Читать книгу Политики безопасности компании при работе в Интернет - Группа авторов - Страница 39

Политика безопасности компании, с точки зрения IBM, должна содержать явный ответ на вопрос «Что требуется защитить?». Действительно, если руководство компании понимает, что необходимо защитить, какие информационные риски и угрозы информационным активам компании существуют, тогда можно приступать к созданию эффективной политики информационной безопасности. При этом политика безопасности является первым стратегическим документом, который необходимо создать и который содержит минимум технических деталей, будучи настолько статичным (неизменяемым), насколько возможно. Предполагается, что политика безопасности компании будет содержать:

• определение информационной безопасности с описанием позиции и намерений руководства компании по ее обеспечению;

• описание требований по безопасности, в которые входит:

– соответствие требованиям законодательства и контрактных обязательств;

– обучение вопросам информационной безопасности;

– предупреждение и обнаружение вирусных атак;

– планирование непрерывности бизнеса;

– определение ролей и обязанностей по различным аспектам общей программы информационной безопасности;

– описание требований и процесса отчетности по инцидентам, связанным с информационной безопасностью;

– описание процесса поддержки политики безопасности.

Компания IBM рекомендует выполнить следующие действия для разработки эффективной политики безопасности компании:

• анализ бизнес-стратегии компании и определение требований по информационной безопасности;

• анализ ИТ-стратегии, текущих проблем информационной безопасности и определение требований по информационной безопасности;

• создание политики безопасности, взаимно увязанной с бизнес– и ИТ-стратегиями.

В этом случае рекомендуемая структура руководящих документов по обеспечению информационной безопасности компании может быть представлена следующим образом (см. рис. 2.2).

Рис. 2.2. Структура руководящих документов безопасности

После создания корпоративной политики создается серия стандартов. Под стандартами IBM понимает документы, описывающие порядок применения корпоративной политики безопасности в терминах аутентификации, авторизации, идентификации, контроля доступа и т. д. Стандарты могут требовать частых изменений, так как на них оказывают влияние текущие угрозы и уязвимости информационных технологий.

В представлении IBM политики и стандарты безопасности создаются для:

• разработки правил и норм безопасности уровня компании;

• анализа информационных рисков и способов их уменьшения;

• формализации способов защиты, которые должны быть реализованы;

• определения ожиданий со стороны компании и сотрудников;

• четкого определения процедур безопасности, которым нужно следовать;

• обеспечения юридической поддержки в случае возникновения проблем в области безопасности.

Стандарты реализуются с помощью практик и/или процедур. Практики являются реализацией стандартов в операционных системах, приложениях и информационных системах. В них детализируются сервисы, устанавливаемые на операционных системах, порядок создания учетных записей и т. д. Процедуры документируют процессы запроса и подтверждения доступа к определенным сервисам, например VPN.

Рассмотрим особенности предлагаемого подхода IBM (рис. 2.3) на следующем примере:

• проблемная ситуация – сотрудники загружают программное обеспечение из сети Интернет, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности работы сотрудников компании;

• в политику безопасности добавляется строка – «информационные ресурсы компании могут быть использованы только для выполнения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудникам компании;

• создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспечение разрешены для использования сотрудниками;

• практика безопасности описывает, как настроить операционную систему в соответствии с требованиями стандарта безопасности;

• процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или установку дополнительного программного обеспечения сотрудниками;

• устанавливаются дополнительные сервисы для контроля выполнения требований политики безопасности.

Рис. 2.3. Подход IBM к разработке документов безопасности