Het informatiebeveiligingsbeleid van de organisatie. Informatiebeveiligingsbeleid en principes van haar organisatie

TSF-software buiten de kernel bestaat uit vertrouwde applicaties die worden gebruikt om beveiligingsfuncties te implementeren. Houd er rekening mee dat gedeelde bibliotheken, inclusief in sommige gevallen PAM-modules, worden gebruikt door vertrouwde applicaties. Er is echter geen geval waarin de gedeelde bibliotheek zelf als een vertrouwd object wordt behandeld. Vertrouwde opdrachten kunnen als volgt worden gegroepeerd.

  • Systeeminitialisatie
  • Identificatie en authenticatie
  • Netwerkapplicaties
  • Batchverwerking
  • Systeembeheer
  • Audit op gebruikersniveau
  • Cryptografische ondersteuning
  • Ondersteuning voor virtuele machines

Kerneluitvoeringscomponenten kunnen worden onderverdeeld in drie samenstellende delen: de hoofdkernel, kernelthreads en kernelmodules, afhankelijk van hoe ze zullen worden uitgevoerd.

  • De kern omvat code die wordt uitgevoerd om een ​​dienst te leveren, zoals het afhandelen van een gebruikerssysteemoproep of het afhandelen van een uitzonderingsgebeurtenis, of een interrupt. De meeste gecompileerde kernelcode valt in deze categorie.
  • Kerneldraden. Om bepaalde routinetaken uit te voeren, zoals het leegmaken van schijfcaches of het vrijmaken van geheugen door ongebruikte paginablokken uit te wisselen, creëert de kernel interne processen of threads. Threads worden net als normale processen gepland, maar hebben geen context in de modus zonder privileges. Kernelthreads voeren specifieke kernel C-taalfuncties uit. Kernelthreads bevinden zich in de kernelruimte en worden alleen in de bevoorrechte modus uitgevoerd.
  • De kernelmodule en de device driver-kernelmodule zijn stukjes code die naar behoefte in en uit de kernel kunnen worden geladen en verwijderd. Ze breiden de functionaliteit van de kernel uit zonder dat het systeem opnieuw hoeft te worden opgestart. Eenmaal geladen kan de objectcode van de kernelmodule toegang krijgen tot andere kernelcode en gegevens op dezelfde manier als statisch gekoppelde kernelobjectcode.
Een apparaatstuurprogramma is een speciaal type kernelmodule waarmee de kernel toegang krijgt tot hardware die op het systeem is aangesloten. Deze apparaten kunnen harde schijven, monitoren of netwerkinterfaces zijn. De driver communiceert met de rest van de kernel via een gedefinieerde interface waardoor de kernel op een universele manier met alle apparaten kan omgaan, ongeacht hun onderliggende implementaties.

De kernel bestaat uit logische subsystemen die verschillende functionaliteiten bieden. Hoewel de kernel het enige uitvoerbare programma is, kunnen de verschillende diensten die deze levert, worden gescheiden en gecombineerd in verschillende logische componenten. Deze componenten werken samen om specifieke functies te bieden. De kern bestaat uit de volgende logische subsystemen:

  • Bestandssubsysteem en I/O-subsysteem: dit subsysteem implementeert functies die verband houden met bestandssysteemobjecten. Tot de geïmplementeerde functies behoren functies waarmee een proces bestandssysteemobjecten kan maken, onderhouden, ermee kan communiceren en deze kan verwijderen. Deze objecten omvatten gewone bestanden, mappen, symbolische koppelingen, harde koppelingen, bestanden die specifiek zijn voor bepaalde apparaattypen, benoemde buizen en sockets.
  • Processubsysteem: dit subsysteem implementeert functies die verband houden met procesbeheer en threadbeheer. Met de geïmplementeerde functies kunt u processen en threadonderwerpen aanmaken, plannen, uitvoeren en verwijderen.
  • Geheugensubsysteem: dit subsysteem implementeert functies die verband houden met het beheren van systeemgeheugenbronnen. Geïmplementeerde functies omvatten functies die virtueel geheugen creëren en beheren, inclusief het beheren van paging-algoritmen en paginatabellen.
  • Netwerksubsysteem: dit subsysteem implementeert UNIX- en internetdomeinsockets en de algoritmen die worden gebruikt om netwerkpakketten te plannen.
  • IPC-subsysteem: dit subsysteem implementeert functies die verband houden met IPC-mechanismen. De geïmplementeerde functies omvatten functies die de gecontroleerde uitwisseling van informatie tussen processen vergemakkelijken, waardoor ze gegevens kunnen delen en de uitvoering ervan kunnen synchroniseren bij interactie met een gedeelde bron.
  • Kernelmodule-subsysteem: dit subsysteem implementeert de infrastructuur ter ondersteuning van laadbare modules. Geïmplementeerde functies omvatten het laden, initialiseren en ontladen van kernelmodules.
  • Linux-beveiligingsextensies: Linux-beveiligingsextensies implementeren verschillende beveiligingsaspecten die door de hele kernel worden geboden, inclusief het Linux Security Module (LSM)-framework. Het LSM-framework dient als basis voor modules die de implementatie van verschillende beveiligingsbeleidsregels mogelijk maken, waaronder SELinux. SELinux is een belangrijk logisch subsysteem. Dit subsysteem implementeert verplichte toegangscontrolefuncties om toegang tussen alle onderwerpen en objecten te bewerkstelligen.
  • Subsysteem apparaatstuurprogramma: dit subsysteem biedt ondersteuning voor verschillende hardware- en softwareapparaten via een gemeenschappelijke, apparaatonafhankelijke interface.
  • Audit-subsysteem: dit subsysteem implementeert functies die verband houden met het registreren van veiligheidskritieke gebeurtenissen in het systeem. De geïmplementeerde functies omvatten functies die elke systeemoproep vastleggen om beveiligingskritische gebeurtenissen vast te leggen en functies die het verzamelen en vastleggen van auditgegevens implementeren.
  • KVM-subsysteem: dit subsysteem implementeert het onderhoud van de levenscyclus van een virtuele machine. Het voert instructies uit, die worden gebruikt voor instructies waarvoor slechts kleine controles nodig zijn. Voor elke andere voltooiing van instructies roept KVM de QEMU-gebruikersruimtecomponent op.
  • Crypto-API: Dit subsysteem biedt een kernel-interne cryptografische bibliotheek voor alle kernelcomponenten. Het biedt cryptografische primitieven voor bellers.

