вторник, 9 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 9

В этой части рассмотрены следующие вопросы:
  • Политики, стандарты, базисы, руководства и процедуры
  • Политика безопасности
  • Стандарты
  • Базисы
  • Руководства
  • Процедуры
  • Внедрение


Обновлено: 01.03.2010

Компьютеры и обрабатываемая ими информация обычно имеют прямое отношение к критичным целям и миссии компании. Поэтому для высшего руководства обеспечение безопасности должно иметь высокий приоритет., а подход руководства должен быть комплексным. Руководством должна обеспечиваться необходимая поддержка, финансирование, выделение других необходимых ресурсов. У каждого сотрудника в компании есть свои взгляды на безопасность, обусловленные его ценностями и опытом в данной сфере. Важно, чтобы эти взгляды соответствовали тому уровню безопасности, в котором нуждается компания.

Высшее руководство должно определить область безопасности, решить, что нуждается в защите и в какой степени. Руководство должно понимать требования, законы и обязательства, которым должна соответствовать компания. Также оно должно определить, что ожидается от сотрудников и каковы для них последствия нарушения требований. Эти решения должны быть сделаны людьми, которые в конечном счете несут ответственность, если что-то в компании идет не так.

Программа безопасности включает все необходимые части для защиты компании в целом и определяет долгосрочную стратегию безопасности. Программа безопасности должна содержать политики, процедуры, стандарты, руководства, базисы, обучение по вопросам безопасности, план реагирования на инциденты, программу соответствия требованиям. К подготовке этих компонентов должны привлекаться департамент по работе с персоналом и юридический департамент.

Разработчиками политики должны быть проанализированы такие вопросы, как "язык", уровень детализации, степень формальности политики и механизмы ее поддержки. Все документы по безопасности должны быть реалистичны, это позволит им быть эффективными. Кроме того, документы должны быть в меру детализированными, так как излишне детализированные документы скорее всего будут чересчур утомительными и сложными для восприятия, что сильно снизит их эффективность. Также следует учитывать, что более формальные требования проще внедрить. "Язык" документов должен соответствовать типу бизнеса, его целям, культуре компании, а также ориентироваться на ту аудиторию, для которой предназначается документ (для руководителей, для рядовых сотрудников, для ИТ-сотрудников и т.д.).

6.1. Политика безопасности

Политика безопасности – это всеобъемлющее основное заявление высшего руководства компании, указывающее роль безопасности в организации. Политика должна быть независимой с точки зрения технологий и решений. Она должна очерчивать цель и миссию, но не привязывать компанию к конкретным способам их достижения.

Политика безопасности может быть организационной, ориентированной на задачи или ориентированной на системы. В организационной политике безопасности (organizational security policy) руководство устанавливает порядок внедрения программы безопасности, определяет цели программы, распределяет ответственность, показывает стратегическое и тактическое значение безопасности, указывает как все это будет реализовано. Такая политика должна учитывать законы, требования, обязательства, описывать порядок обеспечения соответствия им. Организационная политика безопасности определяет область и направление всей будущей деятельности по безопасности в компании. Также она описывает величину риска, которую высшее руководство считает приемлемой.
Зачем нужны политики? Ниже приводится краткое резюме в отношении важности политики безопасности:
  •  Определяет активы, которые компания считает ценными
  •  Предоставляет полномочия группе безопасности и ее деятельности
  •  Является основанием в процессе разрешения возникающих конфликтов, связанных с безопасностью
  •  Фиксирует цели и задачи компании, относящиеся к безопасности
  •  Очерчивает персональную ответственность
  •  Помогает предотвратить необъяснимые события (сюрпризы)
  •  Определяет границы работы и функции для группы безопасности
  •  Очерчивает обязанности в отношении реагирования на инциденты
  •  Очерчивает действия компании в части должной заботы, связанной с требованиями законодательства, регуляторов и стандартов
Организационная политика безопасности имеет несколько важных характеристик, которые должны быть поняты и внедрены:
  • Бизнес-цели должны управлять созданием, внедрением и исполнением политики. Политика не должна создавать бизнес-цели.
  • Политика должна быть простой для понимания и использоваться как ориентир всеми сотрудниками и руководством компании.
  • Политика должна быть разработана и использоваться для интеграции безопасности во все бизнес-функции и процессы компании.
  • Политика должна учитывать все законы и требования, предъявляемые к компании.
  • Политика должна пересматриваться и модифицироваться при изменениях самой компании, таких как принятие новой модели бизнеса, объединение с другой компанией или изменение владельца компании.
  • Каждое обновление политики должно быть датировано и ему должен быть присвоен номер версии.
  • Подразделения и сотрудники, которые руководствуются политикой, должны иметь доступ к той части политики, которая применима к ним. Не нужно требовать от них читать всю политику, чтобы найти ответы на свои вопросы.
  • Политика должна быть рассчитана на несколько лет вперед и учитывать возможные изменения безопасности окружения, которые могут произойти в ближайшем будущем.
  • Следует использовать прямой и командный язык. Слова типа «следует» или «может» нужно заменить на «должен».
  • Уровень профессионализма в презентации политик усиливает их значимость и заставляет присоединиться к ним.
  • Политика не должна содержать формулировок, которые могут быть понятны не всем. Используйте ясные и декларативные заявления, которые легко понять и принять.
  • Политика должна пересматриваться на регулярной основе и адаптироваться с учетом инцидентов, которые произошли с момента последнего пересмотра Политики.
Должен быть разработан и внедрен четкий и понятный порядок применения мер воздействия в отношении тех, кто не соблюдает требования политик безопасности. Это позволяет всем понять не только то, что от них ожидается, но и каковы будут последствия несоблюдения.

