Політика інформаційної безпеки організації. Політика інформаційної безпеки та принципи її організації

Програмне забезпечення TSF поза ядром складається з довірених додатків, які використовуються, щоб реалізувати функції безпеки. Зверніть увагу на те, що бібліотеки, що спільно використовуються, включаючи модулі PAM у деяких випадках, використовуються довіряними додатками. Однак, не існує екземпляра, де сама спільно використовувана бібліотека розглядається як об'єкт, що довіряється. Команда, що довіряється, можуть бути згруповані наступним чином.

  • Системна ініціалізація
  • Ідентифікація та автентифікація
  • Мережеві програми
  • Пакетна обробка
  • Управління системою
  • Аудит рівня користувача
  • Криптографічна підтримка
  • Підтримка віртуальної машини

Компоненти виконання ядра можуть бути розділені на три складові: основне ядро, потоки ядра і модулі ядра, залежно від того, як вони будуть виконуватися.

  • Основне ядро ​​включає код, який виконується, щоб надати послугу, таку як обслуговування системного виклику користувача або обслуговування події виключення або переривання. Більшість скомпілованого коду ядра підпадає під цю категорію.
  • Потоки ядра. Щоб виконати певні стандартні завдання, такі як очищення дискових кешів або звільнення пам'яті шляхом вивантаження невикористаних сторінкових блоків, ядро ​​створює внутрішні процеси або потоки. Потоки заплановані так само, як звичайні процеси, але вони не мають контексту в непривілейованому режимі. Потоки ядра виконують певні функції мови ядра. Потоки ядра розміщені у просторі ядра, і працюють лише у привілейованому режимі.
  • Модуль ядра та модуль ядра драйверів пристроїв — фрагменти коду, які можуть бути завантажені та вивантажені в та з ядра при необхідності. Вони розширюють функціональні можливості ядра без потреби перезавантажувати систему. Після завантаження об'єктний код модуля ядра може отримати доступ до іншого коду ядра і даним так само, як статично скомпонований код об'єкта ядра.
Драйвер пристрою – спеціальний тип модуля ядра, який дозволяє ядру отримувати доступ до апаратних засобів, з'єднаних із системою. Ці пристрої можуть бути жорсткими дисками, моніторами або мережевими інтерфейсами. Драйвер взаємодіє з частиною ядра, що залишається, через певний інтерфейс, який дозволяє ядру мати справу з усіма пристроями універсальним способом, незалежно від їх базових реалізацій.

Ядро складається з логічних підсистем, які забезпечують різноманітні функціональні можливості. Навіть при тому, що ядро ​​- єдина програма, що виконується, різні сервіси, які воно надає, можуть бути розділені і об'єднані в різні логічні компоненти. Ці компоненти взаємодіють, щоб забезпечити певні функції. Ядро складається з наступних логічних підсистем:

  • Файлова підсистема та підсистема введення-виводу: Ця підсистема реалізує функції, пов'язані з об'єктами файлової системи Реалізовані функції включають ті, які дозволяють процесу створювати, підтримувати, взаємодіяти та видаляти об'єкти файлової системи. До цих об'єктів належать регулярні файли, каталоги, символьні посилання, жорсткі посилання, файли, специфічні для певних типів пристроїв, іменовані канали та сокети.
  • Підсистема процесів: Ця підсистема реалізує функції, пов'язані з керуванням процесами та керуванням потоками. Реалізовані функції дозволяють створювати, планувати, виконувати та видаляти процеси та суб'єкти потоків.
  • Підсистема пам'яті: Ця підсистема реалізує функції, пов'язані з керуванням ресурсами пам'яті системи. Реалізовані функції включають ті, які створюють і управляють віртуальною пам'яттю, включаючи управління алгоритмами розбивки на сторінки і таблицями сторінок.
  • Мережева підсистема: Ця підсистема реалізує сокети UNIX та Інтернет-домену, а також алгоритми, що використовуються для планування мережних пакетів.
  • Підсистема IPC: Ця підсистема реалізує функції, пов'язані з механізмами IPC Реалізовані функції включають ті, які спрощують керований обмін інформацією між процесами, дозволяючи їм спільно використовувати дані і синхронізувати їх виконання при взаємодії із загальним ресурсом.
  • Підсистема модулів ядра: Ця підсистема реалізує інфраструктуру, що дозволяє підтримувати модулі, що завантажуються. Реалізовані функції включають завантаження, ініціалізацію та вивантаження модулів ядра.
  • Розширення безпеки Linux: Розширення безпеки Linux реалізують різні аспекти безпеки, які забезпечуються для всього ядра, включаючи каркас Модуля безпеки Linux (Linux Security Module, LSM). Каркас LSM є основою для модулів, що дозволяє реалізувати різні політики безпеки, включаючи SELinux. SELinux – важлива логічна підсистема. Ця підсистема реалізує функції мандатного керування доступом, щоб досягти доступу між усіма предметами та об'єктами.
  • Підсистема драйвера пристрою: Ця підсистема реалізує підтримку різних апаратних і програмних пристроїв через загальний інтерфейс, що не залежить від пристроїв.
  • Підсистема аудиту: Ця підсистема реалізує функції, пов'язані із записом критичних по відношенню до безпеки подій у системі. Реалізовані функції включають ті, які захоплюють кожен системний виклик, щоб записати критичні по відношенню до безпеки події і ті, які реалізують набір і запис контрольних даних.
  • Підсистема KVM: Ця підсистема реалізує супровід життєвого циклу віртуальної машини Вона виконує завершення інструкції, що використовується для інструкцій, які потребують лише невеликих перевірок. Для іншого завершення інструкції KVM викликає компонент простору користувача QEMU.
  • Крипто API: Ця підсистема надає внутрішню по відношенню до ядра криптографічну бібліотеку для всіх компонентів ядра. Вона забезпечує криптографічні примітиви для зухвалих сторін.