De kernel is het belangrijkste onderdeel van het besturingssysteem. Het communiceert rechtstreeks met hardware, implementeert het delen van bronnen, biedt algemene services aan applicaties en voorkomt dat applicaties rechtstreeks toegang krijgen tot hardware-afhankelijke functies. Diensten die door de kernel worden geleverd, zijn onder meer:

1. Beheer van de uitvoering van processen, inclusief de bewerkingen voor het aanmaken, beëindigen of opschorten ervan, en de uitwisseling van gegevens tussen processen. Ze omvatten:

  • Equivalente planning van processen voor uitvoering op de CPU.
  • Processen op de CPU splitsen met behulp van de time-sharing-modus.
  • Het proces uitvoeren op de CPU.
  • De kernel opschorten nadat de toegewezen kwantumtijd is verstreken.
  • Toewijzing van kerneltijd aan een ander proces.
  • Kerneltijd opnieuw plannen om een ​​opgeschort proces uit te voeren.
  • Beheer procesbeveiligingsgerelateerde metadata zoals UID's, GID's, SELinux-tags en functie-ID's.
2. Toewijzing van RAM voor het uitvoeringsproces. Deze operatie omvat:
  • Toestemming verleend door de kernel aan processen om onder bepaalde voorwaarden een deel van hun adresruimte te delen; de kernel beschermt echter de eigen adresruimte van het proces tegen externe interferentie.
  • Als het systeem weinig vrij geheugen heeft, maakt de kernel geheugen vrij door het proces tijdelijk naar het tweede niveau geheugen of swap te schrijven.
  • Gecoördineerde interactie met machinehardware om een ​​virtuele adres-naar-fysiek adres-toewijzing tot stand te brengen die een mapping tot stand brengt tussen door de compiler gegenereerde adressen en fysieke adressen.
3. Onderhoud van de levenscyclus van virtuele machines, waaronder:
  • Stelt limieten in voor de bronnen die door de emulatietoepassing voor een bepaalde virtuele machine zijn geconfigureerd.
  • Het uitvoeren van de programmacode van de virtuele machine voor uitvoering.
  • Verwerkt het afsluiten van virtuele machines door de instructie te voltooien of door de voltooiing van de instructie om gebruikersruimte te emuleren te vertragen.
4. Onderhoud van bestandssysteem. Dit omvat:
  • Toewijzing van secundair geheugen voor efficiënte opslag en ophalen van gebruikersgegevens.
  • Extern geheugen toewijzen aan gebruikersbestanden.
  • Recycle ongebruikte gegevensopslagruimte.
  • Het organiseren van de structuur van het bestandssysteem (met behulp van duidelijke structureringsprincipes).
  • Gebruikersbestanden beschermen tegen ongeoorloofde toegang.
  • Het organiseren van gecontroleerde procestoegang tot randapparatuur zoals terminals, tapedrives, diskdrives en netwerkapparaten.
  • Het organiseren van wederzijdse toegang tot gegevens voor subjecten en objecten, het bieden van gecontroleerde toegang op basis van het DAC-beleid en elk ander beleid dat door de geladen LSM wordt geïmplementeerd.
De Linux-kernel is een type besturingssysteemkernel dat planning implementeert met taakvoorrang. In kernels die deze functie niet hebben, gaat de uitvoering van de kernelcode door tot voltooiing, d.w.z. de planner is niet in staat een taak opnieuw te plannen terwijl deze zich in de kernel bevindt. Bovendien is de kernelcode gepland om coöperatief uit te voeren, zonder preventieve planning, en de uitvoering van die code gaat door totdat deze wordt beëindigd en terugkeert naar de gebruikersruimte, of totdat deze expliciet blokkeert. In preventieve kernels is het mogelijk om op elk moment een taak voorrang te geven, zolang de kernel zich in een staat bevindt waarin het veilig is om opnieuw te plannen.

In dit onderwerp zal ik proberen een handleiding samen te stellen over de ontwikkeling van regelgevingsdocumentatie op het gebied van informatiebeveiliging voor een commerciële structuur, gebaseerd op persoonlijke ervaringen en materialen uit het netwerk.

Hier vindt u antwoorden op vragen:

  • waarom een ​​informatiebeveiligingsbeleid nodig is;
  • hoe je het moet samenstellen;
  • hoe je het moet gebruiken.

De noodzaak van een informatiebeveiligingsbeleid
In dit onderdeel wordt de noodzaak beschreven om het informatiebeveiligingsbeleid en de begeleidende documenten te implementeren, niet in de mooie taal van leerboeken en standaarden, maar aan de hand van voorbeelden uit persoonlijke ervaring.
Inzicht in de doelen en doelstellingen van de afdeling informatiebeveiliging
In de eerste plaats is het beleid noodzakelijk om de doelstellingen van de informatiebeveiliging van het bedrijf aan het bedrijf over te brengen. Bedrijven moeten begrijpen dat beveiliging niet alleen een hulpmiddel is om datalekken te onderzoeken, maar ook een hulpmiddel bij het minimaliseren van de risico’s van het bedrijf, en dus bij het vergroten van de winstgevendheid van het bedrijf.
Beleidsvereisten vormen de basis voor het implementeren van beschermende maatregelen
Een informatiebeveiligingsbeleid is noodzakelijk om de introductie van beschermende maatregelen in een bedrijf te rechtvaardigen. Het beleid moet worden goedgekeurd door het hoogste bestuursorgaan van de onderneming (CEO, raad van bestuur, etc.)