Политика, ориентированная на задачи (issue-specific policy), учитывает конкретные вопросы безопасности, которые руководство считает необходимым разъяснить и акцентировать на них внимание, чтобы убедиться в создании всеобъемлющей структуры безопасности и понимании всеми сотрудниками, как они должны исполнять задачи безопасности. Примером такой политики может быть политика использования электронной почты, которая описывает цели и порядок использования электронной почты сотрудниками компании, устанавливает меры ответственности за нарушение требований политики, а также определяет все действия, которые может производить руководство с электронной перепиской сотрудников для выполнения задач контроля использования электронной почты, а также для выявления возможной утечки конфиденциальной информации.  

Политика, ориентированная на системы (system-specific policy), описывает решения руководства в отношении конкретных компьютеров, сетей, приложений и данных. Такой тип политики может содержать, например, принятый в компании список программного обеспечения, которое может быть установлено на рабочие станции компании. Ориентированная на системы политика может описывать как базы данных должны использоваться и защищаться, как должны работать межсетевые экраны, системы выявления вторжений (IDS), сканеры и т.д.

Политики пишутся в широких терминах и покрывают множество однотипных устройств. Более детализированные документы требуют частой актуализации – ими являются процедуры, стандарты, руководства, а политики предоставляют основу. Процедуры, стандарты и руководства составляют структуру безопасности. А необходимые компоненты и механизмы безопасности заполняют эту структуру, обеспечивая выполнение программы безопасности и предоставляя защищенную инфраструктуру.
Типы политик. Политики в основном попадают в одну из следующих категорий:
  • Регулирующая (regulatory), обеспечивающая следование компании набору специальных отраслевых требований и стандартов. Такая политика очень детальна и зависит от отрасли компании. Используется в финансовых, медицинских и других управляемых государством отраслях.
  • Рекомендательная (advisory), настоятельно рекомендующая сотрудникам придерживаться определенного поведения, указывающая разрешенные и запрещенные в компании действия и предусматривающая последствия для сотрудников за нарушения. Такая политика может использоваться, например, для описания порядка обращения с конфиденциальной информацией, финансовыми транзакциями.
  • Информативная (informative), информирующая сотрудников по определенным вопросам, описывающая подход компании. Например, она может объяснять порядок общения с партнерами, цели и миссию компании и т.д.
6.2. Стандарты 

Стандарты (standards) – это обязательные действия или правила. Стандарты поддерживают и развивают политику по определенным направлениям. Стандарты могут быть внутренними и внешними (например, законодательство).

Стандарты могут, например, указывать как следует использовать программное обеспечение и оборудование, как следует вести себя пользователям. Они могут обеспечить единообразие технологий, приложений, параметров, процедур в рамках всей компании. Организационные стандарты могут требовать от всех сотрудников постоянно носить идентификационные бейджи (badge), чтобы было проще отличить сотрудников компании от посетителей.

Как было указано ранее, существует большая разница между стратегическими и тактическими целями. Стратегические цели описывают окончательный результат, а тактические – шаги его достижения. Стандарты, руководства и процедуры – это тактические инструменты для поддержания и достижения положений политики безопасности, которая соответствует стратегическим целям (см. Рисунок 1-9). 
Рисунок 1-9. Политика определяет стратегические планы, а нижестоящие документы обеспечивают тактическую поддержку. 

6.3. Базисы 

Базис (baseline) – это точка во времени, которая используется для сравнения с будущими изменениями. Когда риски снижены и меры безопасности внедрены, базисы пересматривают, чтобы иметь возможность более адекватно контролировать эффективность будущих изменений. Базис - это некий ориентир.

Например, ваш доктор говорит вам, что вы весите 200 килограмм потому что сидите на диете из пончиков, пиццы и газированной воды. Доктор говорит, что вам нужно ежедневно по 30 минут делать упражнения, в процессе которых ваш пульс должен увеличиваться вдвое по сравнению с нормальным пульсом. Как вы определите что ваш пульс увеличился вдвое? Вам нужно сначала определить свой нормальный пульс (базис), исходя из которого вы будете измерять свой пульс при выполнении упражнений.

