Политика безопасности в информационных системах

Сегодня предлагаем обсудить важные аспекты на тему: "Политика безопасности в информационных системах" с профессиональной точки зрения и понятным языком. Если в процессе прочтения возникнут вопросы, то дочитайте до конца, а если не найдете ответа, то всегда можно обратиться к нашему дежурному юристу.

Базовые документы в области политики информационной безопасности

Использование существующих международных стандартов, обобщающих опыт зарубежных компаний, при создании системы информационной безопасности позволяет не только упростить ее создание, но и обеспечивает гарантию ее надежности и простоты сопровождения. Кроме того, для многих организаций использование соответствующих нормативных документов является одним из условий их функционирования. При создании системы информационной безопасности необходимо также учитывать, что в различных странах действуют различные специфические нормы, регламентирующие применение информационных технологий на своих территориях. Такие особенности имеются и в законодательстве Российской Федерации.

Наиболее часто при аудите информационных систем и создании положений об информационной безопасности используются следующие стандарты — СТО БР ИББС-1.0–2006, ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC 13335, ГОСТ Р ИСО/МЭК 15408, стандарты BS и ГОСТ Р, описывающих общий подход к реализации наиболее часто используемых организационных и технических средств и методов защиты информации, позволяющих создать необходимую для компании политику информационной безопасности.

Так в стандарте ISO/IEC 17799-2005 «Управление информационной безопасностью – Информационные технологии», построенном на основе британского стандарта «Практические рекомендации по управлению информационной безопасностью», приведены рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности конкретной организации:

  • определение информационной безопасности и перечень составляющих ее элементов;
  • разъяснение основных положений политики информационной безопасности компании, принципов ее построения и используемых стандартов в области ИБ:
    • реализуемая инфрастуктура ИБ;
    • классификация информационными ресурсами и система управления ими;
    • порядок подготовки персонала по вопросам информационной безопасности и порядок их допуска к работе;
    • порядок обеспечения физической безопасности информационных ресурсов и обеспечивающих систем;
    • порядок администрирования информационных ресурсов;
    • порядок управления доступом к средствам вычислительной техники, программному обеспечению и корпоративным данным;
    • порядок разработки и сопровождения информационных систем;
    • система организации защиты от вредоносных программ;
    • система обеспечения непрерывности функционирования информационных систем;
    • порядок управления инцидентами в области ИБ;
    • порядок изменения политики информационной безопасности.

  • должностные обязанности ответственных за обеспечение информационной безопасности лиц и сотрудников организации;
  • организационно-распорядительные документы, регламентирующие политику информационной безопасности.
  • Стандарт ГОСТ Р ИСО/МЭК 15408 (ISO 15408) «Общие критерии оценки безопасности информационных технологий» позволяет оценить адекватность встроенных в информационную систему компании механизмов информационной защиты политикам безопасности предприятия. Стандарт позволяет провести анализ угроз безопасности КИС, определить необходимый профиль защиты информационной системы, произвести оценку соответствия требований безопасности существующей модели угроз и информационных рисков, на основании которой разрабатывается система защиты информации.

    Использование руководящего документа Гостехкомиссии России «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» позволяет определить необходимый класс защищенности информационной системы предприятия, установить степени конфиденциальности различной информации и условия ее обработки
    Использование руководящего документа Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), позволяет определить необходимые работы по защите конфиденциальной информации.

    При создании системы информационной безопасности необходимо использовать и другие стандарты — ITIL, СММ и тд, непрямую не описывающие системы информационной безопасности, но обеспечивающие качество функционирования сервисов и служб компании, в том числе и обеспечивающих политику информационной безопасности в соответствии с установленными стандартами, непрерывное совершенствование качества реализованных систем

    Более подробную информацию вы можете получить, связавшись со специалистами нашей компании.

    Политика безопасности в компьютерных системах.

    Политика безопасности — набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.

    Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств, и определяющих архитектуру системы защиты. Ее реализация для конкретной КС осуществляется при помощи средств управления механизмами защиты.

    Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств расположения организации т.д.

    Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.