Elke beschermende maatregel is een compromis tussen risicoreductie en gebruikerservaring. Wanneer een beveiligingsspecialist zegt dat een proces op de een of andere manier niet mag plaatsvinden vanwege het optreden van bepaalde risico's, wordt hem altijd een redelijke vraag gesteld: "Hoe moet het gebeuren?" De beveiligingsprofessional moet een procesmodel voorstellen waarin deze risico's tot op zekere hoogte worden beperkt, wat bevredigend is voor het bedrijf.

Bovendien veroorzaakt elke toepassing van eventuele beschermende maatregelen met betrekking tot gebruikersinteractie met het informatiesysteem van het bedrijf altijd een negatieve reactie van de gebruiker. Ze willen niet opnieuw leren, de instructies lezen die voor hen zijn ontwikkeld, enz. Heel vaak stellen gebruikers redelijke vragen:

  • waarom zou ik volgens jouw bedachte schema werken, en niet op de eenvoudige manier die ik altijd heb gebruikt
  • die dit allemaal heeft bedacht
De praktijk leert dat de gebruiker zich niets aantrekt van de risico's, je kunt hem lang en saai uitleggen over hackers, het wetboek van strafrecht etc., er komt niets anders uit dan verspilling van zenuwcellen.
Als uw bedrijf een informatiebeveiligingsbeleid heeft, kunt u een bondig en bondig antwoord geven:
deze maatregel is ingevoerd om te voldoen aan de eisen van het informatiebeveiligingsbeleid van het bedrijf, dat is goedgekeurd door het hoogste bestuursorgaan van het bedrijf

In de regel neemt hierna de energie van de meeste gebruikers af. Degenen die overblijven, kunnen worden gevraagd een memo te schrijven aan dit allerhoogste bestuursorgaan van het bedrijf. Hier wordt de rest geëlimineerd. Want zelfs als het briefje daarheen gaat, kunnen we altijd de noodzaak van de genomen maatregelen aan het management bewijzen. Het is niet voor niets dat we ons brood eten, toch? Er zijn twee dingen waarmee u rekening moet houden bij het ontwikkelen van beleid.
  • De doelgroep van het informatiebeveiligingsbeleid zijn eindgebruikers en het topmanagement van het bedrijf, die geen complexe technische uitdrukkingen begrijpen, maar wel bekend moeten zijn met de bepalingen van het beleid.
  • Het is niet nodig om te proberen het ongepaste in te proppen, neem alles wat je kunt op in dit document! Er mogen alleen informatiebeveiligingsdoelen zijn, methoden om deze te bereiken en verantwoordelijkheid! Geen technische details tenzij deze specifieke kennis vereisen. Dit zijn allemaal materialen voor instructies en voorschriften.


Het definitieve document moet aan de volgende eisen voldoen:
  • beknoptheid - een groot documentvolume zal elke gebruiker afschrikken, niemand zal uw document ooit lezen (en u zult meer dan eens de zinsnede gebruiken: "dit is een schending van het informatiebeveiligingsbeleid waarmee u vertrouwd bent geraakt")
  • toegankelijkheid voor de gewone man - de eindgebruiker moet begrijpen WAT er in het beleid staat (hij zal nooit de woorden en zinsneden ‘loggen’, ‘indringermodel’, ‘informatiebeveiligingsincident’, ‘informatie-infrastructuur’, ‘technogene ”, “antropogeen” ", "risicofactor", enz.)
Hoe dit te bereiken?

In feite is alles heel eenvoudig: het informatiebeveiligingsbeleid moet een document van het eerste niveau zijn, het moet worden uitgebreid en aangevuld met andere documenten (voorschriften en instructies), die al iets specifieks zullen beschrijven.
Er kan een analogie worden getrokken met de staat: het document op het eerste niveau is de grondwet, en de doctrines, concepten, wetten en andere voorschriften die in de staat bestaan, vormen slechts een aanvulling en regeling van de implementatie van de bepalingen ervan. Een benaderend diagram wordt getoond in de figuur.

Laten we, om de pap niet op het bord te smeren, eens kijken naar voorbeelden van informatiebeveiligingsbeleid die op internet te vinden zijn.

Nuttig aantal pagina's* Geladen met termen Algemene beoordeling
OJSC Gazprombank 11 Zeer hoog
JSC On“Damu” 14 Hoog Een complex document voor nadenkend lezen, de gemiddelde persoon zal het niet lezen, en als ze het wel lezen, zullen ze het niet begrijpen en zich het niet herinneren
JSC NC "KazMunayGas" 3 Laag Gemakkelijk te begrijpen document, niet overladen met technische termen
JSC "Radio Engineering Institute vernoemd naar academicus AL Mints" 42 Zeer hoog Een complex document om aandachtig te lezen; de gemiddelde persoon zal het niet lezen - er zijn te veel pagina's

* Ik noem het aantal pagina's zonder inhoudsopgave, titelpagina en andere pagina's die geen specifieke informatie bevatten nuttig

Cv

Het informatiebeveiligingsbeleid moet in meerdere pagina's passen, gemakkelijk te begrijpen zijn voor de gemiddelde persoon en in algemene termen de doelstellingen van informatiebeveiliging beschrijven, de methoden om deze te bereiken en de verantwoordelijkheden van werknemers.
Implementatie en gebruik van informatiebeveiligingsbeleid
Na goedkeuring van het informatiebeveiligingsbeleid moet u:
  • alle bestaande medewerkers vertrouwd maken met het beleid;
  • alle nieuwe medewerkers vertrouwd maken met het beleid (hoe je dit het beste kunt doen is een apart onderwerp; voor nieuwkomers hebben we een introductiecursus, waarbij ik uitleg geef);
  • bestaande bedrijfsprocessen analyseren om risico's te identificeren en te minimaliseren;
  • neem deel aan het creëren van nieuwe bedrijfsprocessen, om later niet achter de trein aan te rennen;
  • regelgeving, procedures, instructies en andere documenten ontwikkelen die het beleid aanvullen (instructies voor het verlenen van toegang tot internet, instructies voor het verlenen van toegang tot afgeschermde gebieden, instructies voor het werken met bedrijfsinformatiesystemen, etc.);
  • minimaal één keer per kwartaal het informatiebeveiligingsbeleid en andere beoordelen om deze te actualiseren.

