Organisatsiooni infoturbepoliitika. Infoturbepoliitika ja selle korraldamise põhimõtted

Kernelist väljaspool olev TSF-tarkvara koosneb usaldusväärsetest rakendustest, mida kasutatakse turvafunktsioonide rakendamiseks. Pange tähele, et jagatud teeke, sealhulgas mõnel juhul PAM-mooduleid, kasutavad usaldusväärsed rakendused. Siiski pole ühtegi juhtumit, kus jagatud teeki käsitletaks usaldusväärse objektina. Usaldusväärsed käsud saab rühmitada järgmiselt.

  • Süsteemi lähtestamine
  • Identifitseerimine ja autentimine
  • Võrgurakendused
  • Partii töötlemine
  • Süsteemihaldus
  • Kasutajataseme audit
  • Krüptograafiline tugi
  • Virtuaalse masina tugi

Kerneli täitmiskomponendid võib jagada kolmeks osaks: põhituum, tuumalõimed ja tuumamoodulid, olenevalt sellest, kuidas neid täidetakse.

  • Tuum sisaldab koodi, mis töötab teenuse pakkumiseks, näiteks kasutaja süsteemikõne teenindamiseks või erandisündmuse või katkestuse teenindamiseks. Enamik kompileeritud kerneli koodi kuulub sellesse kategooriasse.
  • Kerneli lõimed. Teatud rutiinsete toimingute tegemiseks, nagu ketta vahemälu tühjendamine või mälu vabastamine kasutamata leheplokkide vahetamise teel, loob kernel sisemised protsessid või lõimed. Lõimed on ajastatud nagu tavalised protsessid, kuid neil puudub privilegeerimata režiimis kontekst. Kerneli lõimed täidavad spetsiifilisi tuuma C keele funktsioone. Kerneli lõimed asuvad kerneli ruumis ja töötavad ainult privilegeeritud režiimis.
  • Kerneli moodul ja seadme draiveri tuumamoodul on kooditükid, mida saab vastavalt vajadusele kernelisse ja sealt välja laadida. Need laiendavad tuuma funktsionaalsust, ilma et oleks vaja süsteemi taaskäivitada. Pärast laadimist pääseb kerneli mooduli objektikood juurde muule kerneli koodile ja andmetele samamoodi nagu staatiliselt lingitud kerneli objektikood.
Seadmedraiver on eritüüpi kerneli moodul, mis võimaldab kernelil pääseda juurde süsteemiga ühendatud riistvarale. Need seadmed võivad olla kõvakettad, monitorid või võrguliidesed. Draiver suhtleb ülejäänud kerneliga määratletud liidese kaudu, mis võimaldab tuumal käsitleda kõiki seadmeid universaalsel viisil, sõltumata nende aluseks olevatest rakendustest.

Kernel koosneb loogilistest alamsüsteemidest, mis pakuvad erinevaid funktsioone. Kuigi kernel on ainus käivitatav programm, saab selle pakutavaid erinevaid teenuseid eraldada ja kombineerida erinevateks loogilisteks komponentideks. Need komponendid toimivad koos, et pakkuda konkreetseid funktsioone. Tuum koosneb järgmistest loogilistest alamsüsteemidest:

  • Faili alamsüsteem ja I/O alamsüsteem: see alamsüsteem rakendab failisüsteemi objektidega seotud funktsioone. Rakendatud funktsioonid hõlmavad neid, mis võimaldavad protsessil failisüsteemi objekte luua, hooldada, nendega suhelda ja kustutada. Need objektid hõlmavad tavalisi faile, katalooge, sümboolseid linke, kõvalinke, teatud seadmetüüpidele omaseid faile, nimega torusid ja pistikupesasid.
  • Protsessi alamsüsteem: see alamsüsteem rakendab protsessihalduse ja lõimehaldusega seotud funktsioone. Rakendatud funktsioonid võimaldavad luua, ajastada, käivitada ja kustutada protsesse ja lõime teemasid.
  • Mälu alamsüsteem: see alamsüsteem rakendab süsteemi mäluressursside haldamisega seotud funktsioone. Rakendatud funktsioonid hõlmavad neid, mis loovad ja haldavad virtuaalset mälu, sealhulgas saalemisalgoritmide ja lehetabelite haldamist.
  • Võrgu alamsüsteem: see alamsüsteem rakendab UNIX-i ja Interneti-domeeni pesasid ning võrgupakettide ajastamiseks kasutatavaid algoritme.
  • IPC alamsüsteem: see alamsüsteem rakendab IPC mehhanismidega seotud funktsioone. Rakendatud funktsioonid hõlmavad neid, mis hõlbustavad kontrollitud suhtlust protsesside vahel, võimaldades neil jagada andmeid ja sünkroonida nende täitmist jagatud ressursiga suhtlemisel.
  • Kerneli mooduli alamsüsteem: see alamsüsteem rakendab laaditavate moodulite toetamiseks infrastruktuuri. Rakendatud funktsioonid hõlmavad kerneli moodulite laadimist, lähtestamist ja mahalaadimist.
  • Linuxi turbelaiendid: Linuxi turbelaiendid rakendavad erinevaid turbeaspekte, mis on saadaval kogu kernelis, sealhulgas Linuxi turbemooduli (LSM) raamistikus. LSM-i raamistik on aluseks moodulitele, mis võimaldavad rakendada erinevaid turvapoliitikaid, sealhulgas SELinuxi. SELinux on oluline loogiline alamsüsteem. See alamsüsteem rakendab kohustuslikke juurdepääsukontrolli funktsioone, et saavutada juurdepääs kõigi subjektide ja objektide vahel.
  • Seadme draiveri alamsüsteem: see alamsüsteem pakub ühise, seadmest sõltumatu liidese kaudu tuge erinevatele riist- ja tarkvaraseadmetele.
  • Auditi alamsüsteem: see alamsüsteem rakendab funktsioone, mis on seotud ohutuse seisukohalt oluliste sündmuste salvestamisega süsteemis. Rakendatud funktsioonid hõlmavad neid, mis hõivavad iga süsteemikõne, et salvestada turvalisuse seisukohalt olulisi sündmusi, ja neid, mis rakendavad auditiandmete kogumist ja salvestamist.
  • KVM alamsüsteem: see alamsüsteem rakendab virtuaalse masina elutsükli hooldust. See teostab juhiste lõpetamist, mida kasutatakse juhiste jaoks, mis nõuavad vaid väikest kontrolli. Muude juhiste täitmiseks kutsub KVM välja QEMU kasutajaruumi komponendi.
  • Krüpto API: see alamsüsteem pakub kõikidele kerneli komponentidele kernelisisese krüptoteegi. See pakub helistajatele krüptoprimitiive.

