Разработка политики информационной безопасности

Лабораторная работа 8.

Опубликовано Denis Zakharov от 8 Ноября 2021

Цель работы: изучить структуру типовой политики информационной безопасности и научиться составлять частную политику информационной безопасности.

Теоретическая часть

Organizational security policy - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

В современной практике термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности.

    Примерами таких документов могут служить:
  • Правила работы пользователей в корпоративной сети;
  • Правила работы пользователей в корпоративной сети;
  • Политика обеспечения безопасности при взаимодействии с сетью Интернет;
  • Антивирусная политика, инструкция по защите от компьютерных вирусов;
  • Политика выбора и использования паролей;
  • Правила предоставления доступа к ресурсам корпоративной сети;
  • Политика установки обновлений программного обеспечения;
  • Политика и регламент резервного копирования и восстановления данных;
  • Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.

Разработка политик безопасности собственными силами – длительный трудоемкий процесс, поэтому на практике адаптируют следующий ряд докуметов:

  • ISO 17799;
  • ISO 9001;
  • ISO 15408;
  • BSI;
  • COBIT;
  • ITIL;
  • etc.

Основными нормативными документами в области информационной безопасности выступают:

  • «Общие критерии оценки безопасности информационных технологий» (ISO 15408),которые определяют функциональные требования безопасности и требования адекватности реализации функций безопасности;
  • «Практические правила управления информационной безопасностью» (ISO 17799).

Для того, чтобы сформировать и определить политику информационной безопасности, понадобятся следующие исходные данные:

  • Необходимо определить информацию, которая подлежит защите, и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией;
  • Определить топологии средств автоматизации (физической и логической);
  • Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа;
  • Определить угрозы безопасности информации и создать модель нарушителя;
  • Обнаружить и описать известные угроз и уязвимости;
  • Расположить угрозы по убыванию уровня риска (провести анализ рисков).

Ответственность и обязательства персонала

Эффективная информационная безопасность требует соответствующего участия персонала. Персонал ответственен за свои действия и, следовательно, отвечает за все события и последствия под своим идентификационным кодом пользователя (логин/пароль). Придерживаться политик и процедур доступа к сетям и системам – обязанность персонала.

    Ответственность персонала включает, но не ограничивается следующим:
  • считывать и передавать только данные, на которые у Вас есть авторизованные права и которые Вам положено знать, включая ошибочно адресованную электронную почту;
  • сознательно придерживаться всех политик, законов и нормативных документов (локальных, федеральных, международных), касающихся использованию компьютерных систем и программ;
  • сообщать о нарушениях информационной безопасности ответственным за безопасность сотрудникам, тесно сотрудничать в расследованиях злоупотреблений и неправомерных действий персонала с ИТ ресурсами;
  • защищать назначенные Вам имя и коды пользователя, пароли, другие ключи доступа от раскрытия;
  • оберегать и содержать конфиденциальную печатную информацию, магнитные и электронные носители в предназначенных для этого местах, когда они не в работе и размещать их в соответствии с политикой компании;
  • использовать только приобретенное компанией и лицензионное программное обеспечение, разрешенное для использования внутри компании, устанавливать программы и сервисы только через сотрудника ИТ подразделения;

Политика разрешения доступа к технологическим ресурсам

Политика разрешения доступа к технологическим ресурсам подразделения, службы, отделы, чья деятельность связана с использованием ИТ ресурсов компании, выдачей разрешений доступа к этим ресурсам. Описывает процедуры, которые должны быть выполнены всеми участниками процесса разрешения доступа к ИТ ресурсам компании.

Политика пользования электронной почтой

Политика пользования электронной почтой предоставляет персоналу разрешенные правила пользования ресурсами электронной почты (e-mail) компании. Политика охватывает e-mail, приходящий или отправляемый через все принадлежащие компании персональные компьютеры, сервера, ноутбуки, терминалы, карманные переносные компьютеры, сотовые телефоны и любые другие ресурсы, способные посылать или принимать e-mail по протоколам SMTP, POP3, IMAP.

Антивирусная политика

Антивирусная политика применяется ко всем компьютерам сети компании, каталогам общего пользования, к которым относятся настольные компьютеры, ноутбуки, file/ftp/proxy серверы, терминалы, любое сетевое оборудование, генерирующее трафик. Источниками вирусов могут быть e-mail, Интернет-сайты со скрытыми вредоносными активными элементами, носители информации (флоппи-диски, CD-диски, flash-диски и пр.), открытые для общего доступа папки и файлы и т.д.

Политика подготовки, обмена и хранения документов

Политика подготовки, обмена и хранения документов охватывает все подразделения, службы, отделы, чья деятельность связана с подготовкой, копированием, хранением, обменом документами, информацией, данными с использованием информационно-технологических ресурсов компании. Персонал компании должен придерживаться следующих требований по подготовке, копированию, хранению, обмену документами, информацией, данными , файлами...

Политика серверной безопасности

Политика серверной безопасности применяется к серверному оборудованию, принадлежащему и используемому в компании, и к серверам, зарегистрированным в принадлежащих компании внутренних сетевых доменах.

Контрольные вопросы

Дайте определение политики информационно безопасности.

– это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Из каких основных документов состоит политика информационной безопасности?

Из документов описывающих цели и задачи ИБ на понятном пользователю языке, а также определяющих направления работы подразделения ИБ.

Назовите общее содержание политики разрешения доступа к технологическим ресурсам. Она описывает процедуры, которые должны быть выполнены всеми участниками процесса разрешения доступа к ИТ ресурсам компании.

Что включает в себя политика пользования электронной почтой? Предоставляет персоналу разрешенные правила пользования ресурсами электронной почты (e-mail) компании; контролирует с/без предупреждения содержание e-mail для разрешения проблем, обеспечения безопасности и исследования активности.

Назовите общее содержание антивирусной политики.

    Содержит защита от внешних угроз и вирусов на уровнях:
  • антивирусный контроль на почтовом сервере провайдера;
  • защита от внешних вторжений, вирусов с Интернет-сайтов и трафика во вне с помощью ISA-серверов;
  • антивирусный контроль файлов и почтовых вложений с помощью антивирусных программ на серверах и рабочих станциях пользователей;
  • анти-шпионские сканеры (дополнительно);
  • персональные брэндмауэры (дополнительно).

Назовите общее содержание политика подготовки, обмена и хранения документов. Назовите общее содержание политика подготовки, обмена и хранения документов.

Что включает в себя политика информационно-технической поддержки? Охватывает и описывает все уровни поддержки персонала, выполняемые по заявкам через службу HelpDesk - единой точки контакта с персоналом.

Что включает в себя политика серверной безопасности? Описания основ конфигурирования, мониторинга и соглашений.