которых реализуются угрозы безопасности. Превентивная защита этого типа обеспечивают возможность предотвращения информационных атак путём удаления уязвимостей, являющихся причиной их возникновения |
| 2. | Меры, направленных на своевременное обнаружение и блокирование атак злоумышленника |
| 3. | Меры, обеспечивающих выявление и ликвидацию последствий угроз безопасности. Данный класс направлен на минимизацию ущерба, нанесённого в результате реализации угроз безопасности |
Источник: «ДиалогНаука», 2008
Политика может включать в себя меры, как превентивные, так и направленные на ликвидацию последствий угроз.
Разделы Политики ИБ
| № | Описание этапа |
| 1. | Цели и задачи Политики безопасности |
| 2. | Общие сведения об активах |
| 3. | Модели угроз и нарушителей |
| 4. | Высокоуровневые требования информационной безопасности |
| 5. | Санкции и последствия нарушений политики |
| 6. | Определение общих ролей и обязанностей, связанных с обеспечением информационной безопасности |
| 7. | Перечень частных политик информационной безопасности |
| 8. | Положения по контролю реализации политики информационной безопасности |
| 9. | Ответственность за реализацию и поддержку документа |
| 10. | Условия пересмотра документа |
Источник: «ДиалогНаука», 2008
Видно, что политика ИБ в какой-то степени напоминает юридический документ, а в чем-то технический регламент. В рамках проекта по разработке политики должны быть решены следующие основные задачи.
Задачи, решаемые при разработке Политики ИБ
| № | Описание этапа |
| 1. | Проведена систематизация и анализ угроз информационной безопасности. Для этого в Политике должна быть разработана модель угроз безопасности, позволяющая описать характеристики тех угроз, от которых должна быть защищена АС компании |
| 2. | Проведена оценка текущего состояния информационной безопасности компании на основе имеющейся информации о структуре АС, а также установленных средствах защиты |
| 3. | Определена стратегия создания, функционирования и развития комплексной системы информационной безопасности |
| 4. | Разработаны концептуальные подходы к защите типовых объектов автоматизации компании от возможных угроз |
Источник: «ДиалогНаука», 2008
Как уже говорилось, Политика ИБ не фиксирует текущее состояние дел, а направлена на создание условий для развития АС на основе индивидуальной модели угроз и построения адекватной СУИБ.
Нормативно-правовая база Политики ИБ не ограничивается законодательством РФ
Политика информационной безопасности должна разрабатываться на основе требований действующего законодательства Российской Федерации, а также учитывать рекомендации международных стандартов. Основные требования российского законодательства, касающегося вопросов защиты информации, изложены в общем виде в Федеральных законах и уточнены в документах Федеральной службы по техническому и экспортному контролю РФ (Гостехкомиссии России), ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению информационной безопасности.
Международные стандарты позволяют дополнить отечественное законодательство в тех областях, которые не затрагиваются российскими нормативно-правовыми документами. Примерами таких областей является аудит информационной безопасности, интеграция различных средств обеспечения безопасности, управление системами защиты и др. В настоящее время наибольшее распространение в России получили следующие Международные стандарты: ISO/IEC 17799, CobiT, ITIL, OCTAVE. В отличие от положений российского законодательства, требования международных стандартов носят рекомендательный характер.
Нормативно-правовые документы, которые должны учитываться в процессе разработки политики, можно разделить на следующие основные группы.
Нормативно-правовая база построения Политики ИБ
| № | Описание |
| 1. | Правовые документы, которые включают в себя Федеральные законы и кодексы, указы и распоряжения Президента РФ, а также постановления правительства РФ |
| 2. | Специализированные нормативные документы, включающие в себя российские и международные стандарты, а также специальные требования ФСТЭК и ФСБ, касающиеся вопросов защиты информации |
| 3. | Внутренние организационно-распорядительные документы, которые действуют в организации, для которой разрабатывается политика информационно безопасности. Примерами таких документов являются должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности |
Источник: «ДиалогНаука», 2008
Политика информационной безопасности должна дополняться техническими и организационными политиками, а также должностными инструкциями, технологическими профилями и т.д. Общая структура нормативно-методических документов компании в области информационной безопасности показана на рисунке ниже.
Общая структура нормативно-методических документов в области ИБ
Источник: «ДиалогНаука», 2008
Видно, что Политика ИБ находится на вершине пирамиды документов, которые служат для описания и регламентации частных случаев обеспечения ИБ и действий персонала.
Создать Политику мало - надо ее внедрить
После разработки пакета нормативных документов необходимо провести целый ряд мероприятий по их внедрению на предприятии. Для этого в первую очередь необходимо обеспечить укомплектование подразделений предприятия сотрудниками, ответственными за выполнение работ по защите от угроз безопасности. В ряде случаев эти обязанности могут быть совмещены с другими функциями, которые должны выполнять сотрудники компании
Кроме этого, в компании должен быть организован процесс обучения персонала вопросам информационной безопасности. Программа обучения должна быть направлена на донесение до сотрудников компании основных положений политики безопасности, а также вспомогательных документов, которые её дополняют.
Как правило, обучение должно проводиться представителями службы информационной безопасности или службы автоматизации предприятия. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты защиты информации. При этом программа обучения может по-разному составляться в зависимости от должностных обязанностей сотрудника, а также от того к каким информационным ресурсам он имеет доступ.
Виктор Сердюк, к.т.н., CISSP