Kernel on operatsioonisüsteemi põhiosa. See suhtleb otse riistvaraga, rakendab ressursside jagamist, pakub rakendustele ühiseid teenuseid ja takistab rakendustel otsest juurdepääsu riistvarast sõltuvatele funktsioonidele. Kerneli pakutavad teenused hõlmavad järgmist:

1. Protsesside teostamise juhtimine, sealhulgas nende loomise, lõpetamise või peatamise toimingud ning protsessidevaheline andmevahetus. Nende hulka kuuluvad:

  • Protsesside samaväärne ajastamine protsessoris täitmiseks.
  • Protsesside jagamine protsessoris ajajagamisrežiimi abil.
  • Protsessi täitmine protsessoris.
  • Kerneli peatamine pärast määratud ajakvanti möödumist.
  • Kerneli aja määramine teisele protsessile.
  • Kerneli aja ümberplaneerimine peatatud protsessi käivitamiseks.
  • Hallake protsessi turvalisusega seotud metaandmeid, nagu UID-d, GID-d, SELinuxi sildid ja funktsioonide identifikaatorid.
2. RAM-i eraldamine täitmisprotsessi jaoks. See toiming sisaldab:
  • Kerneli poolt protsessidele antud luba teatud tingimustel jagada osa oma aadressiruumist; kernel aga kaitseb protsessi enda aadressiruumi väliste häirete eest.
  • Kui süsteemis on vähe vaba mälu, vabastab kernel mälu, kirjutades protsessi ajutiselt teise taseme mällu või vahetades.
  • Koordineeritud interaktsioon masina riistvaraga virtuaalse aadressi ja füüsilise aadressi vastendamiseks, mis loob vastenduse kompilaatori loodud aadresside ja füüsiliste aadresside vahel.
3. Virtuaalse masina elutsükli hooldus, mis hõlmab järgmist:
  • Määrab emuleerimisrakenduse konfigureeritud ressurssidele antud virtuaalmasina jaoks piirangud.
  • Virtuaalse masina programmikoodi käivitamine täitmiseks.
  • Käsitleb virtuaalmasinate väljalülitamist, täites käsu või viivitades käsu täitmist, et emuleerida kasutajaruumi.
4. Failisüsteemi hooldus. See hõlmab järgmist:
  • Sekundaarse mälu eraldamine kasutajaandmete tõhusaks salvestamiseks ja hankimiseks.
  • Välise mälu eraldamine kasutajafailide jaoks.
  • Taaskasuta kasutamata andmesalvestusruum.
  • Failisüsteemi struktuuri korrastamine (kasutades selgeid struktureerimispõhimõtteid).
  • Kasutajate failide kaitsmine volitamata juurdepääsu eest.
  • Kontrollitud protsessile juurdepääsu korraldamine välisseadmetele, nagu terminalid, lindiseadmed, kettaseadmed ja võrguseadmed.
  • Subjektide ja objektide andmetele vastastikuse juurdepääsu korraldamine, kontrollitud juurdepääsu pakkumine DAC-poliitika ja mis tahes muu laaditud LSM-i rakendatava poliitika alusel.
Linuxi tuum on teatud tüüpi OS-i tuum, mis rakendab ajastamist ülesande eelmüügiga. Tuumades, millel see funktsioon puudub, jätkub tuuma koodi täitmine kuni selle valmimiseni, st. planeerija ei ole võimeline toimingut ümber ajatama, kui see on tuumas. Lisaks on tuumakood kavandatud täitma koostöös, ilma ennetava ajastamiseta ja selle koodi täitmine jätkub, kuni see lõpeb ja naaseb kasutajaruumi või kuni see selgesõnaliselt blokeerib. Ennetavates tuumades on võimalik ülesannet igal hetkel ennetada, kui kernel on olekus, milles on ohutu ümber ajastada.

Selles teemas püüan koostada juhendi äristruktuuri infoturbe valdkonna regulatiivse dokumentatsiooni väljatöötamise kohta, tuginedes isiklikule kogemusele ja võrgu materjalidele.

Siit leiad vastused küsimustele:

  • miks infoturbepoliitikat vaja on;
  • kuidas seda koostada;
  • kuidas seda kasutada.