    Организация доступа к ресурсам предполагает:

    • разграничение прав пользователей и обслуживающего персонала по доступу к ресурсам КС в соответствии с функциональными обязанностями должностных лиц;

    • организацию работы с конфиденциальными информационными ресурсами на объекте;

    • защиту от технических средств разведки;

    • эксплуатацию системы разграничения доступа.

    Охрана объекта КС обеспечивает разграничение непосредственного доступа людей на контролируемую территорию, в здания и помещения.

    Права должностных лиц по доступу к ресурсам КС устанавливаются руководством организации, в интересах которой используется КС. Каждому должностному лицу определяются для использования технические ресурсы (рабочая станция, сервер, аппаратура передачи данных и т.д.), разрешенные режимы и время работы. Руководством устанавливается уровень компетенции должностных лиц по манипулированию информацией. Лицо, ответственное за ОБИ в КС, на основании решения руководителя о разграничении доступа должностных лиц обеспечивает ввод соответствующих полномочий доступа в систему разграничения доступа.

    Руководство совместно со службой безопасности определяет порядок работы с конфиденциальными информационными ресурсами, не используемыми непосредственно в КС, хотя бы и временно. К таким ресурсам относятся конфиденциальная печатная продукция, в том числе и полученная с помощью КС, а также машинные носители информации, находящиеся вне устройств КС. Учетом, хранением и выдачей таких ресурсов занимаются должностные лица из службы безопасности, либо другие должностные лица по совместительству.

    Читайте так же:  Мастер на час c функцией вскрытия замков

    Основой избирательной политики безопасности является избирательное управление доступом.

    Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа.

    Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту — столбец. На пересечении столбца и строки матрицы указывается тип (типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.

    Матрица доступа — наиболее примитивный подход к моделированию систем, который, однако, является основой для более сложных моделей, наиболее полно описывающих различные стороны реальных КС.

    Вследствие больших размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД. Каждый из этих способов представления МД имеет свои достоинства и недостатки, обуславливающие область их применения.

    Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности (accountability), а также имеет приемлемую стоимость и небольшие накладные расходы.

    Основу полномочной политики безопасности составляет полномочное управление доступом.

    Каждому объекту системы присвоена метка критичности. В том случае, когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру (например, от рядовых исполнителей к руководству).

    Каждому субъекту системы присвоен уровень прозрачности. Каждый субъект кроме уровня прозрачности имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.

    Для моделирования полномочного управления доступом используется модель Белла-Лападула. Для принятия решения на разрешение доступа производится сравнение метки критичности объекта с уровнем прозрачности и текущим уровнем безопасности субъекта. Результат сравнения определяется двумя правилами: простым условием защиты и свойством. В упрощенном виде, они определяют, что информация может передаваться только «наверх», то есть субъект может читать содержимое объекта, если его текущий уровень безопасности не ниже метки критичности объекта, и записывать в него, — если не выше.

    Простое условие защиты гласит, что любую операцию над объектом субъект может выполнять только в том случае, если его уровень прозрачности не ниже метки критичности объекта.

    Основное назначение полномочной политики безопасности — регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние. При этом она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).

    Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект.

    Грубо говоря можно “читать вниз” и “писать вверх”.

    Как уже отмечалось для того, чтобы получить информацию о каком-либо объекте системы, вовсе не обязательно искать пути несанкционированного доступа к нему. Можно получать информацию, наблюдая за работой системы и, в частности, за обработкой требуемого объекта. Иными словами, при помощи каналов утечки информации. По этим каналам можно получать информацию не только о содержимом объекта, но и о его состоянии, атрибутах и др. в зависимости от особенностей системы и установленной защиты. Эта особенность связана с тем, что при взаимодействии субъекта и объекта возникает некоторый поток информации от субъекта к объекту (информационный поток) Информационные потоки существуют в системе всегда. Поэтому возникает необходимость определить, какие информационные потоки в системе являются «легальными», то есть не ведут к утечке информации, а какие — ведут.

    Таким образом, возникает необходимость разработки правил, регулирующих управление информационными потоками в системе.