Ядро – це основна частина операційної системи. Воно взаємодіє безпосередньо з апаратними засобами, реалізує спільне використання ресурсів, надає загальні послуги для додатків, і запобігає прямому доступу додатків до апаратно-залежних функцій. До сервісів, що надаються ядром, належать:

1. Управління виконанням процесів, включаючи операції з їх створення, завершення або призупинення та міжпроцесоного обміну даними. Вони включають:

  • Рівнозначне планування процесів до виконання на ЦП.
  • Поділ процесів у ЦП з використанням режиму поділу за часом.
  • Виконання процесу у ЦП.
  • Припинення ядра після закінчення відведеного йому кванта часу.
  • Виділення часу ядра для виконання іншого процесу.
  • Перепланування часу ядра для виконання зупиненого процесу.
  • Керування метаданими, пов'язаними з безпекою процесу, такими як ідентифікатори UID, GID, SELinux, ідентифікатори функціональних можливостей.
2. Виділення оперативної пам'яті для виконуваного процесу. Ця операція включає:
  • Дозвіл, що видається ядром для процесів, на спільне використання частини їхнього адресного простору за певних умов; однак, при цьому ядро ​​захищає власний адресний простір процесу від зовнішнього втручання.
  • Якщо система відчуває брак вільної пам'яті, ядро ​​звільняє пам'ять шляхом запису процесу тимчасово в пам'ять другого рівня або розділу підкачування.
  • Узгоджена взаємодія з апаратними засобами машини, щоб встановити відображення віртуальних адрес на фізичні адреси, що встановлює відповідність між адресами, згенерованими компілятором, та фізичними адресами.
3. Обслуговування життєвого циклу віртуальних машин, що включає:
  • Встановлення обмежень для ресурсів, налаштованих додатком емуляції для даної віртуальної машини.
  • Запуск програмного коду віртуальної машини на виконання.
  • Обробка завершення роботи віртуальних машин або шляхом завершення інструкції або затримка завершення інструкції для емуляції простору користувача.
4. Обслуговування файлової системи. Це включає в себе:
  • Виділення вторинної пам'яті для ефективного зберігання та вилучення даних.
  • Виділення зовнішньої пам'яті для файлів користувача.
  • Утилізація невикористаного простору для зберігання даних.
  • Організація структури файлової системи (використання зрозумілих принципів структурування).
  • Захист файлів користувача від несанкціонованого доступу.
  • Організація контрольованого доступу процесів до периферійних пристроїв, таких як термінали, стрічкопротяжні пристрої, дисководи та мережеві пристрої.
  • Організація взаємного доступу до даних для суб'єктів та об'єктів, надання керованого доступу, заснованого на політиці DAC та будь-якій іншій політиці, що реалізується завантаженою LSM.
Ядро Linux відноситься до типу ядер ОС, що реалізують планування з витісненням завдань. У ядрах, які мають таку можливість, виконання коду ядра триває до завершення, тобто. планувальник не здатний до перепланування завдання у той час, коли вона знаходиться в ядрі. Крім того, планування виконання коду ядра здійснюється спільно, без планування, що витісняє, і виконання цього коду триває до моменту завершення і повернення до простору користувача, або до явного блокування. У ядрах, що витісняють, можливо вивантажити завдання в будь-якій точці, поки ядро ​​знаходиться в стані, в якому безпечно виконувати перепланування.

У цьому топіку я спробую скласти манул з розробки нормативної документації у сфері інформаційної безпеки для комерційної структури, спираючись на особистий досвід та матеріали з мережі.

Тут ви зможете знайти відповіді на запитання:

  • навіщо потрібна політика інформаційної безпеки;
  • як її скласти;
  • як її використати.