Infoturbepoliitika vajadus
See osa kirjeldab infoturbepoliitika ja sellega kaasnevate dokumentide juurutamise vajadust mitte ilusas õpikute ja standardite keeles, vaid isiklikest kogemustest pärit näidete abil.
Infoturbe osakonna eesmärkide ja eesmärkide mõistmine
Eelkõige on poliitika vajalik selleks, et anda ärile edasi ettevõtte infoturbe eesmärgid ja eesmärgid. Ettevõtjad peavad mõistma, et turvalisus pole mitte ainult andmelekkete uurimise tööriist, vaid ka abiline ettevõtte riskide minimeerimisel ja seeläbi ka ettevõtte kasumlikkuse tõstmisel.
Poliitikanõuded on kaitsemeetmete rakendamise aluseks
Infoturbepoliitika on vajalik selleks, et õigustada ettevõttes kaitsemeetmete kasutuselevõttu. Poliitika peab olema kinnitatud ettevõtte kõrgeima haldusorgani (tegevjuht, juhatus jne) poolt.

Igasugune kaitsemeede on kompromiss riski vähendamise ja kasutajakogemuse vahel. Kui turvaspetsialist ütleb, et teatud riskide ilmnemise tõttu ei tohiks protsess mingil moel toimuda, esitatakse talle alati mõistlik küsimus: "Kuidas see juhtuma peaks?" Turvaspetsialist peab pakkuma välja protsessimudeli, mille puhul need riskid on teatud määral ettevõtte jaoks rahuldaval määral maandatud.

Pealegi põhjustab igasuguste kaitsemeetmete rakendamine seoses kasutaja suhtlemisega ettevõtte infosüsteemiga alati kasutaja negatiivse reaktsiooni. Nad ei taha ümber õppida, lugeda nende jaoks välja töötatud juhiseid jne. Väga sageli küsivad kasutajad mõistlikke küsimusi:

  • miks ma peaksin töötama teie väljamõeldud skeemi järgi, mitte lihtsal viisil, mida olen alati kasutanud
  • kes selle kõige välja mõtles
Praktika on näidanud, et kasutaja ei hooli riskidest, talle võid pikalt ja tüütult seletada häkkerite, kriminaalkoodeksi jms kohta, sellest ei tule midagi välja kui närvirakkude raiskamine.
Kui teie ettevõttel on infoturbepoliitika, saate anda lühidalt ja sisutihe vastuse:
see meede võeti kasutusele ettevõtte infoturbepoliitika nõuete täitmiseks, mille kinnitas ettevõtte kõrgeim haldusorgan

Reeglina pärast seda enamiku kasutajate energia raugeb. Ülejäänutel võib paluda kirjutada märgukiri ettevõtte kõige kõrgemale haldusorganile. See on koht, kus ülejäänud elimineeritakse. Sest isegi kui sedel sinna läheb, saame rakendatud meetmete vajalikkust juhtkonnale alati tõestada. Pole asjata, et me oma leiba sööme, eks? Poliitikate väljatöötamisel tuleb meeles pidada kahte asja.
  • Infoturbepoliitika sihtrühmaks on lõppkasutajad ja ettevõtte tippjuhtkond, kes ei mõista keerulisi tehnilisi väljendeid, kuid peavad olema kursis poliitika sätetega.
  • Pole vaja püüda võimatut sisse toppida, kaasake sellesse dokumenti kõik, mis võimalik! Peaks olema vaid infoturbe eesmärgid, meetodid nende saavutamiseks ja vastutus! Puuduvad tehnilised üksikasjad, välja arvatud juhul, kui need nõuavad eriteadmisi. See kõik on juhiste ja eeskirjade materjalid.


Lõppdokument peab vastama järgmistele nõuetele:
  • lühidus - suur dokumendimaht peletab kõik kasutajad eemale, keegi ei loe teie dokumenti kunagi (ja kasutate rohkem kui üks kord fraasi: "see on teile tuttava teabeturbepoliitika rikkumine")
  • ligipääsetavus tavainimesele – lõppkasutaja peab aru saama, MIS poliitikas kirjas on (ta ei loe ega mäleta kunagi sõnu ja väljendeid "logimine", "sissetungija mudel", "infoturbeintsident", "infoinfrastruktuur", "tehnogeenne". ", "inimtekkeline" ", "riskitegur" jne)
Kuidas seda saavutada?

Tegelikult on kõik väga lihtne: infoturbepoliitika peaks olema esmatasandi dokument, seda tuleks laiendada ja täiendada muude dokumentidega (määrused ja juhised), mis juba kirjeldavad midagi konkreetset.
Analoogia võib tuua riigiga: esmatasandi dokument on põhiseadus ning riigis kehtivad doktriinid, mõisted, seadused ja muud regulatsioonid vaid täiendavad ja reguleerivad selle sätete rakendamist. Ligikaudne diagramm on näidatud joonisel.

Et puder taldrikule ei määriks, vaatame vaid näiteid infoturbepoliitikatest, mida internetist leiab.

Kasulik lehekülgede arv* Tingimustega täidetud Üldine hinnang
OJSC Gazprombank 11 Väga kõrge
JSC Ettevõtluse Arengu Fond “Damu” 14 Kõrge Keeruline dokument läbimõeldud lugemiseks, tavainimene ei loe seda ja kui ta seda loeb, ei saa ta sellest aru ega mäleta seda
JSC NC "KazMunayGas" 3 Madal Lihtsalt mõistetav dokument, mis pole tehniliste terminitega üle koormatud
Akadeemik A. L. Mintsi nimeline raadiotehnika instituut JSC 42 Väga kõrge Keeruline dokument läbimõeldud lugemiseks, tavainimene seda ei loe – lehti on liiga palju

* Pean kasulikuks lehekülgede arvu ilma sisukorrata, tiitellehte ja muid lehti, mis ei sisalda konkreetset teavet

