Выработка официальной политики предприятия в области информационной безопасности

Выработка официальной  политики предприятия в области  информационной безопасности

 Краткий обзор 

 Организационные  вопросы  

 Целью разработки  официальной политики предприятия  в области информационной безопасности  является определение правильного  (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.  

 Во-первых, необходимо  принять во внимание цели и  основные направления деятельности  организации. Например, на военной  базе и в университете существенно  разные требования к конфиденциальности.  

 Во-вторых, разрабатываемая  политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.  

 В-третьих,  если локальная сеть организации  не является изолированной, вопросы  безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.

 Кто делает  политику?  

 Политика  безопасности должна стать результатом  совместной деятельности технического  персонала, способного понять  все аспекты политики и ее  реализации, а также руководителей,  способных влиять на проведение  политики в жизнь. Нереализуемая  или неподдерживаемая политика бесполезна.  

 Поскольку  политика безопасности так или  иначе затрагивает всех сотрудников  организации, следует позаботиться  о том, чтобы у Вас было  достаточно полномочий для принятия  политических решений. Хотя некоторой  группе (например, группе технического обслуживания) может быть поручено проведение политики в жизнь, возможно, нужна группа более высокого ранга для поддержки и одобрения политики.

 Кого затрагивает  политика?  

 Политика  безопасности потенциально затрагивает  всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы обязаны ликвидировать слабые места в защите и надзирать за работой всех систем.  

 Важно с  самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков. Возможно, на предприятии уже есть группа информационной безопасности; естественно, люди из этой группы считают безопасность своей вотчиной. Следует привлечь также специалистов по аудиту и управлению, по физической безопасности, по информационным системам и т.п. Тем самым будет подготовлена почва для одобрения политики.

 Распределение  ответственности  

 Ключевым  элементом политики является  доведение до каждого его обязанностей по поддержанию режима безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для каждого вида проблем существует ответственный.  

 В связи  с информационной безопасностью  можно выделить несколько уровней  ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего счета. Пользователь, допустивший компрометацию своего счета, увеличивает вероятность компрометации других счетов и ресурсов.  

 Системные  администраторы образуют другой уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню.

 Оценка рисков 

 Общие положения  

 Один из  главных побудительных мотивов  выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом. Данное положение кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации ущерб от внутренних, "штатных" злоумышленников значительно больше.  

 Процесс анализа  рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.  

 Полное рассмотрение  проблемы анализа рисков выходит  за пределы данной публикации. Интересующимся мы рекомендуем  обратиться к работам  [3] и  [16] . Тем не менее, в следующих  пунктах будут затронуты два этапа процесса анализа рисков: 

 идентификация  активов, 

 идентификация  угроз. 

 Главной целью  деятельности в области информационной  безопасности является обеспечение  доступности, конфиденциальности  и целостности каждого актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям.

 Идентификация  активов  

 Один из  этапов анализа рисков состоит  в идентификации всех объектов, нуждающихся в защите. Некоторые  активы (например, аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.  

 В свое  время Pfleeger  [16] предложил следующую классификацию активов: 

 Аппаратура: процессоры, модули, клавиатуры, терминалы,  рабочие станции, персональные  компьютеры, принтеры, дисководы, коммуникационные  линии, терминальные серверы,  маршрутизаторы.

 Программное  обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы.

 Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной  копии, регистрационные журналы,  базы данных, передаваемые по коммуникационным линиям.

 Люди: пользователи, обслуживающий персонал.

 Документация: по программам, по аппаратуре, системная,  по административным процедурам.

 Расходные  материалы: бумага, формы, красящая  лента, магнитные носители.

 Идентификация угроз  

 После того, как выявлены активы, нуждающиеся  в защите, необходимо идентифицировать  угрозы этим активам и размеры  возможного ущерба. Это поможет  понять, каких угроз следует опасаться  больше всего.  

 В следующих  пунктах перечисляются некоторые из возможных угроз.

 Несанкционированный  доступ  

 Несанкционированный  доступ к компьютерным ресурсам  — угроза, типичная для большинства  организаций. Несанкционированный  доступ может принимать различные  формы. Иногда это нелегальное  использование счета другого пользователя для получения доступа к системе. В других случаях ресурсами пользуются без предварительно полученного разрешения.  