Voor vragen en suggesties, welkom in reacties en PM's.

Vraag %gebruikersnaam%

Wat de politiek betreft: de bazen houden niet van wat ik in eenvoudige bewoordingen wil. Ze vertellen mij: “Naast ik en jij en nog 10 IT-medewerkers die zelf alles weten en begrijpen, hebben we er 200 die hier niets van begrijpen, de helft daarvan is gepensioneerd.”
Ik volgde het pad van gemiddelde beknoptheid van beschrijvingen, bijvoorbeeld regels voor antivirusbescherming, en hieronder schrijf ik iets alsof er een antivirusbeschermingsbeleid is, enz. Maar ik begrijp niet of de gebruiker voor het beleid tekent, maar nogmaals, hij moet een aantal andere documenten lezen, het lijkt erop dat hij het beleid heeft ingekort, maar het lijkt erop dat dit niet het geval is.

Hier zou ik het pad van de procesanalyse volgen.
Laten we zeggen antivirusbescherming. Logischerwijs zou het zo moeten zijn.

Welke risico’s vormen virussen voor ons? Schending van de integriteit (schade) van informatie, schending van de beschikbaarheid (downtime van servers of pc’s) van informatie. Als het netwerk goed is georganiseerd, zou de gebruiker geen lokale beheerdersrechten in het systeem moeten hebben, dat wil zeggen dat hij niet de rechten zou moeten hebben om software (en dus virussen) in het systeem te installeren. Gepensioneerden vallen er dus af, omdat ze hier geen zaken doen.

Wie kan de risico's van virussen verminderen? Gebruikers met domeinbeheerderrechten. Domeinbeheerder is een gevoelige rol, die wordt gegeven aan medewerkers van IT-afdelingen, enz. Dienovereenkomstig moeten ze antivirusprogramma's installeren. Het blijkt dat zij ook verantwoordelijk zijn voor de activiteiten van het antivirussysteem. Dienovereenkomstig moeten ze de instructies voor het organiseren van antivirusbescherming ondertekenen. Eigenlijk moet deze verantwoordelijkheid in de instructies worden vastgelegd. De beveiligingsman regeert bijvoorbeeld, de beheerders voeren uit.

Vraag %gebruikersnaam%

Dan is de vraag: wat mag niet worden opgenomen in de instructies van de Anti-Virus ZI-verantwoordelijkheid voor het maken en gebruiken van virussen (of is er een artikel dat niet kan worden vermeld)? Of dat ze een virus of vreemd pc-gedrag moeten melden bij de helpdesk of IT-mensen?

Nogmaals, ik zou kijken vanuit het perspectief van risicobeheer. Dit ruikt als het ware naar GOST 18044-2007.
In jouw geval is ‘vreemd gedrag’ niet noodzakelijkerwijs een virus. Dit kan een systeemrem of rem enz. zijn. Er is dus geen sprake van een incident, maar van eens. Nogmaals, volgens GOST kan iedereen een gebeurtenis melden, maar pas na analyse is het mogelijk om te begrijpen of het een incident is of niet.

Deze vraag van u resulteert dus niet langer in informatiebeveiligingsbeleid, maar in incidentmanagement. Uw beleid zou dat moeten vermelden het bedrijf moet beschikken over een incidentafhandelingssysteem.

Dat wil zeggen dat, zoals u ziet, de bestuurlijke uitvoering van het beleid vooral bij bestuurders en beveiligers ligt. Gebruikers blijven zitten met aangepaste dingen.

Daarom moet u een "Procedure voor het gebruik van SVT in het bedrijf" opstellen, waarin u de verantwoordelijkheden van gebruikers moet aangeven. Dit document moet aansluiten bij het informatiebeveiligingsbeleid en als het ware uitleg geven aan de gebruiker.

Dit document kan aangeven dat de gebruiker verplicht is de bevoegde autoriteit op de hoogte te stellen van abnormale computeractiviteit. Welnu, je kunt daar al het andere op maat toevoegen.

In totaal moet u de gebruiker vertrouwd maken met twee documenten:

  • informatiebeveiligingsbeleid (zodat hij begrijpt wat er wordt gedaan en waarom, niet op zijn kop zet, niet vloekt bij de introductie van nieuwe controlesystemen, etc.)
  • deze “Procedure voor het gebruik van SVT in het bedrijf” (zodat hij begrijpt wat hij precies moet doen in specifieke situaties)

Wanneer u een nieuw systeem implementeert, voegt u dus eenvoudigweg iets toe aan de “Procedure” en stelt u de medewerkers hiervan op de hoogte door de procedure per e-mail te verzenden (of via het EDMS, indien beschikbaar).

Tags:

  • informatiebeveiliging
  • risicobeheer
  • veiligheidsbeleid
Tags toevoegen

In de moderne wereld kan het concept ‘informatiebeveiligingsbeleid’ zowel in brede als enge zin worden geïnterpreteerd. Wat de eerste, bredere betekenis betreft, duidt het op een complex systeem van beslissingen die door een bepaalde organisatie worden genomen, officieel gedocumenteerd en gericht op het waarborgen van de veiligheid van de onderneming. In enge zin betekent dit concept een document van lokaal belang, waarin veiligheidseisen, een systeem van genomen maatregelen, de verantwoordelijkheid van medewerkers en een controlemechanisme worden gespecificeerd.