    Избирательное и полномочное управление доступом, а также управление информационными потоками — своего рода три кита, на которых строится вся защита.

    Эффективность функционирования системы разграничения доступа во многом определяется надежностью механизмов аутентификации. Особое значение имеет аутентификация при взаимодействии удаленных процессов, которая всегда осуществляется с применением методов криптографии.

    Политика безопасности ИТКС

    Политика безопасности относится ко всем информационным ресурсам ИТКС, программам, базам данных, операционным системам, аппаратным средствам, а также определяет правила поведения пользователей сети, обслуживающего персонала и требования к поставщикам оборудования.

    Цель ее — это эффективное управление рисками, выбор сотрудника, ответственного за безопасность информационных ресурсов, установление основы для стабильной среды обработки, гарантия соответствия законам и указам и сохранение контроля над системой в случае злоупотреблений, потерь или неавторизованного разглашения.

    Политика безопасности определяет также взаимоотношения между информационными системами органов государственной власти, как входящими, так и не входящими в ИТКС. Мы уже отмечали, что ИТКС является той системой, в которой хранится и обрабатывается информация национального значения и первостепенной важности. Будучи распределенной, она работает как по закрытым, так и по открытым каналам связи, и в этой связи надо обеспечить доступ к ней множеству распределенных пользователей, в том числе не принадлежащих системе ИТКС, которая должна взаимодействовать также с другими федеральными, ведомственными и региональными системами для получения и предоставления информации.

    С учетом потенциальных угроз безопасности такой информационной системы необходима реализация комплекса мер и средств защиты с использованием таких технологий, как:

    технология защиты распределенных информационных ресурсов;

    технология защиты целостности и подлинности информации; технология защиты сетей и каналов;

    технология защиты информации от утечки по техническим каналам;

    Читайте так же:  Пара купила жилье на заброшенной улице и постаралась превратить его в дом мечты

    технология поддержки доверенной общесистемной программной среды;

    администрирование системы безопасности.

    Задачи обеспечения безопасности

    Конечная цель информационной безопасности ИТКС — обеспечение целостности, доступности, конфиденциальности, полноты, актуальности предоставляемой информации в интересах органов государственной власти, причем на всех этапах (хранение, обработка и передача информации, аутентификация и авторизация ресурсов системы и ее пользователей) на базе современных информационных технологий.

    При этом должна гарантироваться защита от: комплексного воздействия, направленного на нарушение функционирования непосредственно информационной и телекоммуникационной среды;

    несанкционированного нелегитимного доступа к технологической (служебной) и иной информации, связанной с работой сети;

    разрушения встроенных средств защиты. ИТКС должна обеспечивать интегральную безопасность за счет использования криптографических, алгоритмических и организационно-технических мер, средств и способов. Это общее понятие включает в себя:

    физическую безопасность (защита зданий, помещений, подвижных средств и т. п.);

    безопасность аппаратных средств (защита ЭВМ, сетевого оборудования и т. п.);

    безопасность информационных ресурсов системы (баз данных, баз документов, информационных хранилищ, метаинформации, серверов приложений);

    безопасность программно-математического обеспечения (защита от программных вирусов, «троянских коней», логических бомб, хакеров и т.

    безопасность связи (защита каналов связи от внешних воздействий любого вида);

    безопасность сети в целом (дополнительные меры защиты, обеспечивающие ее комплексность).

    Объектами защиты в системе ИТКС являются приложения, информационные ресурсы, система управления и средства обеспечения функционирования системы.