Необхідність наявності політики ІБ
У цьому розділі описано необхідність впровадження політики ІБ та супутніх їй документів не гарною мовою підручників і стандартів, а на прикладах з особистого досвіду.
Розуміння цілей та завдань підрозділу інформаційної безпеки
Насамперед політика необхідна для того, щоб донести до бізнесу цілі та завдання інформаційної безпеки компанії. Бізнес повинен розуміти, що безпека це не тільки інструмент для розслідування фактів витоків даних, але й помічник у мінімізації ризиків компанії, а отже - у підвищенні прибутковості компанії.
Вимоги політики - основа для впровадження захисних заходів
Політика ІБ необхідна для обґрунтування запровадження захисних заходів у компанії. Політика має бути затверджена вищим адміністративним органом компанії (генеральний директор, рада директорів тощо)

Будь-який захисний захід є компроміс між зниженням ризиків та зручністю роботи користувача. Коли каже, що процес не повинен відбуватися якимось чином через появу деяких ризиків, йому завжди ставлять резонне питання: «А як він має відбуватися?». Безпеку необхідно запропонувати модель процесу, в якій ці ризики знижені певною мірою задовільною для бізнесу.

При цьому будь-яке застосування будь-яких захисних заходів щодо взаємодії користувача з інформаційною системою компанії завжди викликає негативну реакцію користувача. Вони хочуть переучуватися, читати розроблені їм інструкції тощо. Дуже часто користувачі ставлять резонні питання:

  • чому я повинен працювати за вашою вигаданою схемою, а не тим простим способом, який я використовував завжди
  • хто це все вигадав
Практика показала, що користувачеві начхати на ризики, ви можете довго і нудно йому пояснювати про хакерів, кримінальний кодекс та інше, з цього не вийде нічого, крім розтрати нервових клітин.
За наявності в компанії політики ІБ ви можете дати коротку та ємну відповідь:
цей захід введено для виконання вимог політики інформаційної безпеки компанії, яка затверджена вищим адміністративним органом компанії

Як правило, після енергія більшості користувачів сходить нанівець. А тим, хто залишився, можна запропонувати написати службову записку в цей найвищий адміністративний орган компанії. Тут відсіваються решта. Тому що навіть якщо записка туди піде, ми завжди зможемо довести необхідність вжитих заходів перед керівництвом. Адже ми не дарма свій хліб їмо, так? Під час розробки політики слід пам'ятати про два моменти.
  • Цільова аудиторія політики ІБ – кінцеві користувачі та топ-менеджмент компанії, які не розуміють складних технічних виразів, однак мають бути ознайомлені з положеннями політики.
  • Не потрібно намагатися впхнути невпинне включити в цей документ все, що можна! Тут мають бути лише цілі ІБ, методи їх досягнення та відповідальність! Жодних технічних подробиць, якщо вони вимагають специфічних знань. Це все – матеріали для інструкцій та регламентів.


Кінцевий документ повинен відповідати таким вимогам:
  • лаконічність - великий обсяг документа відлякає будь-якого користувача, ваш документ ніхто ніколи не прочитає (а ви не раз вживатимете фразу: «це порушення політики інформаційної безпеки, з якою вас ознайомили»)
  • доступність простому обивателю - кінцевий користувач повинен розуміти, ЩО написано в політиці (він ніколи не прочитає і не запам'ятає слова та словосполучення «журналювання», «модель порушника», «інцидент інформаційної безпеки», «інформаційна інфраструктура», «техногенний», «антропогенний» », «Ризик-фактор» і т.п.)
Яким чином цього досягти?

Насправді все дуже просто: політика ІБ має бути документом першого рівня, її мають розширювати та доповнювати інші документи (положення та інструкції), які вже описуватимуть щось конкретне.
Можна провести аналогію з державою: документом першого рівня є конституція, а доктрини, концепції, закони та інші нормативні акти, що існують у державі, лише доповнюють і регламентують виконання її положень. Зразкова схема представлена ​​малюнку.

Щоб не розмазувати кашу по тарілці, просто подивимося приклади політик ІБ, які можна знайти на просторах інтернету.

Корисна кількість сторінок* Завантаженість термінами Загальна оцінка
ВАТ „Газпромбанк“ 11 Дуже висока
АТ „Фонд розвитку підприємництва “Даму” 14 Висока Складний документ для вдумливого читання обиватель не прочитає, а якщо прочитає, то не зрозуміє і не запам'ятає
АТ НК "КазМунайГаз" 3 Низька Простий для розуміння документ, не перевантажений технічними термінами
ВАТ «Радіотехнічний інститут імені академіка А. Л. Мінця» 42 Дуже висока Складний документ для вдумливого читання, обиватель не читатиме - надто багато сторінок

* Корисною я називаю кількість сторінок без змісту, титульного листа та інших сторінок, які не несуть конкретної інформації