Een alomvattend informatiebeveiligingsbeleid is een garantie voor het stabiel functioneren van elk bedrijf. De volledigheid ervan ligt in de doordachtheid en balans van de mate van bescherming, evenals de ontwikkeling van de juiste maatregelen en controlesystemen bij eventuele overtredingen.

Alle organisatorische methoden spelen een belangrijke rol bij het creëren van een betrouwbaar informatiebeveiligingssysteem, omdat het illegale gebruik van informatie het resultaat is van kwaadwillige acties, nalatigheid van het personeel en niet van technische problemen. Om een ​​goed resultaat te bereiken is een alomvattend samenspel van organisatorische, juridische en technische maatregelen nodig, die alle ongeoorloofde toegang tot het systeem moeten uitsluiten.

Informatiebeveiliging is een garantie voor de goede werking van het bedrijf en zijn stabiele ontwikkeling. De basis voor het bouwen van een kwalitatief hoogstaand beveiligingssysteem moet echter het antwoord op de volgende vragen zijn:

    Wat is het datasysteem en welk beveiligingsniveau is vereist?

    Wie kan schade toebrengen aan het bedrijf door de werking van het informatiesysteem te verstoren en wie kan de ontvangen informatie gebruiken?

    Hoe kan een dergelijk risico tot een minimum worden beperkt zonder de goede werking van de organisatie te verstoren?

    Het concept van informatiebeveiliging moet daarom persoonlijk worden ontwikkeld voor een specifieke onderneming en in overeenstemming met haar belangen. De hoofdrol in de kwalitatieve kenmerken wordt gespeeld door organisatorische maatregelen, waaronder:

      Organisatie van een gevestigd toegangscontrolesysteem. Dit wordt gedaan om geheime en ongeoorloofde toegang tot het grondgebied van het bedrijf door onbevoegde personen te voorkomen, evenals controle over het verblijf in het pand en het tijdstip van vertrek.

      Werken met medewerkers. De essentie ligt in het organiseren van de interactie met het personeel en het werven van personeel. Het is ook belangrijk om ermee vertrouwd te raken, de regels voor het werken met informatie voor te bereiden en aan te leren, zodat werknemers de grenzen van de geheimhouding ervan kennen.

      Het informatiebeveiligingsbeleid voorziet tevens in het gestructureerd inzetten van technische middelen gericht op accumulatie, verzameling en verhoging van de vertrouwelijkheid.

      Het uitvoeren van werkzaamheden gericht op het monitoren van personeel op het gebruik van geheime informatie en het ontwikkelen van maatregelen die de bescherming ervan moeten waarborgen.

    De kosten voor het implementeren van een dergelijk beleid mogen niet hoger zijn dan de potentiële schade die zou voortvloeien uit het verlies ervan.

    Het informatiebeveiligingsbeleid en de effectiviteit daarvan zijn grotendeels afhankelijk van het aantal eisen dat de onderneming daaraan stelt en die het mogelijk maken de mate van risico terug te brengen tot het vereiste niveau.

Voor een onderneming is haar informatie een belangrijke hulpbron. Het informatiebeveiligingsbeleid bepaalt de noodzakelijke maatregelen om informatie te beschermen tegen toevallige of opzettelijke verwerving, vernietiging, enz. Elke medewerker van de onderneming is verantwoordelijk voor de naleving van het veiligheidsbeleid. De doelstellingen van het veiligheidsbeleid zijn:

  • Implementatie van continue toegang tot bedrijfsmiddelen voor de normale uitvoering van hun taken door werknemers
  • Het verstrekken van kritische informatiebronnen
  • Bescherming van gegevensintegriteit
  • Toewijzing van de mate van verantwoordelijkheid en functies van werknemers voor de implementatie van informatiebeveiliging in de onderneming
  • Werk eraan om gebruikers vertrouwd te maken met de risico's die aan informatie zijn verbonden. ondernemingsmiddelen

Medewerkers moeten periodiek worden gecontroleerd op de naleving van het informatiebeveiligingsbeleid. De beleidsregels zijn van toepassing op alle middelen en informatie van de onderneming. Het bedrijf bezit de rechten op de eigendom van computerbronnen, bedrijfsinformatie, gelicentieerde en gemaakte software, e-mailinhoud en verschillende soorten documenten.

Voor alle informatiemiddelen van een onderneming moeten er geschikte mensen zijn die verantwoordelijk zijn voor het gebruik van bepaalde middelen.

Toegangscontrole tot informatiesystemen

Alle taken mogen alleen worden uitgevoerd op computers die zijn goedgekeurd voor gebruik in de onderneming. Het gebruik van uw draagbare apparaten en opslagapparaten is alleen mogelijk met toestemming. Alle vertrouwelijke informatie moet in gecodeerde vorm worden opgeslagen op harde schijven die zijn uitgerust met coderingssoftware voor de harde schijf. De rechten van werknemers op het informatiesysteem moeten periodiek worden beoordeeld. Om geautoriseerde toegang tot een informatiebron te implementeren, moet inloggen op het systeem worden geïmplementeerd met behulp van een unieke gebruikersnaam en wachtwoord. Wachtwoorden moeten voldoen aan . Ook tijdens een pauze of als de werknemer afwezig is op zijn werkplek, moet de schermbeveiligingsfunctie worden geactiveerd om de werkende machine te blokkeren.

Toegang van derden tot het bedrijfsinformatiesysteem

Elke medewerker moet de informatiebeveiligingsdienst ervan op de hoogte stellen dat hij derden toegang verleent tot informatienetwerkbronnen.