    Общая политика безопасности

    Применительно к ИТКС она должна отвечать целому ряду положений: 1)

    Удовлетворять нормативным документам Гостехкомиссии, ФАПСИ и учитывать требования международных стандартов. 2)

    Необходимый уровень безопасности адекватно определяется ценностью защищаемой информации и соответствует трем уровням —

    совершенно секретно. 3)

    Уровни определяют требования, которым обязаны удовлетворять как программные, так и аппаратные средства и каналы связи. 4)

    Система ИТКС делится на несколько различных областей безопасности в соотве гствии с требуемым уровнем секретности. 5)

    Запрещается чтение информации высшего уровня безопасности субъектам, принадлежащим низшим уровням безопасности. 6)

    Запрещается запись информации с высшим уровнем безопасности в область, имеющую более низкий уровень безопасности. 7)

    В системе ИТКС обеспечивается контроль действий всех пользователей при работе с информационными ресурсами. 8)

    Следует избегать использования программных продуктов и пакетов, исходные тексты которых не контролируются. 9)

    Политика безопасности в ИТКС носит разрешающий характер, то есть пользователь получает доступ только к тем ресурсам, к которым ему разрешено. 10)

    Необходимо использовать понятие экранов и фильтров на всех уровнях модели OSI. 11)

    При защите информации в каналах связи и базах данных и информационных хранилищах следует пользоваться криптографическими методами. 12)

    Должно обеспечиваться обнаружение нарушений целостности объектов данных. 13)

    Надо надежно «оградить» программные продукты средств вычислительной техники от внедрения программных «вирусов» и закладок. 14)

    Программное обеспечение, используемое в ИТКС, не может нарушать штатное функционирование средств защиты. 15)

    Необходима разумная достаточность уровня защиты, дифференцированная в соответствии со степенью важности обрабатываемой информации. 16)

    Требуется унификация средств и методов защиты. 17)

    [3]

    Должна обеспечиваться децентрализация средств защиты. 18)

    Реализация многорубежности защиты в наиболее важных компонентах достигается сочетанием криптографических, программно-технических и организационно-технических мер. 19)

    Важнейшим требованием остается непрерывность функционирования всех организационных, физических и программных мер обеспечения безопасности.

    Политика использования информационных ресурсов 1)

    Информационные ресурсы, требующие защиты, предоставляются пользователям только после полной их взаимной аутентификации и авторизации. 2)

    Видео (кликните для воспроизведения).

    Пользователю обеспечивается доступ только к той информации, к которой он имеет доступ по роду своей деятельности. 3)

    Нельзя средства информационных систем (электронная почта, доски объявлений) применять для распространения и создания материалов, имеющих конфиденциальный характер, а также гриф «секретно» и т. д. без использования соответствующих средств защиты. 4)

    Личная информация пользователей не может быть доступна другим пользователям и обслуживающему персоналу, за исключением специальных случаев. 5)

    Пользователь ИТКС не должен иметь возможность отказаться от факта формирования или приема информации. 6)

    Необходимо добиться несовместимых по принятой концепции защиты процессов и отношений по видам обработки между субъектами и объектами системы изолирования. 7)

    В процессе функционирования системы следует контролировать и обеспечивать целостность санкционированных конфигураций программных и аппаратных компонентов. 8)

    Надо обеспечивать контроль выполнения технологических процессов (их логическая завершенность, санкционированность, совместимость), а также оперативную отработку всех видов реакции системы на нарушение принятых соглашений. 9)

    Следует протоколировать все действия пользователя при доступе к приложениям и информационным ресурсам.

    Политика использования экранов и фильтров предполагает достижение следующих целей:

    1) Вся система ИТКС делится на зоны по критериям требуемого уровня безопасности. 2)

    Каждая зона имеет свои собственные серверы и средства защиты, адекватные требуемому уровню безопасности. 3)

    Предусмотрены механизмы физического разделения областей, предназначенных для обработки информации с различным уровнем секретности. 4)

    Информация, проходящая через границы зон безопасности, пропускается через механизмы фильтрации, чтобы исключить ее неавторизованное разглашение. 5)

    Взаимодействие пользователей с системой ИТКС разрешается только на прикладном уровне. 6)

    Каждая зона безопасности ИТКС защищена от внешнего проникновения специальными программно-аппаратными комплексами на всех уровнях модели OSI (физическом, канальном, сетевом, транспортном и т. д.).

    Политика обеспечения готовности и надежности включает такие императивы: 1)

    Каждый сервер защиты ИТКС обязан дублироваться. 2)

    Всю информацию, относящуюся к защите, следует периодически записывать на однократно записываемые носители. 3)

    Система обязана сохранять работоспособность при локальных нарушениях безопасности, не снижая при этом требуемого уровня защиты информации.

