Куканова Наталья (nataliya.kukanova@dsec.ru)
аналитик по информационной безопасности
Digital Security
(опубликовано в журнале "CNews")
Защиту большой информационной системы невозможно решить без грамотно разработанной документации по информационной безопасности — Политики безопасности. Именно она помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. Только всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система в этом случае — защищенной.
По мере роста компании увеличивается ее информационная система. Естественно, что, чем обширнее она становится, чем больше интегрирована с другими системам, тем важнее и труднее становится обеспечение ее информационной безопасности. Компонентов становится много, проследить их взаимосвязь — сложно, следовательно, увеличивается и количество средств защиты. В такой ситуации основной задачей становится не столько само по себе обеспечение безопасности, сколько его целесообразность и эффективность.
В большой информационной системе эту задачу невозможно решить без грамотно разработанной документации по информационной безопасности, которая помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. При разработке системы защиты информации, важно ничего не забыть, и, с другой стороны, не тратить излишние средства. Естественно, что только такая всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система — защищенной.
Главным документом в области обеспечения безопасности в соответствии с ISO 17799 является Политика безопасности. Именно она закладывает основу обеспечения и управления информационной безопасностью компании. Как действует Политика безопасности
Доступ к информационным активам компании может предоставляться сотрудникам компании, а также клиентам, подрядчикам и другим посторонним лицам. Следовательно, пользователями Политики безопасности являются все те, кто имеют доступ к информационным активам компании и от деятельности кого зависит обеспечение безопасности информации компании.
Одним из основных принципов эффективного обеспечения безопасности является вовлеченность руководства в этот процесс. Это важно, в первую очередь, для того, чтобы все сотрудники понимали, что инициатива обеспечения безопасности исходит не от специалистов по информационной безопасности, а от топ-менеджмента компании. Кроме этого, учитывая тот факт, что в настоящее время обеспечение информационной безопасности интересует клиентов и партнеров компании, подпись ее главного лица на основополагающем документе по информационной безопасности будет гарантировать, что компания серьезно относится к информационной безопасности и пользоваться предоставляемыми ею услугами неопасно. Следовательно, содержание политики безопасности должно излагаться от имени руководства компании.
В документе политики безопасности следует описать цели и задачи информационной безопасности, а также ценные активы компании, которые требуют защиты. Целями обеспечения информационной безопасности, как правило, является обеспечение конфиденциальности, целостности и доступности информационных активов, а также обеспечение непрерывности ведения бизнеса компании.
Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности и пр.
Ценные активы компании можно описать, например, так: «Положения настоящей Политики безопасности распространяются на все виды информации, хранящиеся или передающиеся в компании. В том числе, на информацию, зафиксированную на материальных носителях или передающуюся в устной или визуальной форме».
Основные принципы управления ИБ
В политике безопасности необходимо описать важность процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса.
Система управления информационной безопасностью, построенная в соответствии с ISO 27001, предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности следует описать процесс разделения обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании.
Кроме этого, следует описать основные этапы процессного подхода к обеспечению безопасности как основы эффективного управления. В частности, каждая процедура системы управления информационной безопасности должна последовательно проходить этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без тщательного документирования всех процедур — правильность и контролируемость выполнения процедуры зависит именно от наличия четко сформулированных правил ее выполнение. Кроме этого, важно определить, каким образом будет контролироваться эффективность функционирования всех процедур системы управления информационной безопасностью. В частности, следует описать правила ведения записей, подтверждающих выполнение процедур.
Организационная структура
С целью формализации процесса управления информационной безопасностью в компании требуется создание организационной структуры, которую необходимо описать в Политике безопасности.