Toegang op afstand

Werknemers die persoonlijke draagbare apparaten gebruiken, kunnen om externe toegang tot het bedrijfsinformatienetwerk verzoeken. Het is medewerkers die extern werken en toegang op afstand hebben, verboden gegevens van het bedrijfsnetwerk te kopiëren. Dergelijke werknemers kunnen ook niet meer dan één verbinding hebben met verschillende netwerken die niet tot de onderneming behoren. Computers met externe toegang moeten .

Internettoegang

Dergelijke toegang mag alleen worden toegestaan ​​voor zakelijke doeleinden en niet voor persoonlijk gebruik. Hieronder volgen aanbevelingen:

  • Het is verboden een webbron te bezoeken die als aanstootgevend voor de samenleving wordt beschouwd of die seksuele inhoud, propaganda, enz. bevat.
  • Medewerkers mogen het internet niet gebruiken om bedrijfsgegevens op te slaan
  • Het is werknemers met accounts van openbare aanbieders verboden om bedrijfsapparatuur te gebruiken
  • Alle bestanden van internet moeten op virussen worden gescand
  • Internettoegang is verboden voor alle niet-werknemers

Bescherming van apparatuur

Werknemers moeten er ook rekening mee houden dat ze fysieke beveiliging moeten implementeren voor apparatuur waarop bedrijfsgegevens worden opgeslagen of verwerkt. Het is verboden om hardware en software handmatig te configureren; hiervoor zijn specialisten op het gebied van informatiebeveiligingsdiensten beschikbaar.

Hardware

Gebruikers die met vertrouwelijke informatie werken, moeten over een aparte ruimte beschikken om de toegang tot hen en hun werkplek fysiek te beperken.

Elke werknemer die apparatuur van de onderneming heeft ontvangen voor tijdelijk gebruik (zakenreis), moet ervoor zorgen en deze niet onbeheerd achterlaten. Bij verlies of andere noodsituaties moeten de gegevens op de computer vooraf worden versleuteld.

Het formatteren van gegevens vóór het opnemen of vernietigen van de media is geen 100% garantie voor de netheid van het apparaat. Ook moeten datapoorten op desktopcomputers worden geblokkeerd, tenzij de medewerker toestemming heeft om gegevens te kopiëren.

Software

Alle software die op bedrijfscomputers is geïnstalleerd, is eigendom van de onderneming en moet voor officiële taken worden gebruikt. Het is medewerkers niet toegestaan ​​om zelf andere software te installeren zonder akkoord te gaan met de informatiebeveiligingsdienst. Alle desktopcomputers moeten over een minimale set software beschikken:

  • Antivirussoftware
  • Encryptiesoftware voor harde schijven
  • E-mailversleutelingssoftware

Werknemers van het bedrijf mogen niet:

  • blokkeer of installeer andere antivirussoftware
  • beveiligingsinstellingen wijzigen

Elektronische berichten (zelfs verwijderd) kunnen door de overheid worden gebruikt. autoriteiten of zakelijke concurrenten in de rechtbank als bewijsmateriaal. Daarom moet de inhoud van berichten strikt voldoen aan de bedrijfsnormen op het gebied van bedrijfsethiek.

Werknemers kunnen zonder encryptie geen vertrouwelijke bedrijfsinformatie per post verzenden. Ook mogen medewerkers geen gebruik maken van openbare mailboxen. Voor de documentstroom mogen alleen bedrijfsmailboxen worden gebruikt. De volgende zijn onoplosbare acties bij het implementeren van e-mail:

  • groepsmailing naar alle zakelijke gebruikers
  • het verzenden van persoonlijke berichten via e-mailbronnen van het bedrijf
  • abonnement op nieuwsbrieven bedrijfsmailbox
  • het verzenden van materiaal dat geen verband houdt met het werk

Incidentrapportage, respons en rapportage

Alle medewerkers moeten alle vermoedelijke beveiligingsproblemen melden. Ook mogen bij de medewerker bekende zwakke punten in het beveiligingssysteem niet openbaar worden gemaakt. Bij vermoedens van virussen of andere destructieve handelingen op de computer moet de medewerker:

  • informatiebeveiligingspersoneel informeren
  • Zet de geïnfecteerde computer niet aan en gebruik deze niet
  • Sluit de computer niet aan op het bedrijfsinformatienetwerk

Gebouwen met technische beschermingsmethoden

Alle vertrouwelijke vergaderingen/vergaderingen mogen uitsluitend in daarvoor bestemde ruimtes plaatsvinden. Het is deelnemers niet toegestaan ​​opnameapparatuur (audio/video) en mobiele telefoons mee te nemen naar het terrein zonder toestemming van de informatiebeveiligingsdienst. Audio-/video-opname kan door een medewerker worden gemaakt met toestemming van de dienst Informatiebeveiliging.

In dit onderwerp zal ik proberen een handleiding samen te stellen over de ontwikkeling van regelgevingsdocumentatie op het gebied van informatiebeveiliging voor een commerciële structuur, gebaseerd op persoonlijke ervaringen en materialen uit het netwerk.

Hier vindt u antwoorden op vragen:

  • waarom een ​​informatiebeveiligingsbeleid nodig is;
  • hoe je het moet samenstellen;
  • hoe je het moet gebruiken.