Базисы также применяют как определение минимально необходимого уровня защиты для определенных типов систем. Например, компания может поставить требование, что все ее бухгалтерские системы должны соответствовать 4 уровню требований EAL (Evaluation Assurance Level). Правильная настройка соответствующих требованиям систем будет являться необходимым базисом. Однако нужно учитывать, что установка нового программного обеспечения, обновлений, патчей, либо проведение других изменений может привести к снижению уровня защиты ниже минимального уровня (базиса). Поэтому сотрудники безопасности должны предварительно оценивать все планируемые изменения, чтобы обеспечить постоянное соблюдение базисного уровня безопасности.
ПРИМЕЧАНИЕ. Базисы не следует жестко ориентировать на конкретные технологии, применяемые в компании.

ПРЕДУПРЕЖДЕНИЕ. Термин "базис" часто интерпретируется по-разному в различных отраслях. Чаще всего базисом называется определенная конфигурация программного или аппаратного обеспечения, обеспечивающая минимально необходимый уровень безопасности.
6.4. Руководства 

Руководства (guidelines) описывают рекомендующиеся действия и являются эксплуатационными инструкциями для пользователей, ИТ-специалистов и других сотрудников, там, где не применяются соответствующие стандарты. Рекомендации могут касаться технологических методик, персонала или физической безопасности.

Рекомендации, в отличии от обязательных к исполнению жестких стандартов, показывают основной подход, имеющий определенную гибкость в непредвиденных обстоятельствах. Например, политика может потребовать, чтобы доступ к конфиденциальным данным регистрировался. Поддерживающие политику руководства в дальнейшем поясняют, что регистрируемые события должны содержать достаточно информации для отслеживания фактов доступа. Поддерживающие политику процедуры описывают необходимые шаги конфигурации, внедрения и сопровождения этого типа аудита. 

6.5. Процедуры 

Процедуры (procedures) – это детальные, описанные «шаг за шагом» задачи, выполняемые чтобы достичь определенной цели. Шаги могут выполняться пользователями, ИТ-специалистами, сотрудниками безопасности и другими сотрудниками, выполняющими специфические задачи. Многие компании пишут процедуры установки операционных систем, настройки механизмов безопасности и списков контроля доступа, регистрации новых пользователей, присвоения им привилегий, ведения аудита журналов регистрации событий, уничтожения информации, отчета об инцидентах и т.д.

Процедуры занимают низший уровень в цепочке политик, т.к. они относятся к компьютерам и пользователям и описывают, например, шаги по настройке конфигурации или инсталляции ПО.

Процедуры детально описывают, как политики, стандарты и рекомендации будут фактически внедряться в операционную среду. Например, если стандарт требует создания резервных копий, процедуры описывают детальные шаги, необходимые для выполнения резервного копирования, время создания копий, место для размещения копий и т.д. Процедуры должны быть достаточно детальны, чтобы быть понятными и полезными различным группам людей.

Чтобы связать все эти элементы вместе, давайте рассмотрим пример. Корпоративная политика безопасности указывает, что конфиденциальная информация должна быть защищена. Это очень широкая и общая формулировка. Поддерживающий политику стандарт требует шифровать всю клиентскую информацию при ее хранении в базах данных с помощью алгоритма AES, а при передаче через Интернет использовать технологию IPSec. По сравнению с политикой, стандарт более детален – он содержит информацию о конкретных типах защиты. Поддерживающие процедуры детально объясняют процесс внедрения и использования технологий AES и IPSec, а руководства разъясняют что следует делать при умышленном повреждении данных или их компрометации в процессе передачи. Все эти документы работают совместно для обеспечения структуры безопасности компании.
ПРИМЕЧАНИЕ. Не следует объединять стандарты, руководства и базисы в один большой документ, т.к. каждый из них имеет свою цель и свою аудиторию.
6.6. Внедрение

Политики безопасности и поддерживающие их документы должны быть не только разработаны, но и внедрены. Для всех документов должно быть обеспечено их исполнение.
Сотрудники должны узнавать о безопасности именно из этих документов, поэтому они должны быть доступны. Для доведения документов до сведения сотрудников можно использовать тренинги по вопросам безопасности, инструкции, презентации, письма, баннеры и т.д. Сотрудники должны понимать, что от них ждут, как они должны вести себя, какая требуется отчетность. Следует информировать сотрудников о последствиях несоблюдения требований и об их ответственности.

Внедрение в реальную работу политик безопасности и поддерживающих их документов показывает действительную заботу компании о своей безопасности.

2 комментария:

eagle комментирует...

Расширен список характеристик организационной политики безопасности

eagle комментирует...

- А. Лукацкий. Что такое политика безопасности? http://daily.sec.ru/publication.cfm?rid=45&pid=16421&pos=8&stp=50