    Политика использования методов криптографии подразумевает выполнение ряда требований: 1)

    Используемые средства и методы криптографии обязательно сертифицируются ФАПСИ. 2)

    При формировании информации пользователями ИТКС обеспечивается электронная подпись, однозначно определяющая источник. 3)

    Читайте так же:  Простые способы, которые помогут сэкономить на свадьбе

    Обеспечивается как индивидуальное, так и магистральное шифрование каналов передачи информации, при этом используется как абонентское, так и прозрачное шифрование. 4)

    Осуществляется контроль целостности программной и информационной частей ИТКС. 5)

    Используются средства установления подлинности и целостности документальных сообщений при их передаче по каналам связи. 6)

    Исключается возможность отказов от авторства и содержания электронных документов.

    Политика физической защиты включает реализацию ряда важных мероприятий, а именно:

    1) Защита оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам. 2)

    Защита шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок. 3)

    Все используемые в ИТКС технические средства обязаны проходить спецпроверки на отсутствие закладок. 4)

    Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информацией. 5)

    Использование для передачи и обработки информации каналов и способов, затрудняющих ее перехват. 6)

    Обеспечение защиты технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации. 7)

    Дублирование критически важных каналов связи и оборудования.

    К их числу относятся:

    [1]

    обеспечение организационно-режимных мер защиты;

    разработка должностных инструкций для пользователей и обслуживающего персонала системы ИТКС;

    дублирующий контроль наиболее важных операций, касающихся безопасности системы;

    организация «горячей линии», по которой пользователи системы могут сообщить анонимно о своих подозрениях на нарушение безопасности системы;

    согласование принципов взаимодействия службы безопасности со службами администрирования и управления ИТКС.

    Под администрированием и управлением информационной безопасностью имеется в виду следующее:

    1) В системе ИТКС используется централизованное управление защитой системы.

    Если нет доверия к системе, она все равно не будет использоваться, даже при том, что все компоненты удовлетворяют предъявленным функциональным требованиям. Доверие устанавливается только тогда, когда в системе есть некоторый набор свойств и особенностей, которые удовлетворяют ее заказчика, и она эти качества явно демонстрирует. Иными словами, должна быть уверенность в том, что компьютерная система может выполнять свои действия и при этом обеспечивать целостность, конфиденциальность и выполнять свои функции долгое время. Такое требование содержится в ответе на следующий вопрос: «Каким способом мы можем сохранять высокий уровень доверия к системе, которая может быть распределенной, и где высок риск нарушений различного рода?» Ведь чтобы восстановить однажды утраченное доверие к системе, придется проделать огромную работу.

    Модель доверия к информационной системе ИТКС должна состоять из трех компонент: 1)

    защита, включающая механизмы: аутентификации, авторизации, целостности, конфиденциальности и невозможности отказа; 2)

    готовность, базирующаяся на таких свойствах и качествах, которые позволят использовать систему в любой момент; 3)

    производительность, требуемая для того, чтобы предупреждать сбои программного обеспечения и возможные потери контроля.

    Когда используется одиночный компьютер, относительно легко определить причины неправильной работы системы: в этом случае перед нами достаточно ограниченное число мест, в которых надо искать решение проблемы. Это обычно простые операции, где находится информация и где, возможно, изменяются файлы.

    Более изощренные системы, в которых фигурирует множество файлов, требуют дополнительного механизма на случай ошибок, изменения файлов или когда в операции участвуют несколько файлов. Сложность системы возрастает на несколько порядков, когда выполняется компьютерная программа и изменяются файлы на многих индивидуальных компьютерах в различных местах. И мы, естественно, сомневаемся, можно ли доверить системе выполнить то, что хотим, определить, успешно или нет прошло все, и вернуть все процессы в ту точку, где пребывали до ошибки. В случае доверия к системе такие свойства должны быть гарантированы. Существует три вещи, сдерживающие сегодня реализацию распределенных компьютерных систем: доступная полоса пропускания каналов, эффективная система управления и система безопасности.

