Политики безопасности компании при работе в Интернет - Сергей Петренко

• средний уровень – стандарты и руководства;

• низший уровень – процедуры.

Далее документы разбиваются на следующие основные категории:

• утверждение руководства о поддержке политики информационной безопасности;

• основные политики компании;

• функциональные политики;

• обязательные стандарты (базовые);

• рекомендуемые руководства;

• детализированные процедуры.

Стандарты детализируют различия по настройке безопасности в отдельных операционных системах, приложениях и базах данных.

Руководства представляют из себя рекомендуемые, необязательные к выполнению действия по предупреждению проблем, связанных с различными аспектами информационной безопасности.

Процедуры – детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять.

При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип «знать только то, что необходимо для выполнения служебных обязанностей» и использовать разделение обязанностей на критичных системах.

Различают следующие типы политик безопасности:

•  направленные на решение конкретной проблемы – примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Интернета;

•  программные – высокоуровневые политики, определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов;

•  применяемые к конкретной среде – например, каждая операционная система требует отдельного стандарта по ее настройке.

Рекомендуемые компоненты политики безопасности:

• цель,

• область действия,

• утверждение политики,

• история документа,

• необходимость политики,

• какие политики отменяет,

• действия по выполнению политики,

• ответственность,

• исключения,

• порядок и периодичность пересмотра.

Организация SANS разработала ряд шаблонов политик безопасности:

• политика допустимого шифрования,

• политика допустимого использования,

• руководство по антивирусной защите,

• политика аудита уязвимостей,

• политика хранения электронной почты,

• политика использования электронной почты компании,

• политика использования паролей,

• политика оценки рисков,

• политика безопасности маршрутизатора,

• политика обеспечения безопасности серверов,

• политика виртуальных частных сетей,

• политика беспроводного доступа в сеть компании,

• политика автоматического перенаправления электронной почты компании,

• политика классификации информации,

• политика в отношении паролей для доступа к базам данных,

• политика безопасности лаборатории демилитаризованной зоны,

• политика безопасности внутренней лаборатории,

• политика экстранет,

• политика этики,

• политика лаборатории антивирусной защиты.

2.6.2. Пример политики аудита безопасности [11]

Цель. Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых других компонент информационных систем компании.

Аудит может быть проведен для:

• гарантии целостности, конфиденциальности и доступности информационных ресурсов компании;

• расследования возможных инцидентов в области безопасности компании;

• мониторинга деятельности сотрудников и активности информационной системы в целом.

Область действия. Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки класса «отказ в обслуживании».

Политика. Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения аудита безопасности (технические проекты, карта сети, положения и инструкции и пр.).

Доступ к информационной системе включает:

• доступ на уровне пользователя или системный доступ к любому оборудованию системы;

• доступ к данным (в электронном виде, в виде бумажных копий и т. д.), которые создаются, передаются и хранятся в системе;

• доступ в помещения (лаборатории, офисы, серверные и т. д.);

• доступ к сетевому трафику.

Управление сетью. Если в компании доступ из корпоративной сети в Интернет обеспечивается сторонней организацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.

Уменьшение производительности и/или недоступность сервиса. Компания освобождает аудиторов от любой ответственности, связанной с уменьшением сетевой производительности или недоступностью сервисов, вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.

Контактные лица компании при проведении аудита. Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам, возникающим во время проведения аудита безопасности.

Период сканирования. Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.

Процесс оценки рисков. Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.

Ответственность. К любому сотруднику компании, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Глава 3 РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО СОЗДАНИЮ ПОЛИТИК БЕЗОПАСНОСТИ

В последнее время в разных странах появилось новое поколение стандартов в области информационной безопасности, посвященных практическим вопросам обеспечения информационной безопасности в компаниях и организациях. Это, прежде всего, международные стандарты ISO/IEC 17799:2005 (BS 7799-1:2002), ISO/IEC 15408, ISO/IEC TR 13335, германский стандарт BSI IT Protection Manual, стандарты NIST США серии 800, стандарты и библиотеки CobiT, ITIL, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. В соответствии с названными стандартами политики безопасности компании должны явно определять следующее:

• предмет политики безопасности, основные цели и задачи политики безопасности;

• условия применения политики безопасности и возможные ограничения;

• описание позиции руководства компании по отношению к выполнению политики безопасности и организации режима информационной безопасности компании в целом;

• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;

• порядок действий в чрезвычайных ситуациях в случае нарушения политики безопасности.

В этой главе нам предстоит рассмотреть, насколько рекомендации перечисленных стандартов безопасности могут быть полезны для разработки политик безопасности в отечественных компаниях.

3.1. Стандарты ISO/IEC 17799:2005 (BS 7799-1:2002)

В настоящее время международный стандарт ISO/IEC 17799:2005 (BS 7799-1:2002) «Управление информационной безопасностью – Информационные технологии» («Information Technology – Information Security Management») является наиболее известным стандартом в области защиты информации (см. рис. 3.1). Алгоритм применения стандарта ISO 17799 представлен на рис. 3.2. Данный стандарт был разработан на основе первой части британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» («Information Security Management – Part 1: Code of Practice for Information Security Management») и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2005 (BS 7799-1:2002) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий (см. рис. 3.3):

• необходимость обеспечения информационной безопасности;

• основные понятия и определения информационной безопасности;

• политика информационной безопасности компании;

• организация информационной безопасности на предприятии;

• классификация и управление корпоративными информационными ресурсами;

• вопросы безопасности, связанные с персоналом;