Резюме

Політика ІБ повинна вміщатися в декілька сторінок, бути легкою для розуміння обивателя, описувати в загальному вигляді цілі ІБ, методи їх досягнення та відповідальність працівників.
Впровадження та використання політики ІБ
Після затвердження політики ІБ необхідно:
  • ознайомити з політикою всіх працівників, які вже працюють;
  • ознайомлювати з політикою всіх нових співробітників (як це краще робити – тема окремої розмови, у нас для новачків є вступний курс, на якому я виступаю з роз'ясненнями);
  • проаналізувати існуючі бізнес-процеси з метою виявлення та мінімізації ризиків;
  • брати участь у створенні нових бізнес-процесів, щоб згодом не бігти за потягом;
  • розробити положення, процедури, інструкції та інші документи, що доповнюють політику (інструкція з надання доступу до Інтернету, інструкція з надання доступу до приміщень з обмеженим доступом, інструкції з роботи з інформаційними системами компанії тощо);
  • не рідше, ніж раз на квартал переглядати політику ІБ та інші документи щодо ІБ з метою їхньої актуалізації.

З питань та пропозицій ласкаво просимо в коментарі та особі.

Запитання %username%

Щодо політики, то начальству не подобається, що я хочу простими словами. Мені кажуть: «У нас тут окрім мене і тебе та ще 10 ІТ-співробітників, які самі всі знають і розуміють, є 2 сотні, що нічого в цьому не розуміють, половина взагалі пенсіонери».
Я пішов шляхом, середньої стислості описів, наприклад, правила антивірусного захисту, а нижче пишу типу є політика антивірусного захисту і т.д. Але не зрозумію, якщо за політику користувач розписується, але знову йому треба читати купу інших документів, начебто скоротив політику, а начебто й ні.

Я б тут пішов шляхом саме аналізу процесів.
Припустимо, антивірусний захист. За логікою має бути так.

Які ризики мають нам віруси? Порушення цілісності (пошкодження) інформації, порушення доступності (простих серверів або ПК) інформації. При правильній організації мережі, користувач не повинен мати права локального адміністратора в системі, тобто він не повинен мати права установки ПЗ (а отже, і вірусів) в систему. Таким чином, пенсіонери відвалюються, бо вони тут не роблять.

Хто може зменшити ризики, пов'язані з вірусами? Користувачі з правами адміну домену. Адмін домену - роль педантична, видається співробітникам ІТ-відділів тощо. Відповідно, і встановлювати антивіруси мають вони. Виходить, що за діяльність антивірусної системи несуть відповідальність також вони. Відповідно, і підписувати інструкцію про організацію антивірусного захисту мають вони. Власне, цю відповідальність слід прописати в інструкції. Наприклад, безпечник кермує, адміни виконують.

Запитання %username%

Тоді питання, а що до інструкції Антивірусної ЗІ не має включатися відповідальність за створення та використання вірусів (або є стаття і можна не згадувати)? Або що вони зобов'язані повідомити про вірус або дивну поведінку ПК у Help Desk чи ІТишникам?

Знову ж таки, я б дивився з боку управління ризиками. Тут пахне, так би мовити, ГОСТом 18044-2007.
У вашому випадку "дивна поведінка" це ще необов'язково вірус. Це може бути гальмо системи чи гпошок тощо. Відповідно, це не інцидент, а подія ІБ. Знову ж таки, згідно з ГОСТом, заявити про подію може будь-яка людина, а ось зрозуміти інцидент це чи ні можна лише після аналізу.

Таким чином, це ваше питання виливається вже не в політику ІБ, а в управління інцидентами. Ось у політиці у вас має бути прописано, що у компанії має бути присутня система обробки інцидентів.

Тобто, як бачите, адміністративне виконання політики покладається здебільшого на адмінів та безпечників. Користувачам залишається користувальницьке.

Отже, вам необхідно скласти якийсь "Порядок використання СВТ у компанії", де ви повинні вказати обов'язки користувачів. Цей документ має корелювати з політикою ІБ і бути її, так би мовити, роз'ясненням користувача.

У цьому документі можна зазначити, що користувач зобов'язаний повідомляти про ненормальну активність комп'ютера відповідну інстанцію. Ну і все інше користувальницьке ви можете додати туди.

Разом, у вас виникає необхідність ознайомити користувача з двома документами:

  • політикою ІБ (щоб він розумів, що й навіщо робиться, не рипався, не лаявся при впровадженні нових систем контролю тощо)
  • цим «Порядком використання СВТ у компанії» (щоб він розумів, що робити в конкретних ситуаціях)

Відповідно, при впровадженні нової системи, ви просто додаєте щось до «Порядку» і повідомляєте співробітників про це за допомогою розсилки порядку електропоштою (або через СЕД, якщо така є).