    Компоненты системы, отвечающие за поддержание доверенной среды, должны выбираться на этапе проектирования. Доверенные распределенные компьютерные системы требуются даже чаще, чем соответствующие механизмы защиты.

    Безопасность информации достигается включением в систему таких механизмов логического контроля и защиты, которые обеспечивают требуемый уровень доверия пользователя к получаемым им из системы результатам, и обеспечивается за счет некоторой программной, аппаратной, информационной и организационной избыточности.

    Разработка политики информационной безопасности

    Система информационной безопасности представляет из себя совокупность корпоративных правил и норм работы, процедур обеспечения ИБ, формируемую на основе аудита состояния информационной системы компании, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации ( ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и компаний активно взаимодействующих с отечественными и иностранными партнерами.

    Достаточная надежность системы информационной безопасности предприятия может быть реализована только в случае наличия на предприятии политики информационной безопасности. В противном случае разрозненные попытки различных служб по противодействию современным угрозам только создают иллюзию безопасности.

    Современная система информационной безопасности представляет из себя синтез организационных и программно-технических мер, реализованных на основе единого подхода. При этом организационные меры не менее важны, чем технические – без внедрения безопасных приемов работы и осознания необходимости принимаемых мер, немыслимо создать действительно защищенную инфраструктуру безопасности.

    Разработка системы информационной безопасности, как правило, состоит из следующих этапов:

    • проведение аудита информационной безопасности предприятия;
    • анализ возможных рисков безопасности предприятия и сценариев защиты;
    • выработка вариантов требований к системе информационной безопасности;
    • выбор основных решений по обеспечению режима информационной безопасности;
    • разработка нормативных документов, включая политику информационной безопасности предприятия;
    • разработка нормативных документов по обеспечению бесперебойной работы компании;
    • разработка нормативной документации по системе управления информационной безопасностью;
    • принятие выработанных нормативных документов
    • создание системы информационной безопасности и системы обеспечения бесперебойной работы компании;
    • сопровождение созданных систем, включая доработку принятых нормативных документов.
    Читайте так же:  Где и как получить диагностическую карту для осаго

    Выработанная политика информационной безопасности состоит из организационно-распорядительных и нормативно-методических руководящих документов и включает:

    При формировании политики безопасности необходимо максимально учесть принятые нормы работы предприятия, с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.

    Более подробную информацию вы можете получить, связавшись со специалистами нашей компании.

    Политика информационной безопасности организации

    Политика информационной безопасности должна разрабатываться в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных и учитывать требования Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

    Политика должна быть оформлена в соответствии с внутренним порядком документооборота организации и утверждена руководителем организации.

    Целью разработки Политики является обеспечение безопасности объектов защиты оператора информационной системы от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн информационной системы.

    Как разработать политику информационной безопасности предприятия

    Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

    В соответствующем разделе политики информационной безопасности организации должен быть уточнен перечень групп пользователей, обрабатывающих ПДн. Группы пользователей, их права, уровень доступа и информированность должны быть отражены так, как это отражается рабочим порядком в организации.

    В политике безопасности информационных систем должны быть определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн оператора.

    [2]

    Содержание документа

    Политика информационной безопасности оператора ИСПДн обычно состоит из 8 разделов:

    • Общие положения.
    • Область действия.
    • Система защиты персональных данных.
    • Требования к подсистемам СЗПДн.
    • Пользователи ИСПДн.
    • Требования к персоналу по обеспечению защиты ПДн.
    • Должностные обязанности пользователей ИСПДн.
    • Ответственность сотрудников.

    Требования политики информационной безопасности предприятия распространяются на всех сотрудников оператора (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчиков, аудиторов и т.п.).

    Практика разработки и реализации политики информационной безопасности корпоративных информационных систем

    Специалисты в области разработки и анализа применения политик информационной безопасности отечественных и зарубежных компаний (организаций) различают общую стратегическую политику безопасности компании [1] , взаимоувязанную со стратегией развития бизнеса (деятельности организации) и стратегией безопасности информационно-телекоммуникационных технологий (ИТТ) или АС, а также частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими АС и службами обеспечения информационной безопасности.