De noodzaak van een informatiebeveiligingsbeleid
In dit onderdeel wordt de noodzaak beschreven om het informatiebeveiligingsbeleid en de begeleidende documenten te implementeren, niet in de mooie taal van leerboeken en standaarden, maar aan de hand van voorbeelden uit persoonlijke ervaring.
Inzicht in de doelen en doelstellingen van de afdeling informatiebeveiliging
In de eerste plaats is het beleid noodzakelijk om de doelstellingen van de informatiebeveiliging van het bedrijf aan het bedrijf over te brengen. Bedrijven moeten begrijpen dat beveiliging niet alleen een hulpmiddel is om datalekken te onderzoeken, maar ook een hulpmiddel bij het minimaliseren van de risico’s van het bedrijf, en dus bij het vergroten van de winstgevendheid van het bedrijf.
Beleidsvereisten vormen de basis voor het implementeren van beschermende maatregelen
Een informatiebeveiligingsbeleid is noodzakelijk om de introductie van beschermende maatregelen in een bedrijf te rechtvaardigen. Het beleid moet worden goedgekeurd door het hoogste bestuursorgaan van de onderneming (CEO, raad van bestuur, etc.)

Elke beschermende maatregel is een compromis tussen risicoreductie en gebruikerservaring. Wanneer een beveiligingsspecialist zegt dat een proces op de een of andere manier niet mag plaatsvinden vanwege het optreden van bepaalde risico's, wordt hem altijd een redelijke vraag gesteld: "Hoe moet het gebeuren?" De beveiligingsprofessional moet een procesmodel voorstellen waarin deze risico's tot op zekere hoogte worden beperkt, wat bevredigend is voor het bedrijf.

Bovendien veroorzaakt elke toepassing van eventuele beschermende maatregelen met betrekking tot gebruikersinteractie met het informatiesysteem van het bedrijf altijd een negatieve reactie van de gebruiker. Ze willen niet opnieuw leren, de instructies lezen die voor hen zijn ontwikkeld, enz. Heel vaak stellen gebruikers redelijke vragen:

  • waarom zou ik volgens jouw bedachte schema werken, en niet op de eenvoudige manier die ik altijd heb gebruikt
  • die dit allemaal heeft bedacht
De praktijk leert dat de gebruiker zich niets aantrekt van de risico's, je kunt hem lang en saai uitleggen over hackers, het wetboek van strafrecht etc., er komt niets anders uit dan verspilling van zenuwcellen.
Als uw bedrijf een informatiebeveiligingsbeleid heeft, kunt u een bondig en bondig antwoord geven:
deze maatregel is ingevoerd om te voldoen aan de eisen van het informatiebeveiligingsbeleid van het bedrijf, dat is goedgekeurd door het hoogste bestuursorgaan van het bedrijf

In de regel neemt hierna de energie van de meeste gebruikers af. Degenen die overblijven, kunnen worden gevraagd een memo te schrijven aan dit allerhoogste bestuursorgaan van het bedrijf. Hier wordt de rest geëlimineerd. Want zelfs als het briefje daarheen gaat, kunnen we altijd de noodzaak van de genomen maatregelen aan het management bewijzen. Het is niet voor niets dat we ons brood eten, toch? Er zijn twee dingen waarmee u rekening moet houden bij het ontwikkelen van beleid.
  • De doelgroep van het informatiebeveiligingsbeleid zijn eindgebruikers en het topmanagement van het bedrijf, die geen complexe technische uitdrukkingen begrijpen, maar wel bekend moeten zijn met de bepalingen van het beleid.
  • Het is niet nodig om te proberen het ongepaste in te proppen, neem alles wat je kunt op in dit document! Er mogen alleen informatiebeveiligingsdoelen zijn, methoden om deze te bereiken en verantwoordelijkheid! Geen technische details tenzij deze specifieke kennis vereisen. Dit zijn allemaal materialen voor instructies en voorschriften.


Het definitieve document moet aan de volgende eisen voldoen:
  • beknoptheid - een groot documentvolume zal elke gebruiker afschrikken, niemand zal uw document ooit lezen (en u zult meer dan eens de zinsnede gebruiken: "dit is een schending van het informatiebeveiligingsbeleid waarmee u vertrouwd bent geraakt")
  • toegankelijkheid voor de gewone man - de eindgebruiker moet begrijpen WAT er in het beleid staat (hij zal nooit de woorden en zinsneden ‘loggen’, ‘indringermodel’, ‘informatiebeveiligingsincident’, ‘informatie-infrastructuur’, ‘technogene ”, “antropogeen” ", "risicofactor", enz.)
Hoe dit te bereiken?

In feite is alles heel eenvoudig: het informatiebeveiligingsbeleid moet een document van het eerste niveau zijn, het moet worden uitgebreid en aangevuld met andere documenten (voorschriften en instructies), die al iets specifieks zullen beschrijven.
Er kan een analogie worden getrokken met de staat: het document op het eerste niveau is de grondwet, en de doctrines, concepten, wetten en andere voorschriften die in de staat bestaan, vormen slechts een aanvulling en regeling van de implementatie van de bepalingen ervan. Een benaderend diagram wordt getoond in de figuur.

Laten we, om de pap niet op het bord te smeren, eens kijken naar voorbeelden van informatiebeveiligingsbeleid die op internet te vinden zijn.

Nuttig aantal pagina's* Geladen met termen Algemene beoordeling
OJSC Gazprombank 11 Zeer hoog
JSC On“Damu” 14 Hoog Een complex document voor nadenkend lezen, de gemiddelde persoon zal het niet lezen, en als ze het wel lezen, zullen ze het niet begrijpen en zich het niet herinneren
JSC NC "KazMunayGas" 3 Laag Gemakkelijk te begrijpen document, niet overladen met technische termen
JSC "Radio Engineering Institute vernoemd naar academicus AL Mints" 42 Zeer hoog Een complex document om aandachtig te lezen; de gemiddelde persoon zal het niet lezen - er zijn te veel pagina's

* Ik noem het aantal pagina's zonder inhoudsopgave, titelpagina en andere pagina's die geen specifieke informatie bevatten nuttig