В компании должны быть специалисты, непосредственно осуществляющие деятельность по управлению безопасностью — например, обучающие сотрудников компании, разрабатывающие критерии для оценки эффективности, планирующие мероприятия по управлению безопасностью и пр. Однако, кроме этого, учитывая тот факт, что процесс управления инициируется руководством компании и именно руководство его контролирует, следует создать рабочую группу по управлению информационной безопасностью. В рабочую группу, как правило, входят руководители различных подразделений компании. В обязанности группы входит утверждение документов по информационной безопасности, разработка и утверждение стратегии управления рисками, контроль выполнение процедур системы управления информационной безопасностью, оценка эффективности функционирования системы управления информационной безопасностью.
Основные подходы к управлению информационными рисками
Эффективная и экономически целесообразная система защиты информации строится на основе анализа информационных рисков. Без осознания того, что необходимо защищать и в какой степени, вряд ли удастся обеспечить требуемый уровень безопасности. Этот постулат требует своего отражения в Политике безопасности, как основа разработки системы обеспечения и управления безопасностью.
Кроме этого, следует описать основные принципы анализа и управления информационными рисками компании. В частности, отражаются следующие процедуры анализа и управления рисками — инвентаризация и категорирование информационных активов компании, аудит защищенности информационной системы, определение информационных рисков, определение уровня приемлемого риска, а также стратегии управлении рисками. Необходимо обратить особое внимание на то, что анализ информационных рисков — это регулярный процесс, который требуется выполнять с заданной периодичностью.
Основные требования к обеспечению ИБ
В Политике безопасности требуется кратко описать все процедуры системы обеспечения и управления информационной безопасностью. В частности, следует отметить такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, повышение квалификации сотрудников компании в области информационной безопасности, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее.
В описании каждой процедуры необходимо четко определить цели и задачи процедуры, основные правила выполнения процедуры, регулярность или сроки выполнение процедуры.
Как вариант составления процедуры обеспечения безопасности можно рассмотреть описание процедуры контроля доступа к информационным ресурсам компании: «В целях обеспечения конфиденциальности, целостности и доступности информационных активов в компании применяется процедура контроля доступа. Доступ пользователей к информационным активам компании предоставляется только на основе производственной необходимости. Использование информационных активов компании в личных целях запрещено. Для каждого пользователя создается уникальная учетная запись с назначенными правами доступа. Все права доступа пользователей к информационной системе компании документально зафиксированы в матрице доступа. Контроль назначения прав доступа осуществляется на всех этапах доступа пользователей к информационным активам, начиная с регистрации нового пользователя и вплоть до удаления учетной записи пользователя информационной автоматизированной системы. Пересмотр прав доступа пользователей осуществляется регулярно не реже двух раз в год или в случае изменения должностных обязанностей пользователя. .Требования и рекомендации к процессу управления доступом пользователей к информационной системе компании изложены в «Инструкции по управлению доступом к информационным активам»».
В Политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также — в соответствии с договором — на сторонних пользователей, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.
Пересмотр Политики безопасности
Естественно, что вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в систему управления информационной безопасностью, а также в Политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть период пересмотра Политики безопасности. Данный раздел Политики безопасности может быть изложен, например, следующим образом:
«Положения Политики безопасности требуют регулярного пересмотра и корректировки не реже одного раза в полгода. Внеплановый пересмотр Политики безопасности проводится в случае:
- внесения существенных изменений в информационную автоматизированную систему компании;
- возникновения инцидентов информационной безопасности.
При внесении изменений в положения Политики безопасности Компании учитываются:
- результаты аудита информационной безопасности;
- рекомендации независимых экспертов по информационной безопасности».
Ссылки на документы по информационной безопасности
Политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью. Следовательно, при описании процедур системы управления информационной безопасностью следует указывать ссылки на документы, в которых требования к процедуре изложены подробно.
Таким образом, в Политике безопасности описываются все необходимые требования к обеспечению и управлению информационной безопасностью, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования Политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании достигнет требуемого уровня, сотрудники компании будут осознавать свою роль и вовлеченность в процесс обеспечения безопасности. И, как следствие, требуемые информационные активы будут доступны в необходимые моменты времени, изменения будут вноситься только авторизованными пользователями, а конфиденциальность не будет нарушаться.
наверх