    Политики информационной безопасности государственных и коммерческих структур.

    Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК ГО 13335-1—2006, который представляет собой руководство по управлению безопасностью ИТТ, определяет концепцию и модели, лежащие в основе базового понимания безопасности АС, и раскрывает общие вопросы управления, планирования, реализации и поддержки безопасности АС в государственных и коммерческих структурах. Целью этого стандарта является формирование общих понятий и моделей управления безопасностью АС. В нем дается определение понятиям «политика безопасности информационных и телекоммуникационных технологий» и «информационная безопасность«.

    Политика безопасности ИТТ (ICT security policy) — это правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию.

    Информационная безопасность (information security) — это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности информации или средств ее обработки [2] .

    При определении понятия «политика безопасности ИТТ» или «политика безопасности АС» необходимо учитывать ключевые меры и средства контроля и управления в сфере защиты АС, рекомендуемые стандартом ГОСТ Р ИСО/МЭК 27002-2012:

    • — защита данных и конфиденциальность персональных данных;
    • — защита документов организации;
    • — защита права на интеллектуальную собственность;
    • — меры и средства управления информационной безопасностью и др.

    Для успешной реализации политики безопасности АС и разработки эффективной программы безопасности ИС Национальным стандартом ГОСТ Р ИСО/МЭК 13335-1—2006 определены фундаментальные принципы обеспечения безопасности:

    • 1) защитные меры в отношении активов должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из специфики активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения (принцип менеджмента риска);
    • 2) должны устанавливаться обязательства организации в области безопасности ИС и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности АС (принцип обязательств);
    • 3) руководство организации песет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью АС, должны быть определены и доведены до сведения персонала (принцип служебных обязанностей и ответственности);
    • 4) управление рисками, связанными с безопасностью АС, должно осуществляться с учетом целей, стратегий и политики организации (принцип определения целей, стратегии и политики безопасности АС);
    • 5) управление безопасностью АС должно быть непрерывным в течение всего их жизненного цикла (принцип управления жизненным циклом АС).

    В данном Национальном стандарте с позиций фундаментальных принципов безопасности приведено описание основных компонентов безопасности, вовлеченных в процесс управления безопасностью, и их связей. Приведены также характеристики каждого компонента и указаны основные сопряженные с ним факторы.

    Читайте так же:  Расчет потери электроэнергии в электрических сетях

    Дадим краткое изложение основных положений этого стандарта. Следует иметь в виду, что одним из основных компонентов безопасности являются защищаемые активы. Правильное управление защитой активов является важнейшим фактором успешной деятельности организации и основной обязанностью руководства на всех уровнях. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту.

    Различают следующие активы:

    • — материальные активы (например, вычислительные средства, средства связи и передачи данных, здания организации);
    • — информацию (данные) (например, документы, базы данных, базы знаний) АС;
    • — средства программного обеспечения АС;
    • — способность производить продукт или предоставлять услуги в электронном виде;
    • — персонал организации;
    • — нематериальные ресурсы (например, престиж фирмы, ее репутация).

    В процессе разработки целевой программы по безопасности и ее реализации важно однозначно идентифицировать активы компании.

    В основе политики безопасности АС организации должны быть сформулированы цели (что необходимо достичь), стратегии обеспечения безопасности организации (способы достижения цели), политика (правила, которые следует соблюдать при реализации стратегий) и процедуры (методы осуществления политики). Предусматривается обеспечение согласованности всех защитных мер. Руководящие документы политики безопасности АС должны отражать организационные требования и учитывать имеющиеся финансовые, кадровые и материально-технические ограничения. Важно обеспечить согласованность между соответствующими документами в рамках пакета документов политики информационной безопасности.

    Более того, общие цели, основные положения стратегии и политики безопасности должны быть отражены и уточнены в специфических целях частных политик и задачах всех сфер деятельности организации, таких как сфера управления финансами, персоналом и безопасностью. Для развития и успешной реализации политики безопасности АС в организации требуется обеспечить качественное управление информационной безопасностью. Пример иерархических отношений, которые могут возникать между политиками безопасности компании (организации), показан на рис. 6.2.