Jätka

Infoturbepoliitika peaks mahtuma mitmele leheküljele, olema tavainimesele lihtsalt arusaadav ning kirjeldama üldjoontes infoturbe eesmärke, nende saavutamise meetodeid ja töötajate kohustusi.
Infoturbepoliitika rakendamine ja kasutamine
Pärast teabeturbepoliitika kinnitamist peate:
  • tutvustada kõiki olemasolevaid töötajaid poliitikaga;
  • tutvustada kõiki uusi töötajaid poliitikaga (kuidas seda kõige paremini teha, on eraldi arutelu teema; uutele tulijatele on meil sissejuhatav kursus, mille juures annan selgitusi);
  • analüüsida olemasolevaid äriprotsesse, et tuvastada ja minimeerida riske;
  • osaleda uute äriprotsesside loomisel, et mitte hiljem rongi järel joosta;
  • töötada välja eeskirjad, protseduurid, juhendid ja muud poliitikat täiendavad dokumendid (interneti juurdepääsu võimaldamise juhend, piirangualadele juurdepääsu võimaldamise juhend, ettevõtte infosüsteemidega töötamise juhend jne);
  • tutvuda infoturbepoliitika ja muude infoturbe dokumentidega vähemalt kord kvartalis nende uuendamiseks.

Küsimuste ja ettepanekute korral olete oodatud kommentaaridesse ja PM-i.

Küsimus %username%

Mis puutub poliitikasse, siis ülemustele ei meeldi see, mida ma lihtsate sõnadega tahan. Nad ütlevad mulle: "Peale minu ja teie ja veel 10 IT-töötaja, kes ise teavad ja mõistavad kõike, on meil 200 inimest, kes ei saa sellest midagi aru, pooled neist on pensionärid."
Läksin kirjelduste keskmise lühiduse teed, näiteks viirusetõrje reeglid ja alla kirjutan midagi sellist, et seal on viirusetõrjepoliitika jne. Kuid ma ei saa aru, kas kasutaja allkirjastab poliitika, kuid jällegi peab ta lugema palju muid dokumente, tundub, et ta on poliitikat lühendanud, kuid tundub, et ta pole seda teinud.

Siin läheksin protsessianalüüsi teele.
Oletame, et viirusetõrje. Loogiliselt võttes peaks see nii olema.

Milliseid ohte viirused meile kujutavad? Teabe terviklikkuse rikkumine (kahjustamine), teabe kättesaadavuse rikkumine (serverite või personaalarvutite seisakud). Kui võrk on korralikult korraldatud, ei tohiks kasutajal olla süsteemis kohaliku administraatori õigusi, see tähendab, et tal ei tohiks olla õigusi installida süsteemi tarkvara (ja seega ka viiruseid). Seega pensionärid kukuvad ära, kuna nad siin äri ei tee.

Kes saab viirustega seotud riske vähendada? Domeeni administraatori õigustega kasutajad. Domeeniadministraator on tundlik roll, mis antakse IT-osakondade töötajatele jne. Seetõttu peaksid nad installima viirusetõrje. Selgub, et nemad vastutavad ka viirusetõrjesüsteemi tegevuse eest. Sellest lähtuvalt peavad nad allkirjastama viirusetõrje korraldamise juhised. Tegelikult tuleb see vastutus juhendis kirjas olla. Näiteks valitseb turvamees, administraatorid täidavad.

Küsimus %username%

Siis tekib küsimus, mida ei tohiks sisaldada Anti-Virus ZI viiruste loomise ja kasutamise juhistes (või on artikkel ja seda ei saa mainida)? Või et nad on kohustatud teatama viirusest või arvuti kummalisest käitumisest kasutajatoele või IT-inimestele?

Jällegi vaataksin ma riskijuhtimise vaatenurgast. See lõhnab nii-öelda GOST 18044-2007 järgi.
Teie puhul ei pruugi "kummaline käitumine" olla viirus. See võib olla süsteemne pidur või pidur jne. Seega ei ole tegemist intsidendi, vaid infoturbe sündmusega. Jällegi, GOST-i järgi võib sündmusest teatada iga inimene, kuid sellest, kas tegemist on intsidendiga või mitte, saab aru alles pärast analüüsi.

Seega ei tulene see sinu küsimus enam infoturbepoliitikast, vaid intsidentide haldamisest. Teie poliitika peaks seda ütlema ettevõttes peab olema intsidentide käsitlemise süsteem.

See tähendab, et nagu näete, lasub poliitika administratiivne täitmine peamiselt administraatoritel ja turvaametnikel. Kasutajatele jäävad kohandatud asjad.

Seetõttu peate koostama "SVT kasutamise korra ettevõttes", kus peate märkima kasutajate kohustused. See dokument peaks korreleeruma infoturbepoliitikaga ja olema kasutajale nii-öelda selgitus.

See dokument võib viidata sellele, et kasutaja on kohustatud teavitama vastavat asutust arvuti ebatavalisest tegevusest. Noh, sinna saab lisada kõike muud kohandatud.

Kokku peate kasutajat tutvustama kahe dokumendiga:

  • infoturbe poliitika (et ta saaks aru, mida ja miks tehakse, ei kõigutaks paati, ei sõimaks uute juhtimissüsteemide juurutamisel jne)
  • see "SVT kasutamise kord ettevõttes" (et ta mõistaks, mida konkreetsetes olukordades täpselt teha)

Vastavalt sellele lisate uue süsteemi juurutamisel lihtsalt midagi "Protseduurile" ja teavitate sellest töötajaid, saates protseduuri e-posti teel (või EDMS-i kaudu, kui see on saadaval).

