Оглавление

Введение 2

1. Политика безопасности: основное содержание 2

1.1. Новые нормативные требования, касающиеся политики безопасности организации 2

1.2. ГОСТ 15408 - «Критерии оценки безопасности информационных технологий» 3

1.3. ISO 17799-неформальный подход к разработке политики безопасности 3

1.4. Пример структуры неформальной политики безопасности 5

1.5. Формализация положений политики безопасности 6

2. Идентификация системы. 7

3. Средства управления. 7

4. Функциональные средства. 7

5. Технические средства. 8

2. Разработка политики безопасности организации: средства автоматизации 10

2.1. Особенности разработки политики безопасности 10

2.2. COBRA: неформальные советы мудрой змеи 10

2.3. КОНДОР: ISO 17799 с высоты птичьего полета 12

2.4. CC Toolbox: автоматизация разработки формальной политики безопасности 13

Заключение 14

Список использованной литературы 14

Введение

         Современная лицензионная политика в области безопасности информации определяет наличие у  организаций, разрабатывающих средства защиты информации (СЗИ) или оказывающих  услуги по защите информации, документа, в котором определены концептуальные и общеорганизационные вопросы  информационной безопасности (ИБ). Традиционно  в мировой практике такой документ называется политикой безопасности (ПБ) организации, однако в нашей  стране до недавнего времени отсутствовали  какие-либо четкие требования к документу  такого рода. Актуальность разработки ПБ возникла с формированием новейшей нормативной базы в области ИБ, в первую очередь ГОСТ 15408-02, ГОСТ 15.002-00, а также ожидаемой отечественной  редакцией ISO 17799. Структура и общие  вопросы разработки ПБ с учетом новейшей нормативной базы по ИБ и рассматриваются  в данной статье.

1. Политика безопасности: основное содержание

         1.1. Новые нормативные  требования, касающиеся  политики безопасности  организации

         Общепринято понимать под ПБ документ, в котором отражены основные направления, цели и задачи, свои обязательства и важнейшие  принципы деятельности предприятия  в области защиты информации, официально сформулированные его высшим руководством и принятые к обязательному выполнению на предприятии. До недавнего времени  необходимость в разработке ПБ в  основном определялась пониманием руководства организации проблемы защиты ресурсов компьютерных систем и сетей организации.

          Отношение к  ПБ поменялось со становлением  новой нормативной базы ИБ, с  одной стороны, и совершенствованием  требований лицензионных органов  и центров к предприятиям, выпускающим  продукцию или оказывающих услуги в области ИБ, с другой.

          Наиболее явно  требования к документальному  определению вопросов ИБ указаны  для предприятий, выпускающих оборонную продукцию, в ГОСТ 15.002-2000, где предусматривается обязательная программа обеспечения безопасности как часть политики качества. Указанный документ должен включать совокупность процедур, мероприятий и процессов обеспечения безопасности разработки (производства) СЗИ (составляющей гостайну), согласуется с представителем заказчика и подлежит обязательному инспекционному контролю. Однако определение и требования к содержанию собственно ПБ даны во вступившем в силу с 2004 года ГОСТ 15408-02 и международном стандарте ISO 17799, российская редакция которого ожидается в самое ближайшее время. Рассмотрим данные стандарты более подробно.

         1.2. ГОСТ 15408 - «Критерии  оценки безопасности  информационных технологий»

         Согласно ГОСТ 15408 «Критерии оценки безопасности информационных технологий» (КОБИТ), ПБ организации - это  одно или несколько правил, процедур, практических приемов или руководящих  принципов в области безопасности, которыми руководствуется организация в своей деятельности. ПБ является одним из компонентов среды безопасности, включающей также законы, опыт, специальные навыки, знания и угрозы безопасности, присутствие которых в этой среде установлено или предполагается. Изложение ПБ организации включается в такие документы, как Профиль защиты и Задание по безопасности. В дальнейшем положения ПБ используются при формулировании Целей безопасности для объекта оценки и его среды. Также подчеркивается необходимость наличия механизмов проверки соответствия объекта оценки ПБ.

         Тем самым ПБ рассматривается  в КОБИТ, прежде всего, как одно из базовых начальных условий для  разработки и оценки информационной системы. Однако определение ее чрезвычайно туманно, и, хотя круг вопросов, подлежащих формализации в рамках ПБ, очерчен, конкретные особенности разработки этого документа не затрагиваются. Более того, КОБИТ оставляют за рамками рассмотрения целый ряд проблем, традиционно включаемых в понятие «политика безопасности»: это и административные меры, и физическая защита, и вопросы управления персоналом. Такой подход, обеспечивающий некоторую дополнительную универсальность, подчеркивается самими разработчиками КОБИТ. Таким образом, сами по себе КОБИТ не содержат практических рекомендаций по разработке ПБ, а являются некоторым метастандартом, позволяющим формализовать отдельные аспекты ПБ, что мы покажем ниже.

          Следует отметить, что некоторые организационные  вопросы ИБ определены в документе  «Общая методология оценки безопасности  информационных технологий», разработанного  в рамках международного проекта  «Общих критериев» (Common Criteria for IT Security Evaluation), однако не имеющего пока нормативного аналога в нашей стране.

