Закони та стандарти в області ІБ є лише відправним нормативним базисом ОІБ. Основу практичної побудови системи ОІБ становить створення адміністративного рівня системи, що визначає генеральний напрямок робіт по ОІБ.
Розробка політики безпеки ведеться для конкретних умов функціонування інформаційної системи. Як правило, мова йде про політику безпеки організації, підприємства або навчального закладу. З огляду на це розглянемо таке визначення політики безпеки.
Політика безпеки - це комплекс попереджувальних заходів щодо забезпечення інформаційної безпеки організації. Політика безпеки включає правила, процедури і керівні принципи в області безпеки, якими керується організація у своїй діяльності. Крім цього, політика безпеки включає в себе вимоги на адресу суб'єктів інформаційних відносин, при цьому в політиці безпеки викладається політика ролей суб'єктів інформаційних відносин.
Основні напрямки розробки політики безпеки:
· Визначення обсягу і необхідного рівня захисту даних;
· Визначення ролей суб'єктів інформаційних відносин.
В "Помаранчевої книзі" політика безпеки трактується як набір норм, правил і практичних прийомів, які регулюють управління, захист і розподіл цінної інформації. На практиці цей документ трактується дещо ширше: як сукупність документованих адміністративних рішень, спрямованих на забезпечення безпеки інформаційних ресурсів.
Результатом розробки політики безпеки є комплексний документ, який представляє систематизований виклад цілей, завдань, принципів і способів досягнення інформаційної безпеки.
Цей документ є методологічною основою практичних заходів щодо забезпечення інформаційної безпеки і включає наступні групи відомостей:
· Основні положення інформаційної безпеки організації;
· Область застосування політики безпеки;
· Цілі і завдання забезпечення інформаційної безпеки організації;
· Розподіл ролей і відповідальності суб'єктів інформаційних відносин організації та їх загальні обов'язки.
Основні положення визначають важливість забезпечення інформаційної безпеки, загальні проблеми безпеки, напрямки їх вирішення, роль співробітників, нормативно-правові основи.
При описі області застосування політики безпеки перераховуються компоненти автоматизованої системи обробки, зберігання та передачі інформації, що підлягають захисту.
До складу автоматизованої інформаційної системи входять наступні компоненти:
апаратні засоби - комп'ютери та їх складові частини (процесори, монітори, термінали, периферійні пристрої - дисководи, принтери, контролери), кабелі, лінії зв'язку і т. д .;
програмне забезпечення - придбані програми, вихідні, об'єктні, завантажувальні модулі; операційні системи і системні програми (компілятори, компоновщики і ін.), утиліти, діагностичні програми і т. д .;
дані - збережені тимчасово і постійно, на магнітних носіях, друковані, архіви, системні журнали і т. д .;
персонал - обслуговуючий персонал і користувачі.
Цілі, завдання, критерії оцінки інформаційної безпеки визначаються функціональним призначенням організації. Наприклад, для режимних організацій на перше місце ставиться дотримання конфіденційності. Для сервісних інформаційних служб реального часу важливим є забезпечення доступності підсистем. Для інформаційних сховищ актуальним може бути забезпечення цілісності даних і т. Д. Типовими цілями можуть бути наступні:
· Забезпечення рівня безпеки, відповідного нормативним документам підприємства;
· Досягнення економічної доцільності у виборі захисних заходів;
· Забезпечення відповідного рівня безпеки в конкретних функціональних областях АС;
· Реалізація підзвітності всіх дій користувача над інформаційними ресурсами і аналізу реєстраційної інформації;
· Вироблення планів відновлення системи після критичних ситуацій і забезпечення безперервної роботи АС.
Якщо підприємство не є ізольованим, цілі і завдання розглядаються в ширшому контексті, тобто повинні бути оговорені питання безпечного взаємодії локальних і віддалених підсистем.
В ПБ можуть бути реалізовані деякі стратегічні принципи безпеки (дії в разі порушення ПБ, взаємодія з зовнішніми організаціями, правоохоронними органами і т.п.). Як приклад можна привести 2 стратегії дій у відповідь на порушення безпеки.
1. Захиститися і продовжити: застосовується, коли підприємство побоюється за уразливість ресурсів; надає макс протидію порушників.
2. Вислідити і засудити: коли зловмисникові дозволяють продовжити дії з метою компрометації і покарання.
Політика безпеки зачіпає всіх суб'єктів інформаційних відносин в організації, тому на етапі розробки політики безпеки дуже важливо розмежувати їх права і обов'язки, пов'язані з їх безпосередньою діяльністю.
З точки зору забезпечення інформаційної безпеки розмежування прав і обов'язків доцільно провести за такими групами (ролям):
· Фахівець з інформаційної безпеки;
· Власник інформації;
· Постачальники апаратного і програмного забезпечення;
· Менеджер відділу;
· Оператори;
· Аудитори.
Для кожної категорії користувачів описуються правильні і неправильні способи використання ресурсів. Слід вказати, яке з правил за замовчуванням прийнято в організації:
· Що явно не заборонено, то дозволено.
· Що явно не дозволено, то заборонено.
Важливим елементом ПБ є розподіл відповідальності. Для кожного виду проблеми повинен бути знайдений відповідальний. Зазвичай виділяють кілька рівнів відповідальності:
1: кожен користувач зобов'язаний працювати відповідно до ПБ, підкорятися розпорядженням осіб, що відповідають за окремі аспекти безпеки, доводити до відома керівництво про всі підозрілі ситуаціях.
2: системний адміністратор; відповідає за захист відповідних інформаційно-обчислювальних підсистем.
3: адміністратор ІТТ (корпоративної мережі); повинен забезпечувати реалізацію організаційно-технічних заходів, необхідних для приведення в життя мережевий ПБ.
4: керівники підрозділів; відповідають за доведення і контроль положень ПБ.
З практичної точки зору ПБ поділяють на 3 рівні.
Верхній рівень. Носить загальний характер і визначає політику в цілому. Основна увага приділяється порядку створення і перегляду ПБ, цілям, які переслідуються організацією в області ІБ, питань розпорядку і виділення ресурсів в області вибору методів і засобів ЗІ, координування заходів безпеки, до стратегічного планування і контролю зовнішнього взаємодії та ін. На даному рівні формуються головні цілі в області ІБ, які визначаються сферою діяльності організації.
Середній рівень. Його виділяють тільки в разі структурної складності організації або при необхідності позначити специфічність підсистем організації. Також на середній рівень ПБ можуть бути виділені особливо значущі контури АС організації.
За розробку і реалізацію ПБ верхнього і середнього рівнів відповідають керівник СБ, адміністратори безпеки АС і адміністратор ІТТ.
Нижній рівень ПБ. Відноситься до конкретних служб і підрозділів організації, деталізує верхній рівень ПБ. Визначає вирішення питань безпеки на управлінському рівні, а не тільки на технічному. Визначає конкретні цілі, приватні критерії та показники ІБ, задає права груп користувачів, формує умови доступу. Описує механізми ЗІ, для реалізації яких використовуються програмно-технічні засоби.
Дата додавання: 2015-04-18; переглядів: 38; Порушення авторських прав