Sildid:

  • infoturve
  • riskijuhtimine
  • julgeolekupoliitika
Lisa sildid

Kaasaegses maailmas võib mõistet “infoturbepoliitika” tõlgendada nii laias kui kitsas tähenduses. Mis puudutab esimest, laiemat tähendust, siis see tähistab keerukat otsuste süsteemi, mille teeb teatud organisatsioon, mis on ametlikult dokumenteeritud ja mille eesmärk on tagada ettevõtte turvalisus. Kitsas tähenduses tähendab see mõiste kohaliku tähtsusega dokumenti, mis määrab turvanõuded, rakendatavate meetmete süsteemi, töötajate vastutuse ja kontrollimehhanismi.

Põhjalik infoturbepoliitika on iga ettevõtte stabiilse toimimise tagatis. Selle laiahaardelisus seisneb kaitseastme läbimõelduses ja tasakaalus, samuti õigete meetmete ja kontrollisüsteemi väljatöötamises mistahes rikkumiste korral.

Usaldusväärse infoturbe skeemi loomisel on oluline roll kõigil organisatsioonilistel meetoditel, sest teabe ebaseaduslik kasutamine on pahatahtliku tegevuse, personali hooletuse, mitte tehniliste probleemide tagajärg. Hea tulemuse saavutamiseks vajate organisatsiooniliste, juriidiliste ja tehniliste meetmete terviklikku koostoimet, mis peaks välistama kõik volitamata tungimised süsteemi.

Infoturve on ettevõtte tõrgeteta toimimise ja stabiilse arengu tagatis. Kvaliteetse kaitsesüsteemi ehitamise aluseks peaksid aga olema vastused järgmistele küsimustele:

    Mis on andmesüsteem ja millisel tasemel turvakaitset nõutakse?

    Kes on võimeline infosüsteemi toimimist häirides ettevõttele kahju tekitama ja kes saab saadud infot kasutada?

    Kuidas saab sellist riski viia miinimumini, ilma et see häiriks organisatsiooni sujuvat toimimist?

    Infoturbe kontseptsioon tuleks seega välja töötada konkreetse ettevõtte jaoks personaalselt ja vastavalt selle huvidele. Selle kvalitatiivsetes omadustes mängivad peamist rolli organisatsioonilised meetmed, mis hõlmavad:

      Väljakujunenud juurdepääsukontrollisüsteemi korraldamine. Seda tehakse selleks, et vältida kõrvaliste isikute salajast ja loata sisenemist ettevõtte territooriumile, samuti kontrolli ruumides viibimise ja lahkumise aja üle.

      Töötajatega töötamine. Selle olemus seisneb töötajatega suhtlemise korraldamises ja personali värbamises. Samuti on oluline nendega tutvuda, koostada ja õpetada infoga töötamise reeglid, et töötajad teaksid selle salastatuse piire.

      Infoturbepoliitika näeb ette ka kogumisele, kogumisele ja konfidentsiaalsuse suurendamisele suunatud tehniliste vahendite struktureeritud kasutamise.

      Töö teostamine, mille eesmärk on jälgida personali salastatud teabe kasutamist ja töötada välja meetmed, mis peaksid tagama selle kaitse.

    Sellise poliitika rakendamise kulud ei tohiks ületada võimalikku kahju, mis selle kaotamisest tuleneb.

    Infoturbepoliitika ja selle tõhusus sõltub suuresti ettevõtte poolt talle esitatavatest nõuetest, mis võimaldavad vähendada riskiastet vajaliku tasemeni.

Ettevõtte jaoks on tema teave oluline ressurss. Infoturbepoliitika määrab vajalikud meetmed teabe kaitsmiseks juhusliku või tahtliku omandamise, hävitamise jms eest. Iga ettevõtte töötaja vastutab ohutuspoliitika järgimise eest. Julgeolekupoliitika eesmärgid on:

  • Ettevõtte ressurssidele pideva juurdepääsu tagamine töötajatele oma tööülesannete normaalseks täitmiseks
  • Kriitiliste teaberessursside pakkumine
  • Andmete terviklikkuse kaitse
  • Töötajate vastutusastme ja funktsioonide määramine infoturbe rakendamisel ettevõttes
  • Töötage kasutajate tutvustamiseks teabega seotud riskidega. ettevõtte ressursse

Töötajaid tuleks perioodiliselt kontrollida, et tagada infoturbepoliitika järgimine. Poliitikareeglid kehtivad kõigi ettevõtte ressursside ja teabe kohta. Ettevõttele kuuluvad arvutusressursside, äriteabe, litsentsitud ja loodud tarkvara, kirjade sisu ja erinevat tüüpi dokumentide omandiõigused.

Ettevõtte kõigi teabevarade jaoks peavad olema sobivad inimesed, kes vastutavad teatud varade kasutamise eest.

Juurdepääsu kontroll infosüsteemidele

Kõiki ülesandeid tuleb täita ainult ettevõttes kasutamiseks heakskiidetud arvutites. Teie kaasaskantavate seadmete ja salvestusseadmete kasutamine on võimalik ainult loal. Kogu konfidentsiaalne teave tuleb salvestada krüpteeritud kujul kõvaketta krüpteerimistarkvaraga varustatud kõvaketastele. Töötajate õigused infosüsteemile tuleks perioodiliselt üle vaadata. Teaberessursile volitatud juurdepääsu rakendamiseks tuleb süsteemi sisse logida unikaalse kasutajanime ja parooliga. Paroolid peavad rahuldama . Samuti tuleks vaheajal või töötaja töökohalt puudumisel käivitada ekraanisäästja töömasina blokeerimiseks.