 Степень важности  проблемы несанкционированного  доступа для разных организаций  разная. Порой передача прав доступа  неавторизованному пользователю может привести к разрушению магнитных носителей. Чаще несанкционированный доступ облегчает исполнение других угроз. Разнится и вероятность нападения: некоторые организации (известные университеты, правительственные и военные учреждения) как бы притягивают к себе злоумышленников. Следовательно, риск несанкционированного доступа меняется от предприятия к предприятию.

 Нелегальное  ознакомление с информацией  

 Нелегальное  ознакомление с информацией —  другая распространенная угроза. Определите степень конфиденциальности информации, хранящейся в Ваших компьютерах. Расшифровка файла паролей откроет дорогу несанкционированному доступу. Мимолетный взгляд на Ваше коммерческое предложение может дать конкуренту решающее преимущество. Техническая статья способна вместить в себя годы напряженных исследований.

 Отказ в  обслуживании  

 Компьютеры  и сети предоставляют своим  пользователям множество ценных  услуг, от которых зависит эффективная  работа многих людей. Когда  услуги вдруг становятся недоступными, страдает производительность труда.  

 Отказ в  обслуживании возникает по разным  причинам и проявляется по-разному.  Сеть может прийти в неработоспособное  состояние от поддельного пакета, от перегрузки или по причине  отказа компонента. Вирус способен замедлить или парализовать работу компьютерной системы. Каждая организация должна определить для себя набор необходимых сервисов и для каждого из них проанализировать последствия его недоступности.

 Политические  вопросы  

 При разработке  политики безопасности необходимо дать ответы на ряд вопросов, а именно: 

 Кто имеет  право использовать ресурсы? 

 Как правильно  использовать ресурсы? 

 Кто наделен  правом давать привилегии и  разрешать использование? 

 Кто может  иметь административные привилегии?

 Каковы права и обязанности пользователей?

 Каковы права  и обязанности системных администраторов  по отношению к обычным пользователям? 

 Как работать  с конфиденциальной информацией? 

 Ниже мы  обсудим эти вопросы. Кроме  того, возможно, Вы захотите отразить  в политике этические аспекты использования вычислительных ресурсов. В таком случае Вам помогут работы  [17] и  [18] .

 Кто имеет  право использовать ресурсы?  

 Одним из  шагов в разработке политики  безопасности является определение  того, кто может использовать  Ваши системы и сервисы. Должно быть явно сказано, кому дается право использовать те или иные ресурсы.

 Как правильно  использовать ресурсы?  

 После определения  круга лиц, имеющих доступ к  системным ресурсам, необходимо  описать правильные и неправильные  способы использования ресурсов. Для разных категорий пользователей (студентов, внешних пользователей, штатных сотрудников и т.д.) эти способы могут различаться. Должно быть явно сказано, что допустимо, а что — нет. Могут быть описаны также ограничения на использование определенных ресурсов. При этом Вам придется специфицировать уровни доступа разных групп пользователей.  

 Пользователи  должны знать, что они несут  ответственность за свои действия  независимо от применяемых защитных  средств и что использовать  чужие счета и обходить механизмы безопасности запрещено.  

 Для регламентации  доступа к ресурсам нужно дать  ответы на следующие вопросы: 

 Разрешается  ли использование чужих счетов?

 Разрешается  ли отгадывать чужие пароли?

 Разрешается  ли разрушать сервисы?

 Должны ли  пользователи предполагать, что  если файл доступен всем на  чтение, то они имеют право  его читать?

 Имеют ли  право пользователи модифицировать  чужие файлы, если по каким-либо  причинам у них есть доступ  на запись?

 Должны ли  пользователи разделять счета? 

 В большинстве  случаев ответы на подобные  вопросы будут отрицательными.  

 В политике  могут найти отражение авторские  и лицензионные права на программное  обеспечение. Лицензионное соглашение  с поставщиком налагает на  организацию определенные обязательства; чтобы не нарушить их, необходимо приложить некоторые усилия. Кроме того, Вы, возможно, захотите проинформировать пользователей, что присваивать защищенное авторскими правами программное обеспечение запрещено законом.