Теги:

  • інформаційна безпека
  • управління ризиками
  • політика безпеки
Додати теги

У світі поняття «політика інформаційної безпеки» може трактуватися як і широкому, і у вузькому значенні. Щодо першого, ширшого значення, вона позначає комплексну систему рішень, які прийняті якоюсь організацією, документовані офіційно та спрямовані на безпеку підприємства. У вузькому розумінні під цим поняттям криється документ місцевого значення, в якому обумовлені вимоги безпеки, система заходів, що проводяться, відповідальність співробітників і механізм контролю.

Комплексна політика інформаційної безпеки є гарантією стабільного функціонування будь-якої компанії. Всебічність її полягає у продуманості та збалансованості ступеня захисту, а також розробці правильних заходів та системи контролю у разі будь-яких порушень.

Усі організаційні методи відіграють важливу роль у створенні надійної схеми захисту інформації, тому що незаконне використання інформації є результатом зловмисних дій, недбалості персоналу, а не технічних неполадок. Для досягнення гарного результату потрібна комплексна взаємодія організаційно-правових та технічних заходів, які мають виключати усі несанкціоновані проникнення до системи.

Інформаційна безпека – це гарантія спокійної роботи компанії та її стабільного розвитку. Проте в основі побудови якісної системи захисту повинні бути відповіді на такі питання:

    Яка система даних і який рівень серйозності захисту буде потрібно?

    Хто може завдати шкоди компанії за допомогою порушення функціонування інформаційної системи і хто може скористатися отриманими відомостями?

    Як можна звести подібний ризик до мінімуму, не порушуючи при цьому злагоджену роботу організації?

    Концепція інформаційної безпеки, таким чином, повинна розроблятися персонально для конкретного підприємства та відповідно до його інтересів. Основну роль її якісних характеристиках грають організаційні заходи, яких можна віднести:

      Організацію налагодженої системи пропускного режиму. Це робиться з метою виключення таємного та несанкціонованого проникнення на територію компанії сторонніх осіб, а також контроль за перебуванням у приміщенні та часом його відходу.

      Робота із співробітниками. Суть її полягає в організації взаємодії з персоналом, доборі кадрів. Ще важливим є ознайомлення з ними, підготовка та навчання правилам роботи з інформацією, щоб співробітники знали рамки її секретності.

      Політика інформаційної безпеки передбачає також структуроване використання технічних засобів, спрямованих на накопичення, збирання та підвищену конфіденційність.

      Проведення робіт, спрямованих на контроль над персоналом з точки зору використання ним секретної інформації та розроблення заходів, які мають забезпечувати її захист.

    Витрати на проведення такої політики не повинні перевищувати величину потенційних збитків, які будуть отримані внаслідок її втрати.

    Політика інформаційної безпеки та її ефективність багато в чому залежить від кількості пред'явлених до неї вимог з боку компанії, які дозволяють зменшити рівень ризику до потрібної величини.

Для підприємства її інформація є важливим ресурсом. Політика інформаційної безпеки визначає необхідні заходи захисту інформації від випадкового чи навмисного отримання її, знищення тощо. Відповідальність за дотримання політики безпеки несе кожен працівник підприємства. Цілями політики безпеки є:

  • Реалізація безперервного доступу до ресурсів компанії для нормального виконання співробітниками своїх обов'язків
  • Забезпечення критичних інформаційних ресурсів
  • Захист цілісності даних
  • Призначення ступеня відповідальності та функцій працівників щодо реалізації інформаційної безпеки на підприємстві
  • Роботи з ознайомлення користувачів у сфері ризиків, пов'язаних з інф. ресурсами підприємства

Повинна проводиться періодична перевірка співробітників щодо дотримання інформаційної політики безпеки. Правила політики поширюються на всі ресурси та інформацію підприємства. Підприємству належить права на власність обчислювальних ресурсів, ділової інформації, ліцензійне та створене ПЗ, вміст пошти, різноманітні документи.

Щодо всіх інформаційних активів підприємства, то повинні бути відповідні люди з відповідальністю за використання тих чи інших активів.

Контроль доступу до інформаційних систем

Усі свої обов'язки мають бути виконані лише з комп'ютерах, дозволених до експлуатації для підприємства. Використання портативних пристроїв і пристроїв можна лише з узгодженням . Вся конфіденційна інформація повинна зберігатися у шифрованому вигляді на жорстких дисках, де реалізовано програмне забезпечення з шифруванням жорсткого диска. Періодично мають переглядатися права працівників до інформаційної системи. Для реалізації санкціонованого доступу до інформаційного ресурсу вхід до системи має бути реалізований за допомогою унікального імені користувачі та пароля. Паролі повинні задовольняти. Також під час перерви, або відсутності співробітника на своєму робочому місці, має спрацьовувати функцію екранної заставки для блокування робочої машини.