Kolmandate isikute juurdepääs ettevõtte infosüsteemile

Iga töötaja peab teavitama infoturbeteenistust, et annab kolmandatele isikutele juurdepääsu infovõrgu ressurssidele.

Kaugjuurdepääs

Töötajad, kes kasutavad isiklikke kaasaskantavaid seadmeid, võivad taotleda kaugjuurdepääsu ettevõtte teabevõrgule. Töötajatel, kes töötavad väljaspool asukohta ja kellel on kaugjuurdepääs, on keelatud andmeid ettevõtte võrgust kopeerida. Samuti ei saa sellistel töötajatel olla rohkem kui üks ühendus erinevate võrkudega, mis ettevõttele ei kuulu. Kaugjuurdepääsuga arvutid peavad sisaldama .

Interneti-juurdepääs

Selline juurdepääs peaks olema lubatud ainult ärilistel eesmärkidel, mitte isiklikuks kasutamiseks. Soovitused on järgmised:

  • Keelatud on külastada veebiressurssi, mida peetakse ühiskonda solvavaks või sisaldab seksuaalset sisu, propagandat vms.
  • Töötajad ei tohiks kasutada Internetti ettevõtte andmete salvestamiseks
  • Töötajatel, kellel on avalike pakkujate kontod, on keelatud kasutada ettevõtte seadmeid
  • Kõik Interneti-failid tuleb viiruste suhtes kontrollida
  • Interneti-juurdepääs on keelatud kõigile mittetöötajatele

Seadmete kaitse

Töötajad peaksid olema teadlikud ka füüsilise turvalisuse rakendamisest nende seadmete puhul, milles ettevõtte andmeid salvestatakse või töödeldakse. Riist- ja tarkvara käsitsi seadistamine on keelatud; selleks on saadaval infoturbe teenuste spetsialistid.

Riistvara

Konfidentsiaalse teabega töötavatel kasutajatel peab olema eraldi ruum, et piirata füüsiliselt juurdepääsu neile ja nende töökohale.

Iga töötaja, kes on saanud ettevõttelt varustuse ajutiseks kasutamiseks (lähetus), peab selle eest hoolitsema ja mitte jätma seda järelevalveta. Kaotsimineku või muude hädaolukordade korral tuleb arvutis olevad andmed eelnevalt krüpteerida.

Andmete vormindamine enne andmekandja salvestamist või hävitamist ei garanteeri seadme puhtust 100%. Samuti tuleks blokeerida lauaarvutite andmepordid, välja arvatud juhul, kui töötajal on luba andmete kopeerimiseks.

Tarkvara

Kogu ettevõtte arvutitesse installitud tarkvara on ettevõtte omand ja seda tuleb kasutada ametlike ülesannete täitmiseks. Töötajatel on keelatud muu tarkvara paigaldamine isiklikult infoturbeteenistusega kokku leppimata. Kõikidel lauaarvutitel peab olema minimaalne tarkvarakomplekt:

  • Viirusetõrjetarkvara
  • Kõvaketta krüptimise tarkvara
  • Meili krüptimise tarkvara

Ettevõtte töötajad ei tohi:

  • blokeerida või installida muu viirusetõrjetarkvara
  • muuta turvaseadeid

Valitsus saab kasutada elektroonilisi sõnumeid (isegi kustutatud). asutused või ärikonkurendid kohtus tõendina. Seetõttu peab sõnumite sisu rangelt vastama ettevõtte ärieetika valdkonna standarditele.

Töötajad ei saa konfidentsiaalset ettevõtteteavet posti teel ilma krüptimiseta edastada. Samuti ei ole töötajatel lubatud kasutada avalikke postkaste. Dokumendivoo jaoks tuleks kasutada ainult ettevõtte postkaste. Järgmised on meili rakendamisel lahendamatud toimingud.

  • rühmapostitus kõigile ettevõtte kasutajatele
  • isiklike sõnumite saatmine ettevõtte meiliressursse kasutades
  • uudiskirjade tellimine ettevõtte postkasti
  • tööga mitteseotud materjalide saatmine

Juhtumitest teatamine, reageerimine ja teatamine

Kõik töötajad peavad teatama kõigist kahtlustatavatest turvaaukudest. Samuti ei tohi avalikustada töötajale teadaolevaid nõrkusi turvasüsteemis. Kui kahtlustatakse viiruseid või muid arvutis hävitavaid tegevusi, peab töötaja:

  • teavitada infoturbe töötajaid
  • ära lülita nakatunud arvutit sisse ega kasuta seda
  • Ärge ühendage arvutit ettevõtte teabevõrku

Tehniliste kaitsemeetoditega ruumid

Kõik konfidentsiaalsed koosolekud/koosolekud peavad toimuma ainult selleks ettenähtud ruumides. Osalejatel on keelatud ilma infoturbeteenistuse nõusolekuta ruumidesse tuua salvestusseadmeid (Audio/video) ja mobiiltelefone. Heli-/videosalvestust saab teha infoturbeteenistuse loal töötaja.

Selles teemas püüan koostada juhendi äristruktuuri infoturbe valdkonna regulatiivse dokumentatsiooni väljatöötamise kohta, tuginedes isiklikule kogemusele ja võrgu materjalidele.

Siit leiad vastused küsimustele:

  • miks infoturbepoliitikat vaja on;
  • kuidas seda koostada;
  • kuidas seda kasutada.