         1.3. ISO 17799-неформальный  подход к разработке  политики безопасности

         Документ ISO 17799 состоит  из двух частей. Первая -«Практические рекомендации» - определяет и рассматривает следующие аспекты ИБ:

          • политика  безопасности;

          • организация  защиты;

          • классификация  и управление информационными  ресурсами; 

          • управление  персоналом;

          • физическая  безопасность;

          • администрирование  компьютерных систем и сетей; 

          • управление  доступом к системам;

          • разработка  и сопровождение систем;

          • планирование  бесперебойной работы организации; 

          • проверка  системы на соответствие требованиям  ИБ.

          Вторая часть  - «Спецификации системы» - рассматривает  те же аспекты с точки зрения  сертификации информационной системы  на соответствие требованиям  стандарта. 

          Очевидно, что  положения стандарта ISO 17799 как  нельзя более удачно дополняют  КОБИТ. 

         Обратим внимание на требования стандарта по инвентаризации информационной инфраструктуры, подлежащей защите. Помимо программно-аппаратных, информационных и коммуникационных ресурсов, сюда следует отнести имеющиеся  в организации нормативные документы, которые не должны вступать в противоречие с положениями ПБ. Обрабатываемая в рамках защищаемой системы информация подлежит катего-рированию по уровню секретности или конфиденциальности.

          Соответствие  законодательству также является  одним из важнейших аспектов  разработки ПБ, зачастую определяющим  значительную часть используемых  технологий защиты (классический  пример для России - ограничения  по легальному использованию  криптографических средств). Во избежание  возможных осложнений соответствующие  вопросы должны быть согласованы  с экспертом по правовому обеспечению  ИБ.

          Подчеркнем также  важную роль раздела, определяющего  ответственность за обеспечение  ИБ. Хотя традиционно персональную  ответственность за проведение  мер по обеспечению ИБ несет  руководитель организации, необходимо  четкое распределение должностных  обязанностей и ответственности  между конкретными должностными  лицами. Каждый сотрудник должен  четко представлять свои обязанности  в области защиты информации  и ответственность за их невыполнение.

          Обучение персонала  в области ИБ должно проводиться  непрерывно, как в процессе работы, так и по мере необходимости  в специализированных учебных  центрах. Соответствующий раздел  ПБ должен содержать обязанности  должностных лиц по консультированию  и инструктированию пользователей  информационной системы, а также  порядок прохождения профессиональной  переподготовки.

          Следует отметить, что ПБ не является и не  может являться единственным  документом, регламентирующим процесс  обеспечения ИБ организации. Одновременно  с ПБ должны быть разработаны  подробные инструкции, относящиеся  к конкретным вопросам реализации  ПБ. Если сама ПБ является документом  статичным, определяется общей  инфраструктурой организации и  подлежит корректировке только  в случае ее коренного изменения,  то инструкции должны непрерывно  обновляться и совершенствоваться  по ходу модернизации информационной  системы предприятия. Общие рекомендации  по настройке СЗИ (безотносительно  к конкретным продуктам) целесообразно  включить в состав ПБ, конкретные  же рекомендации по безопасному  конфигурированию приложений разрабатываются  администратором ИБ в виде  одной или нескольких инструкций.

          Особняком среди  инструкций стоит план обеспечения  непрерывности ведения бизнеса.  Часто этот вопрос выносится  за рамки проблематики ИБ - и  совершенно неоправданно, поскольку  при разработке такого плана  необходимо полагаться, прежде всего,  на анализ рисков безопасности, выполняемый в рамках общего  аудита безопасности системы.  Конкретная методология анализа  рисков стандартом не регламентируется  и может быть выбрана исходя  из сложившихся на предприятии  подходов к управлению рисками  или же на базе одной из  общеизвестных методик. Ручной  анализ рисков является трудоемким  и для больших компаний вряд  ли целесообразен, поэтому рекомендуется  применение автоматизированных  систем управления рисками. (RiskWatch, BRA и др.). Ключевой момент обеспечения непрерывности деятельности информационной системы - выделение критических компонентов этой системы и четкая отработка мероприятий по их восстановлению в случае поражения. Дополнительным методом обеспечения непрерывности деятельности, хотя и менее результативным, является страхование, позволяющее значительно снизить ущерб в случае реализации выявленных угроз.

1.4. Пример структуры  неформальной политики  безопасности

         Исходя из рассмотренных  выше положений стандарта ISO 17799, можно  предложить следующую структуру  типовой ПБ организации.

          1. Общие положения. 

          1.1. Назначение документа. 

          1.2. Основания для  разработки документа. 

          1.3. Основные определения. 

          2. Идентификация  системы. 

          2.1. Идентификатор  и имя системы. 

          2.2. Ответственные  подразделения. 

          2.3. Режим функционирования  системы. 

          2.4. Описание и  цели системы. 

          2.5. Цели и задачи  ПБ.

          2.6. Системная среда. 

          2.6.1. Физическая организация  системы. 

          2.6.2. Логическая организация  системы. 

          2.7. Реализованные  сервисы системы. 

          2.8. Общие правила,  принятые в системе.