Доступ третіх осіб до інформаційної системи підприємства

Кожен працівник повинен сповістити службу ІБ про те, що він надає доступ третім особам до ресурсів інформаційної мережі.

Віддалений доступ

Співробітники, які використовують особисті портативні пристрої, можуть попросити віддалений доступ до інформаційної мережі підприємства. Співробітникам, які працюють за межами підприємства та мають віддалений доступ, заборонено копіювати дані з корпоративної мережі. Також таким співробітникам не можна мати більше одного підключення до різних мереж, які не належать підприємству. Комп'ютери, які мають віддалений доступ, повинні містити .

Доступ до мережі інтернет

Такий доступ повинен дозволятися лише з виробничою метою, а не для особистого користування. Далі показані рекомендації:

  • Забороняється відвідування веб-ресурсу, який вважається образливим для суспільства або має дані сексуального характеру, пропаганди тощо
  • Працівники не повинні використовувати інтернет для зберігання даних підприємства
  • Співробітники, які мають облікові записи, надані публічними провайдерами, заборонено використовувати на обладнанні підприємства
  • Усі файли з Інтернету повинні перевірятися на віруси
  • Заборонено доступ до Інтернету для всіх осіб, які не є співробітниками

Захист обладнання

Працівники також повинні пам'ятати про реалізацію фізичного захисту обладнання, на якому зберігаються або обробляються дані підприємства. Заборонено вручну налаштовувати апаратне та програмне забезпечення, для цього є спеціалісти служби ІБ.

Апаратне забезпечення

Користувачі, які працюють з конфіденційною інформацією, повинні мати окреме приміщення для фізичного обмеження доступу до них та їхнього робочого місця.

Кожен співробітник, отримавши обладнання від підприємства на тимчасове користування (відрядження), повинен стежити за ним і не залишати без нагляду. У разі втрати або інших екстрених ситуацій дані на комп'ютері повинні бути заздалегідь зашифровані.

Форматування даних перед записом або знищенням носія не є 100% гарантією чистоти пристрою. Також порти передачі даних на стаціонарних комп'ютерах повинні бути заблоковані, окрім тих випадків, коли співробітник має дозвіл на копіювання даних.

Програмне забезпечення

Все програмне забезпечення, яке встановлене на комп'ютерах підприємства, є власністю підприємства і має використовуватися у службових завданнях. Заборонено встановлювати співробітникам інше ПЗ, не погодивши це зі службою ІБ. На всіх стаціонарних комп'ютерах має бути мінімальний набір ПЗ:

  • Антивірусне ПЗ
  • шифрування жорстких дисків
  • шифрування поштових повідомлень

Працівники компанії не повинні:

  • блокувати або встановлювати інше антивірусне програмне забезпечення
  • міняти налаштування захисту

Електронні повідомлення (навіть віддалені) можна використовувати держ. органами або конкурентами з бізнесу в суді як докази. Тому зміст повідомлень має суворо відповідати корпоративним стандартам у галузі ділової етики.

Працівникам не можна передавати за допомогою пошти конфіденційну інформацію підприємства без шифрування. Також працівникам не можна використовувати публічні поштові скриньки. Під час документообігу повинні використовуватись лише корпоративні поштові скриньки. Нижче наведено нерозв'язні дії при реалізації електронної пошти:

  • групове розсилання всім користувачам підприємства
  • розсилання повідомлень особистого характеру, використовуючи ресурси електронної пошти підприємства
  • підписка на розсилки ящик підприємства
  • пересилання матеріалів, що не стосуються роботи

Повідомлення про інциденти, реагування та звітність

Усі співробітники повинні повідомляти про будь-яку підозру на вразливість у системі захисту. Також не можна розголошувати відомі співробітнику слабкі сторони системи захисту. Якщо є підозри на наявність вірусів або інших деструктивних дій на комп'ютері, працівник повинен:

  • поінформувати співробітників служби ІБ
  • не включати заражений комп'ютер і не використовувати його
  • Не підключати комп'ютер до інформаційної мережі підприємства

Приміщення із технічними методами захисту

Усі конфіденційні збори/засідання повинні проводитись лише у спеціальних приміщеннях. Учасникам заборонено проносити до приміщень записувальні пристрої (Аудіо/відео) та мобільними телефонами, без згоди служби ІБ. Аудіо/відео запис може вести співробітник із дозволом від служби ІБ.

У цьому топіку я спробую скласти манул з розробки нормативної документації у сфері інформаційної безпеки для комерційної структури, спираючись на особистий досвід та матеріали з мережі.

Тут ви зможете знайти відповіді на запитання:

  • навіщо потрібна політика інформаційної безпеки;
  • як її скласти;
  • як її використати.