Infoturbepoliitika vajadus
See osa kirjeldab infoturbepoliitika ja sellega kaasnevate dokumentide juurutamise vajadust mitte ilusas õpikute ja standardite keeles, vaid isiklikest kogemustest pärit näidete abil.
Infoturbe osakonna eesmärkide ja eesmärkide mõistmine
Eelkõige on poliitika vajalik selleks, et anda ärile edasi ettevõtte infoturbe eesmärgid ja eesmärgid. Ettevõtjad peavad mõistma, et turvalisus pole mitte ainult andmelekkete uurimise tööriist, vaid ka abiline ettevõtte riskide minimeerimisel ja seeläbi ka ettevõtte kasumlikkuse tõstmisel.
Poliitikanõuded on kaitsemeetmete rakendamise aluseks
Infoturbepoliitika on vajalik selleks, et õigustada ettevõttes kaitsemeetmete kasutuselevõttu. Poliitika peab olema kinnitatud ettevõtte kõrgeima haldusorgani (tegevjuht, juhatus jne) poolt.

Igasugune kaitsemeede on kompromiss riski vähendamise ja kasutajakogemuse vahel. Kui turvaspetsialist ütleb, et teatud riskide ilmnemise tõttu ei tohiks protsess mingil moel toimuda, esitatakse talle alati mõistlik küsimus: "Kuidas see juhtuma peaks?" Turvaspetsialist peab pakkuma välja protsessimudeli, mille puhul need riskid on teatud määral ettevõtte jaoks rahuldaval määral maandatud.

Pealegi põhjustab igasuguste kaitsemeetmete rakendamine seoses kasutaja suhtlemisega ettevõtte infosüsteemiga alati kasutaja negatiivse reaktsiooni. Nad ei taha ümber õppida, lugeda nende jaoks välja töötatud juhiseid jne. Väga sageli küsivad kasutajad mõistlikke küsimusi:

  • miks ma peaksin töötama teie väljamõeldud skeemi järgi, mitte lihtsal viisil, mida olen alati kasutanud
  • kes selle kõige välja mõtles
Praktika on näidanud, et kasutaja ei hooli riskidest, talle võid pikalt ja tüütult seletada häkkerite, kriminaalkoodeksi jms kohta, sellest ei tule midagi välja kui närvirakkude raiskamine.
Kui teie ettevõttel on infoturbepoliitika, saate anda lühidalt ja sisutihe vastuse:
see meede võeti kasutusele ettevõtte infoturbepoliitika nõuete täitmiseks, mille kinnitas ettevõtte kõrgeim haldusorgan

Reeglina pärast seda enamiku kasutajate energia raugeb. Ülejäänutel võib paluda kirjutada märgukiri ettevõtte kõige kõrgemale haldusorganile. See on koht, kus ülejäänud elimineeritakse. Sest isegi kui sedel sinna läheb, saame rakendatud meetmete vajalikkust juhtkonnale alati tõestada. Pole asjata, et me oma leiba sööme, eks? Poliitikate väljatöötamisel tuleb meeles pidada kahte asja.
  • Infoturbepoliitika sihtrühmaks on lõppkasutajad ja ettevõtte tippjuhtkond, kes ei mõista keerulisi tehnilisi väljendeid, kuid peavad olema kursis poliitika sätetega.
  • Pole vaja püüda võimatut sisse toppida, kaasake sellesse dokumenti kõik, mis võimalik! Peaks olema vaid infoturbe eesmärgid, meetodid nende saavutamiseks ja vastutus! Puuduvad tehnilised üksikasjad, välja arvatud juhul, kui need nõuavad eriteadmisi. See kõik on juhiste ja eeskirjade materjalid.


Lõppdokument peab vastama järgmistele nõuetele:
  • lühidus - suur dokumendimaht peletab kõik kasutajad eemale, keegi ei loe teie dokumenti kunagi (ja kasutate rohkem kui üks kord fraasi: "see on teile tuttava teabeturbepoliitika rikkumine")
  • ligipääsetavus tavainimesele – lõppkasutaja peab aru saama, MIS poliitikas kirjas on (ta ei loe ega mäleta kunagi sõnu ja väljendeid "logimine", "sissetungija mudel", "infoturbeintsident", "infoinfrastruktuur", "tehnogeenne". ", "inimtekkeline" ", "riskitegur" jne)
Kuidas seda saavutada?

Tegelikult on kõik väga lihtne: infoturbepoliitika peaks olema esmatasandi dokument, seda tuleks laiendada ja täiendada muude dokumentidega (määrused ja juhised), mis juba kirjeldavad midagi konkreetset.
Analoogia võib tuua riigiga: esmatasandi dokument on põhiseadus ning riigis kehtivad doktriinid, mõisted, seadused ja muud regulatsioonid vaid täiendavad ja reguleerivad selle sätete rakendamist. Ligikaudne diagramm on näidatud joonisel.

Et puder taldrikule ei määriks, vaatame vaid näiteid infoturbepoliitikatest, mida internetist leiab.

Kasulik lehekülgede arv* Tingimustega täidetud Üldine hinnang
OJSC Gazprombank 11 Väga kõrge
JSC Ettevõtluse Arengu Fond “Damu” 14 Kõrge Keeruline dokument läbimõeldud lugemiseks, tavainimene ei loe seda ja kui ta seda loeb, ei saa ta sellest aru ega mäleta seda
JSC NC "KazMunayGas" 3 Madal Lihtsalt mõistetav dokument, mis pole tehniliste terminitega üle koormatud
Akadeemik A. L. Mintsi nimeline raadiotehnika instituut JSC 42 Väga kõrge Keeruline dokument läbimõeldud lugemiseks, tavainimene seda ei loe – lehti on liiga palju

* Pean kasulikuks lehekülgede arvu ilma sisukorrata, tiitellehte ja muid lehti, mis ei sisalda konkreetset teavet