    Рис. 6.2. Пример иерархических отношений политики информационной безопасности с политикой общей безопасности и другими политиками организации

    Основные функции службы информационной безопасности АС.

    Политика безопасности организации включает как принципы безопасности, так и основные директивные положения стратегии развития организации в целом. Она должна отражать широкий круг аспектов, включая аспекты, которые касаются защиты прав личности, выполнения законодательных требований в организации и требований стандартов.

    В связи с многоаспектным характером политик безопасности АС в их разработке принимают участие представители всех основных сфер деятельности компании (организации).

    Для обеспечения административной и финансовой поддержки всех связанных с безопасностью мер политика безопасности АС утверждается руководством организации. Надлежащее определение специфических служебных обязанностей и ответственности должностных лиц обеспечивает эффективную реализацию политики безопасности АС.

    Цель политики безопасности АС достигается при помощи различных организационных структур, зависящих от размера и характера деятельности компании (ведомства). В больших компаниях (масштабных ведомствах) рекомендуется иметь, во-первых, Совет по безопасности АС, который:

    • — формулирует основные цели политики безопасности АС и обосновывает основные положения программы создания целостной системы обеспечения безопасности АС, согласовывая их с руководством и решая межведомственные вопросы программы;
    • — рекомендует стратегии, одобряет документы политики обеспечения безопасности;
    • — организует мониторинг реализации программы безопасности АС;
    • — осуществляет анализ и экспертную оценку эффективности реализации политики безопасности АС;
    • — консультирует руководителей организации по вопросам привлечения кадровых, финансовых, научных и иных ресурсов для успешной реализации программы безопасности АС.

    Во-вторых, рекомендуется создавать службу (департамент или отдел) информационной безопасности ведомства (компании) с администратором безопасности, который связывает воедино все аспекты информационной безопасности.

    Основными функциями службы информационной безопасности являются:

    Служба информационной безопасности ведомства (компании) организует разработку и актуализацию следующих системообразующих документов по обеспечению информационной безопасности:

    • — концепция информационной безопасности ведомства (компании);
    • — политика информационной безопасности ведомства (компании);
    • — методические руководства ведомства (компании) по организации защиты информации на всех стадиях создания, развития и функционирования АС;
    • — регламенты по обработке информации, ограниченного распространения;
    • — инструкции по эксплуатации применяемых средств защиты;
    • — организационно-штатная структура ведомства (компании) в области обеспечения информационной безопасности;
    • — инструкции подразделений, обеспечивающих информационную безопасность АС ведомства (компании);
    • — должностные инструкции сотрудников ведомства, обеспечивающих информационную безопасность в соответствии с организационно-штатной структурой;
    • — технический проект на систему защиты персональных данных, обрабатываемых в ведомстве;
    • — модель угроз и нарушителя безопасности соответствующих ИС персональных данных;
    • — комплект организационно-нормативной документации, регламентирующей вопросы обработки и обеспечения безопасности персональных данных;
    • — приказы о назначении должностных лиц, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных ведомства.
    Видео (кликните для воспроизведения).

    Охарактеризуйте иерархию политик безопасности организации (компании).

    Источники


    1. Мазарчук, Д. В. Общая теория государства и права. Ответы на экзаменационные вопросы / Д.В. Мазарчук, Н.А. Глыбовская. — М.: ТетраСистемс, 2011. — 144 c.

    2. Губина, И.Ю. Латинский словарь юридических терминов и выражений / ред. В.А. Минасова, И.Ю. Губина. — М.: Ростов н/Д: Феникс, 2017. — 320 c.

    3. Казанцев, С.Я. Информационные технологии в юриспруденции / С.Я. Казанцев. — М.: Академия (Academia), 2012. — 369 c.
    4. ред. Карпунин, М.Г. Экономический эксперимент и право; М.: Юридическая литература, 2011. — 160 c.
    Политика безопасности в информационных системах
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here