Необхідність наявності політики ІБ
У цьому розділі описано необхідність впровадження політики ІБ та супутніх їй документів не гарною мовою підручників і стандартів, а на прикладах з особистого досвіду.
Розуміння цілей та завдань підрозділу інформаційної безпеки
Насамперед політика необхідна для того, щоб донести до бізнесу цілі та завдання інформаційної безпеки компанії. Бізнес повинен розуміти, що безпека це не тільки інструмент для розслідування фактів витоків даних, але й помічник у мінімізації ризиків компанії, а отже - у підвищенні прибутковості компанії.
Вимоги політики - основа для впровадження захисних заходів
Політика ІБ необхідна для обґрунтування запровадження захисних заходів у компанії. Політика має бути затверджена вищим адміністративним органом компанії (генеральний директор, рада директорів тощо)

Будь-який захисний захід є компроміс між зниженням ризиків та зручністю роботи користувача. Коли каже, що процес не повинен відбуватися якимось чином через появу деяких ризиків, йому завжди ставлять резонне питання: «А як він має відбуватися?». Безпеку необхідно запропонувати модель процесу, в якій ці ризики знижені певною мірою задовільною для бізнесу.

При цьому будь-яке застосування будь-яких захисних заходів щодо взаємодії користувача з інформаційною системою компанії завжди викликає негативну реакцію користувача. Вони хочуть переучуватися, читати розроблені їм інструкції тощо. Дуже часто користувачі ставлять резонні питання:

  • чому я повинен працювати за вашою вигаданою схемою, а не тим простим способом, який я використовував завжди
  • хто це все вигадав
Практика показала, що користувачеві начхати на ризики, ви можете довго і нудно йому пояснювати про хакерів, кримінальний кодекс та інше, з цього не вийде нічого, крім розтрати нервових клітин.
За наявності в компанії політики ІБ ви можете дати коротку та ємну відповідь:
цей захід введено для виконання вимог політики інформаційної безпеки компанії, яка затверджена вищим адміністративним органом компанії

Як правило, після енергія більшості користувачів сходить нанівець. А тим, хто залишився, можна запропонувати написати службову записку в цей найвищий адміністративний орган компанії. Тут відсіваються решта. Тому що навіть якщо записка туди піде, ми завжди зможемо довести необхідність вжитих заходів перед керівництвом. Адже ми не дарма свій хліб їмо, так? Під час розробки політики слід пам'ятати про два моменти.
  • Цільова аудиторія політики ІБ – кінцеві користувачі та топ-менеджмент компанії, які не розуміють складних технічних виразів, однак мають бути ознайомлені з положеннями політики.
  • Не потрібно намагатися впхнути невпинне включити в цей документ все, що можна! Тут мають бути лише цілі ІБ, методи їх досягнення та відповідальність! Жодних технічних подробиць, якщо вони вимагають специфічних знань. Це все – матеріали для інструкцій та регламентів.


Кінцевий документ повинен відповідати таким вимогам:
  • лаконічність - великий обсяг документа відлякає будь-якого користувача, ваш документ ніхто ніколи не прочитає (а ви не раз вживатимете фразу: «це порушення політики інформаційної безпеки, з якою вас ознайомили»)
  • доступність простому обивателю - кінцевий користувач повинен розуміти, ЩО написано в політиці (він ніколи не прочитає і не запам'ятає слова та словосполучення «журналювання», «модель порушника», «інцидент інформаційної безпеки», «інформаційна інфраструктура», «техногенний», «антропогенний» », «Ризик-фактор» і т.п.)
Яким чином цього досягти?

Насправді все дуже просто: політика ІБ має бути документом першого рівня, її мають розширювати та доповнювати інші документи (положення та інструкції), які вже описуватимуть щось конкретне.
Можна провести аналогію з державою: документом першого рівня є конституція, а доктрини, концепції, закони та інші нормативні акти, що існують у державі, лише доповнюють і регламентують виконання її положень. Зразкова схема представлена ​​малюнку.

Щоб не розмазувати кашу по тарілці, просто подивимося приклади політик ІБ, які можна знайти на просторах інтернету.

Корисна кількість сторінок* Завантаженість термінами Загальна оцінка
ВАТ „Газпромбанк“ 11 Дуже висока
АТ „Фонд розвитку підприємництва “Даму” 14 Висока Складний документ для вдумливого читання обиватель не прочитає, а якщо прочитає, то не зрозуміє і не запам'ятає
АТ НК "КазМунайГаз" 3 Низька Простий для розуміння документ, не перевантажений технічними термінами
ВАТ «Радіотехнічний інститут імені академіка А. Л. Мінця» 42 Дуже висока Складний документ для вдумливого читання, обиватель не читатиме - надто багато сторінок

* Корисною я називаю кількість сторінок без змісту, титульного листа та інших сторінок, які не несуть конкретної інформації