Jätka

Infoturbepoliitika peaks mahtuma mitmele leheküljele, olema tavainimesele lihtsalt arusaadav ning kirjeldama üldjoontes infoturbe eesmärke, nende saavutamise meetodeid ja töötajate kohustusi.
Infoturbepoliitika rakendamine ja kasutamine
Pärast teabeturbepoliitika kinnitamist peate:
  • tutvustada kõiki olemasolevaid töötajaid poliitikaga;
  • tutvustada kõiki uusi töötajaid poliitikaga (kuidas seda kõige paremini teha, on eraldi arutelu teema; uutele tulijatele on meil sissejuhatav kursus, mille juures annan selgitusi);
  • analüüsida olemasolevaid äriprotsesse, et tuvastada ja minimeerida riske;
  • osaleda uute äriprotsesside loomisel, et mitte hiljem rongi järel joosta;
  • töötada välja eeskirjad, protseduurid, juhendid ja muud poliitikat täiendavad dokumendid (interneti juurdepääsu võimaldamise juhend, piirangualadele juurdepääsu võimaldamise juhend, ettevõtte infosüsteemidega töötamise juhend jne);
  • tutvuda infoturbepoliitika ja muude infoturbe dokumentidega vähemalt kord kvartalis nende uuendamiseks.

Küsimuste ja ettepanekute korral olete oodatud kommentaaridesse ja PM-i.

Küsimus %username%

Mis puutub poliitikasse, siis ülemustele ei meeldi see, mida ma lihtsate sõnadega tahan. Nad ütlevad mulle: "Peale minu ja teie ja veel 10 IT-töötaja, kes ise teavad ja mõistavad kõike, on meil 200 inimest, kes ei saa sellest midagi aru, pooled neist on pensionärid."
Läksin kirjelduste keskmise lühiduse teed, näiteks viirusetõrje reeglid ja alla kirjutan midagi sellist, et seal on viirusetõrjepoliitika jne. Kuid ma ei saa aru, kas kasutaja allkirjastab poliitika, kuid jällegi peab ta lugema palju muid dokumente, tundub, et ta on poliitikat lühendanud, kuid tundub, et ta pole seda teinud.

Siin läheksin protsessianalüüsi teele.
Oletame, et viirusetõrje. Loogiliselt võttes peaks see nii olema.

Milliseid ohte viirused meile kujutavad? Teabe terviklikkuse rikkumine (kahjustamine), teabe kättesaadavuse rikkumine (serverite või personaalarvutite seisakud). Kui võrk on korralikult korraldatud, ei tohiks kasutajal olla süsteemis kohaliku administraatori õigusi, see tähendab, et tal ei tohiks olla õigusi installida süsteemi tarkvara (ja seega ka viiruseid). Seega pensionärid kukuvad ära, kuna nad siin äri ei tee.

Kes saab viirustega seotud riske vähendada? Domeeni administraatori õigustega kasutajad. Domeeniadministraator on tundlik roll, mis antakse IT-osakondade töötajatele jne. Seetõttu peaksid nad installima viirusetõrje. Selgub, et nemad vastutavad ka viirusetõrjesüsteemi tegevuse eest. Sellest lähtuvalt peavad nad allkirjastama viirusetõrje korraldamise juhised. Tegelikult tuleb see vastutus juhendis kirjas olla. Näiteks valitseb turvamees, administraatorid täidavad.

Küsimus %username%

Siis tekib küsimus, mida ei tohiks sisaldada Anti-Virus ZI viiruste loomise ja kasutamise juhistes (või on artikkel ja seda ei saa mainida)? Või et nad on kohustatud teatama viirusest või arvuti kummalisest käitumisest kasutajatoele või IT-inimestele?

Jällegi vaataksin ma riskijuhtimise vaatenurgast. See lõhnab nii-öelda GOST 18044-2007 järgi.
Teie puhul ei pruugi "kummaline käitumine" olla viirus. See võib olla süsteemne pidur või pidur jne. Seega ei ole tegemist intsidendi, vaid infoturbe sündmusega. Jällegi, GOST-i järgi võib sündmusest teatada iga inimene, kuid sellest, kas tegemist on intsidendiga või mitte, saab aru alles pärast analüüsi.

Seega ei tulene see sinu küsimus enam infoturbepoliitikast, vaid intsidentide haldamisest. Teie poliitika peaks seda ütlema ettevõttes peab olema intsidentide käsitlemise süsteem.

See tähendab, et nagu näete, lasub poliitika administratiivne täitmine peamiselt administraatoritel ja turvaametnikel. Kasutajatele jäävad kohandatud asjad.

Seetõttu peate koostama "SVT kasutamise korra ettevõttes", kus peate märkima kasutajate kohustused. See dokument peaks korreleeruma infoturbepoliitikaga ja olema kasutajale nii-öelda selgitus.

See dokument võib viidata sellele, et kasutaja on kohustatud teavitama vastavat asutust arvuti ebatavalisest tegevusest. Noh, sinna saab lisada kõike muud kohandatud.

Kokku peate kasutajat tutvustama kahe dokumendiga:

  • infoturbe poliitika (et ta saaks aru, mida ja miks tehakse, ei kõigutaks paati, ei sõimaks uute juhtimissüsteemide juurutamisel jne)
  • see "SVT kasutamise kord ettevõttes" (et ta mõistaks, mida konkreetsetes olukordades täpselt teha)

Vastavalt sellele lisate uue süsteemi juurutamisel lihtsalt midagi "Protseduurile" ja teavitate sellest töötajaid, saates protseduuri e-posti teel (või EDMS-i kaudu, kui see on saadaval).

Sildid: lisa sildid



SEOTUD ARTIKLID