Cv

Het informatiebeveiligingsbeleid moet in meerdere pagina's passen, gemakkelijk te begrijpen zijn voor de gemiddelde persoon en in algemene termen de doelstellingen van informatiebeveiliging beschrijven, de methoden om deze te bereiken en de verantwoordelijkheden van werknemers.
Implementatie en gebruik van informatiebeveiligingsbeleid
Na goedkeuring van het informatiebeveiligingsbeleid moet u:
  • alle bestaande medewerkers vertrouwd maken met het beleid;
  • alle nieuwe medewerkers vertrouwd maken met het beleid (hoe je dit het beste kunt doen is een apart onderwerp; voor nieuwkomers hebben we een introductiecursus, waarbij ik uitleg geef);
  • bestaande bedrijfsprocessen analyseren om risico's te identificeren en te minimaliseren;
  • neem deel aan het creëren van nieuwe bedrijfsprocessen, om later niet achter de trein aan te rennen;
  • regelgeving, procedures, instructies en andere documenten ontwikkelen die het beleid aanvullen (instructies voor het verlenen van toegang tot internet, instructies voor het verlenen van toegang tot afgeschermde gebieden, instructies voor het werken met bedrijfsinformatiesystemen, etc.);
  • minimaal één keer per kwartaal het informatiebeveiligingsbeleid en andere beoordelen om deze te actualiseren.

Voor vragen en suggesties, welkom in reacties en PM's.

Vraag %gebruikersnaam%

Wat de politiek betreft: de bazen houden niet van wat ik in eenvoudige bewoordingen wil. Ze vertellen mij: “Naast ik en jij en nog 10 IT-medewerkers die zelf alles weten en begrijpen, hebben we er 200 die hier niets van begrijpen, de helft daarvan is gepensioneerd.”
Ik volgde het pad van gemiddelde beknoptheid van beschrijvingen, bijvoorbeeld regels voor antivirusbescherming, en hieronder schrijf ik iets alsof er een antivirusbeschermingsbeleid is, enz. Maar ik begrijp niet of de gebruiker voor het beleid tekent, maar nogmaals, hij moet een aantal andere documenten lezen, het lijkt erop dat hij het beleid heeft ingekort, maar het lijkt erop dat dit niet het geval is.

Hier zou ik het pad van de procesanalyse volgen.
Laten we zeggen antivirusbescherming. Logischerwijs zou het zo moeten zijn.

Welke risico’s vormen virussen voor ons? Schending van de integriteit (schade) van informatie, schending van de beschikbaarheid (downtime van servers of pc’s) van informatie. Als het netwerk goed is georganiseerd, zou de gebruiker geen lokale beheerdersrechten in het systeem moeten hebben, dat wil zeggen dat hij niet de rechten zou moeten hebben om software (en dus virussen) in het systeem te installeren. Gepensioneerden vallen er dus af, omdat ze hier geen zaken doen.

Wie kan de risico's van virussen verminderen? Gebruikers met domeinbeheerderrechten. Domeinbeheerder is een gevoelige rol, die wordt gegeven aan medewerkers van IT-afdelingen, enz. Dienovereenkomstig moeten ze antivirusprogramma's installeren. Het blijkt dat zij ook verantwoordelijk zijn voor de activiteiten van het antivirussysteem. Dienovereenkomstig moeten ze de instructies voor het organiseren van antivirusbescherming ondertekenen. Eigenlijk moet deze verantwoordelijkheid in de instructies worden vastgelegd. De beveiligingsman regeert bijvoorbeeld, de beheerders voeren uit.

Vraag %gebruikersnaam%

Dan is de vraag: wat mag niet worden opgenomen in de instructies van de Anti-Virus ZI-verantwoordelijkheid voor het maken en gebruiken van virussen (of is er een artikel dat niet kan worden vermeld)? Of dat ze een virus of vreemd pc-gedrag moeten melden bij de helpdesk of IT-mensen?

Nogmaals, ik zou kijken vanuit het perspectief van risicobeheer. Dit ruikt als het ware naar GOST 18044-2007.
In jouw geval is ‘vreemd gedrag’ niet noodzakelijkerwijs een virus. Dit kan een systeemrem of rem enz. zijn. Er is dus geen sprake van een incident, maar van eens. Nogmaals, volgens GOST kan iedereen een gebeurtenis melden, maar pas na analyse is het mogelijk om te begrijpen of het een incident is of niet.

Deze vraag van u resulteert dus niet langer in informatiebeveiligingsbeleid, maar in incidentmanagement. Uw beleid zou dat moeten vermelden het bedrijf moet beschikken over een incidentafhandelingssysteem.

Dat wil zeggen dat, zoals u ziet, de bestuurlijke uitvoering van het beleid vooral bij bestuurders en beveiligers ligt. Gebruikers blijven zitten met aangepaste dingen.

Daarom moet u een "Procedure voor het gebruik van SVT in het bedrijf" opstellen, waarin u de verantwoordelijkheden van gebruikers moet aangeven. Dit document moet aansluiten bij het informatiebeveiligingsbeleid en als het ware uitleg geven aan de gebruiker.

Dit document kan aangeven dat de gebruiker verplicht is de bevoegde autoriteit op de hoogte te stellen van abnormale computeractiviteit. Welnu, je kunt daar al het andere op maat toevoegen.

In totaal moet u de gebruiker vertrouwd maken met twee documenten:

  • informatiebeveiligingsbeleid (zodat hij begrijpt wat er wordt gedaan en waarom, niet op zijn kop zet, niet vloekt bij de introductie van nieuwe controlesystemen, etc.)
  • deze “Procedure voor het gebruik van SVT in het bedrijf” (zodat hij begrijpt wat hij precies moet doen in specifieke situaties)

Wanneer u een nieuw systeem implementeert, voegt u dus eenvoudigweg iets toe aan de “Procedure” en stelt u de medewerkers hiervan op de hoogte door de procedure per e-mail te verzenden (of via het EDMS, indien beschikbaar).

Tags: tags toevoegen



GERELATEERDE ARTIKELEN