Пример разработки политики безопасности организации

• Что нужно для создания политики безопасности
  1. Компоненты архитектуры безопасности
• Примеры подходов:
  1. Пример подход предприятия IBM
  2. Пример стандарта безопасности для ОС семейства UNIX
  3. Пример подхода компании Sun Microsystems
  4. Пример подхода компании Cisco Systems
  5. Пример подхода компании Microsoft
• Положение о политике информационной безопасности предприятия

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

• Уточнение важности информационных и технологических активов предприятия;
• определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
• Определение рисков на угрозы активам;
• Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
• Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
• Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

• указывать на причины и цели создания политики безопасности;
• осматривать, какие границы и ресурсы охватываются политикой безопасности;
• определить ответственных по политике безопасности;
• определить условие не выполнение и так званное наказание
• политики безопасности должны быть реальными и осуществимыми;
• политики безопасности должны быть доступными, краткими и однозначными для понимания;
• должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

• создание адекватной команды для создание политики;
• решить вопросы об возникающих особенностях при разработки.
• решить вопросы об области действии и цели создании политики;
• решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на локальные атаки. Сделав основные шаги нужно проанализировать есть ли выход локальной сети(seti_PDH или seti_dwdm) в интернет. Ведь при выходе сети в интернет возникает вопрос о проблемах защиты информации в сетях. Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и оценки рисков.Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

Рисунок 1

На этом этапе реализуются следующие шаги:

• анализ угроз информационной безопасности которые непосредственно обозначены для объекта защиты;
• оценка и идентификация цены информационных и технологических активов;
• осмотр вероятности реализации угроз на практике;
• осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

• Вход, допустим это пользователь делает запрос на создания нового пароля;
• механизм, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора;
• Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
• Выход, это результат процесса. Получение пароля.

Рисунок 2

Физическая безопасность, важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

• открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
• контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
• особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и тд). также должен быть обозначен метод обнаружения ошибок при передачи информации. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Ресурсы делят на две категории, которые подвержены угрозам:

• Ресурсы ОС;
• Ресурсы пользователя.
• Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру спутниковые системы;

Определение полномочий администратору, должны быть четко обозначены и также все их действие должны логироватся и мониториться. Также есть администраторы которые следят за контролем удаленного доступа к ресурсам.

Функции:

• должны определить полномочия для каждой системы и платформы;
• проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

• каждое нарушение безопасности должно давать сигнал события;
• Одно событие не есть поводом для утверждения, они должны накапливаться;
• должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Рисунок — 3

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

• Анализ информационных предприятия, который могут нанести максимальный ущерб.
• Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия.
• Разработать планы действий при ЧС для уменьшения ущерба.
• Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

• Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
• Осмотр бизнес-стратегии предприятия.
• Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рекомендуемая структура руководящих документов для реализации информационной безопасности показана на рис.4.

Рисунок — 4

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

• анализа информационных угроз и методов их уменьшения
• создание норм и правил безопасности разных уровней предприятия
• уточнение методов защиты, которые будут реализованы на предприятии
• конкретное определение процедур безопасности
• анализ ожиданий относительно результатов от сотрудников и компании в целом
• реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Рисунок — 5

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Срок действия — с 1 января по 31 декабря … года.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз, сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

• управление бизнесом
• отдел защиты информации
• техническое управление
• департамент управления рисками
• отдел системного/сетевого администрирования
• юридический отдел
• департамент системных операций
• отдел кадров
• служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

• назначения ценности информационных активов
• управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
• управление информационной безопасностью
• обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

• Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
• Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
• Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
• Комплексность — должны учитываться все направления безопасности.
• Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
• Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
• Своевременность — все противодействия угрозам должны быть своевременны.
• Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
• Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
• Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Таблица 1.

Под предупреждением нарушений специалисты Cisco считают подтверждение модификаций в системах безопасности. К таким изменениям можно отнести:

• списки контроля доступа
• конфигурация межсетевых экранов
• версия ПЗ
• конфигурация SNMP

Также согласно RFC 2196 должна быть обработка инцидента. Обработка инцидента — алгоритм реагирования на разные ситуации. Шаги по обработке:

• определения приоритета и типа атаки
• анализ времени начала/конца атаки
• анализ источника атаки
• анализ затронутых устройств атакой
• запись в журнал
• действия по остановки или уменьшения последствий атаки
• изолирования пострадавших участков системы
• уведомление соответствующих лиц
• защита доказательств атаки
• восстановление работоспособности изолированных участков

В сеть предприятия каждый день приходит близко 8 млн. почтовых сообщений, и 6.5 млн сообщений циркулируют внутри компании. Microsoft создала стратегию безопасности, которая состоит из:

• миссия корпоративной безопасности
• принципы операционной безопасности
• модель принятия решений, которая основана на осмотре рисков
• тактическое определение приоритета работы по уменьшению рисков

Подход компании Symantec

Политика определяет, почему предприятие защищает свои данные и активы. Стандарты — что предприятие будет делать для защиты и управления безопасностью информации. Процедуры описывают, как именно предприятие будет выполнять то, что описано в документах выше стоящих. Компания Symantec описывает следующие этапы разработки политики безопасности.

• Анализ и оценка информационных активов— что нужно защищать и с какими целями и задачами.
• Анализ угроз безопасности — выявление источников потенциальных проблем. Анализ возможных ущербом относительно угроз.
• Анализ информационных рисков — самый сложный этап, так как нужно определить вероятности угроз и сопутствующий ущерб.
• Определение ответственности — выбор людей или команду которая должна заниматься такими вопросами на предприятии.
• Создание комплексного документа — создание политики на основе дополнительных документов то ли законодательных то ли внутри корпоративных.
• Реализация — Политика должна четко описывать механизмы реализации защитных действий.
• Управление программой безопасности — область применения.

Что во внимании ? Для эффективной работы политики нужно что бы:

• учитывались цели бизнеса
• была реальной
• держала баланс между безопасностью и производительностью
• все сотрудники могли ознакомится с содержимым политики
• не противоречила другим документам компании и требованием законодательства
• определяла четко ответственность сотрудников
• была обновляемой