Резюме

Політика ІБ повинна вміщатися в декілька сторінок, бути легкою для розуміння обивателя, описувати в загальному вигляді цілі ІБ, методи їх досягнення та відповідальність працівників.
Впровадження та використання політики ІБ
Після затвердження політики ІБ необхідно:
  • ознайомити з політикою всіх працівників, які вже працюють;
  • ознайомлювати з політикою всіх нових співробітників (як це краще робити – тема окремої розмови, у нас для новачків є вступний курс, на якому я виступаю з роз'ясненнями);
  • проаналізувати існуючі бізнес-процеси з метою виявлення та мінімізації ризиків;
  • брати участь у створенні нових бізнес-процесів, щоб згодом не бігти за потягом;
  • розробити положення, процедури, інструкції та інші документи, що доповнюють політику (інструкція з надання доступу до Інтернету, інструкція з надання доступу до приміщень з обмеженим доступом, інструкції з роботи з інформаційними системами компанії тощо);
  • не рідше, ніж раз на квартал переглядати політику ІБ та інші документи щодо ІБ з метою їхньої актуалізації.

З питань та пропозицій ласкаво просимо в коментарі та особі.

Запитання %username%

Щодо політики, то начальству не подобається, що я хочу простими словами. Мені кажуть: «У нас тут окрім мене і тебе та ще 10 ІТ-співробітників, які самі всі знають і розуміють, є 2 сотні, що нічого в цьому не розуміють, половина взагалі пенсіонери».
Я пішов шляхом, середньої стислості описів, наприклад, правила антивірусного захисту, а нижче пишу типу є політика антивірусного захисту і т.д. Але не зрозумію, якщо за політику користувач розписується, але знову йому треба читати купу інших документів, начебто скоротив політику, а начебто й ні.

Я б тут пішов шляхом саме аналізу процесів.
Припустимо, антивірусний захист. За логікою має бути так.

Які ризики мають нам віруси? Порушення цілісності (пошкодження) інформації, порушення доступності (простих серверів або ПК) інформації. При правильній організації мережі, користувач не повинен мати права локального адміністратора в системі, тобто він не повинен мати права установки ПЗ (а отже, і вірусів) в систему. Таким чином, пенсіонери відвалюються, бо вони тут не роблять.

Хто може зменшити ризики, пов'язані з вірусами? Користувачі з правами адміну домену. Адмін домену - роль педантична, видається співробітникам ІТ-відділів тощо. Відповідно, і встановлювати антивіруси мають вони. Виходить, що за діяльність антивірусної системи несуть відповідальність також вони. Відповідно, і підписувати інструкцію про організацію антивірусного захисту мають вони. Власне, цю відповідальність слід прописати в інструкції. Наприклад, безпечник кермує, адміни виконують.

Запитання %username%

Тоді питання, а що до інструкції Антивірусної ЗІ не має включатися відповідальність за створення та використання вірусів (або є стаття і можна не згадувати)? Або що вони зобов'язані повідомити про вірус або дивну поведінку ПК у Help Desk чи ІТишникам?

Знову ж таки, я б дивився з боку управління ризиками. Тут пахне, так би мовити, ГОСТом 18044-2007.
У вашому випадку "дивна поведінка" це ще необов'язково вірус. Це може бути гальмо системи чи гпошок тощо. Відповідно, це не інцидент, а подія ІБ. Знову ж таки, згідно з ГОСТом, заявити про подію може будь-яка людина, а ось зрозуміти інцидент це чи ні можна лише після аналізу.

Таким чином, це ваше питання виливається вже не в політику ІБ, а в управління інцидентами. Ось у політиці у вас має бути прописано, що у компанії має бути присутня система обробки інцидентів.

Тобто, як бачите, адміністративне виконання політики покладається здебільшого на адмінів та безпечників. Користувачам залишається користувальницьке.

Отже, вам необхідно скласти якийсь "Порядок використання СВТ у компанії", де ви повинні вказати обов'язки користувачів. Цей документ має корелювати з політикою ІБ і бути її, так би мовити, роз'ясненням користувача.

У цьому документі можна зазначити, що користувач зобов'язаний повідомляти про ненормальну активність комп'ютера відповідну інстанцію. Ну і все інше користувальницьке ви можете додати туди.

Разом, у вас виникає необхідність ознайомити користувача з двома документами:

  • політикою ІБ (щоб він розумів, що й навіщо робиться, не рипався, не лаявся при впровадженні нових систем контролю тощо)
  • цим «Порядком використання СВТ у компанії» (щоб він розумів, що робити в конкретних ситуаціях)

Відповідно, при впровадженні нової системи, ви просто додаєте щось до «Порядку» і повідомляєте співробітників про це за допомогою розсилки порядку електропоштою (або через СЕД, якщо така є).

Теги: Додати теги



ПОХОДЖЕННЯ СТАТТІ