Лекция 4 Политика безопасности (ПБ) информационного объекта
Самое близкое по смыслу определение слова 'политика', которое можно найти в словаре - это: "план или курс действий, как для правительств, политических партий, или структур бизнеса, предназначенный, чтобы определить или повлиять на решения, действия и другие вопросы" (American Heritage Dictionary of the English language) В терминах же компьютерной безопасности политику можно определить как изданный документ (или свод документов), в котором рассмотрены вопросы философии, организации, стратегии, методов в отношении конфиденциальности, целостности и пригодности информации и информационных систем. Таким образом, ПБ ИО – это совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов [3]
Опыт показал, что одним из факторов для успеха в обеспечении информационной безопасности в пределах организации являются ПБ, задачи и действия, отражающие производственные цели, а также предоставление руководства по политике информационной безопасности и стандарта всем служащим и подрядчикам [2. c. VII]. Поэтому задача ПБ состоит в том [2. c. 1], чтобы сформулировать цели политики информационной безопасности и обеспечить ее поддержку руководством организации. Администрация должна поставить четкую цель и оказывать всестороннюю поддержку информационной безопасности посредством распространения политики безопасности среди сотрудников организации
Средства управления, считающиеся общепринятой, лучшей технологией информационной безопасности, должны обеспечивать, среди других положений, [2, c. VII] выдачу документа, содержащего описание политики безопасности организации. Указанные средства управления информационной безопасностью, применимы в большинстве организаций и окружающих сред. Целесообразность выбора любого из средств управления должна определяться в свете конкретных рисков, присущих организации. Вышеупомянутый подход рассматривается как хорошая отправная база, но выбор средства управления должен основываться на оценке риска [2. c. VII].
4.1 Рекомендуемые области разработки ПБ
Институт SANS (www.sans.org) подготовил «The SANS Security Policy Project»,который содержит большой репозитарий готовых ПБ на разные случаи жизни, распространяемых бесплатно. Также здесь можно найти интересные ссылки на ресурсы, посвященные разработке ПБ. Среди готовых ПБ Института SANS имеются политики, охватывающие следующие области разработки ПБ:
· допустимое шифрование,
· допустимое использование,
· аудит безопасности,
· оценка рисков,
· классификация данных,
· управление паролями,
· использование ноутбуков,
· построение демилитаризованной зоны,
· построение Экстранет,
· безопасностей рабочих станций и серверов,
· антивирусная защита,
· безопасность маршрутизаторов и коммутаторов,
· безопасность беспроводного доступа,
· организация удалённого доступа,
· построение виртуальных частных сетей (VPN),
· безопасность периметра.
4.2 Основные требования к ПБ
ПБ должна придерживаться содержания, изложенного ниже в подразделе 4.5. Согласно [3] ПБ должна быть: а) реалистичной, б) выполнимой, в) краткой, г) понятной, д) не приводить к существенному снижению общей производительности бизнес-подразделений компании. На практическом занятии будут рассмотрены случаи, когда ПБ не отвечала перечисленным требованиям. По мнению специалистов компании CISCO желательно, чтобы описание ПБ занимало не более 2 (максимум 5) страниц. При этом важно учитывать, как ПБ будет влиять на уже существующие информационные системы компании. Как только ПБ утверждена, она должна быть представлена сотрудникам компании для ознакомления. Наконец, ПБ необходимо пересматривать ежегодно, чтобы отражать текущие изменения в развитии бизнеса компании. В организации должен быть [2. c. 2] ответственный за реализацию политики, ее поддержку и пересмотр в соответствии с определенным процессом пересмотра. Этот процесс должен гарантировать, что пересмотр политики осуществляется в ответ на изменения, затрагивающие основы первоначальной оценки риска, например, важные инциденты безопасности, новые уязвимые места или изменения организационной или технической инфраструктуры. Рекомендуется планировать и периодически пересматривать:
a) эффективность политики, которую можно оценить в природе количеством и силой воздействия зарегистрированных инцидентов безопасности;
b) стоимость средств управления и их влияние на производственную эффективность;
c) эффект от изменений технологий.
Ответственность [2. c. 2] за обеспечение информационной безопасности несут все члены руководства. Поэтому руководству организации рекомендуется регулярно проводить совещания по проблемам защиты информации, с целью выработки четких указаний по этому вопросу, а также оказания административной поддержки инициативам по обеспечению безопасности. Эти совещания должны содействовать реализации процесса защиты в организации посредством принятия соответствующих обязательств и предоставления адекватных ресурсов. Совещание может быть частью существующего органа управления. Обычно на подобных совещаниях рассматриваются следующие вопросы:
а) анализ и утверждение политики информационной безопасности, распределение общих обязанностей;
b) мониторинг основных угроз, которым подвергаются информационные ресурсы;
c) анализ и слежение за инцидентами в системе безопасности;
d) утверждение основных инициатив, направленных на усиление защиты информации.
За координацию действий по проведению политики безопасности в жизнь должен быть ответственен один из членов руководства [2. c. 2]
В ПБ необходимо [2. c. 3] четко определить обязанности по защите отдельных ресурсов и выполнению конкретных процессов обеспечения безопасности.
ПБ информационной безопасности (раздел 3) должна давать общие рекомендации по распределению функций и обязанностей по защите информации в организации. Там, где необходимо, следует дополнить эти рекомендации более подробными разъяснениями, касающимися конкретных систем или сервисов. Рекомендуется назначить ответственных за конкретные физические и информационные активы и процессы обеспечения защиты такие, как планирование бесперебойной работы организации.
Во многих организациях общая ответственность за развитие и реализацию безопасности, а также за поддержку управления безопасностью возлагается на руководителя службы информационной безопасности. Однако за распределение ресурсов и реализацию управления часто несут ответственность отдельные руководители. Общепринято назначение для каждого информационного актива владельца, ответственного за его повседневную безопасность. Владельцы информационных активов могут делегировать свои полномочия по безопасности отдельным руководителям или поставщикам по предоставлению услуг (сервис-провайдерам). Тем не менее, владелец активов в конечном счете остается ответственным за безопасность актива и должен контролировать корректность выполнения делегированной ответственности.
Важно четко определить зоны ответственности каждого администратора, в частности следует отразить следующие положения:
а) различные активы и процессы обеспечения безопасности, связанные с каждой системой, необходимо идентифицировать и четко определить;
b) кандидатура администратора, отвечающего за каждый актив или процесс обеспечения защиты, должна быть одобрена, а его обязанности документально оформлены;
c) уровни полномочий необходимо четко определить и документально оформить [2. c. 3].
4.3 Эффективность и методы её оценки
Эффективность действия ПБ на предприятии можно оценивать количественно и качественно.
В [2, c. 2] указано, что средства управления информационной безопасностью должны обеспечивать регистрацию инцидентов безопасности и выдачу отчётов о происшедших инцидентах. Формы журналов для регистрации указанных инцидентов в рукописном или электронном виде, а также отчётов о происшедших инцидентах, насколько нам известно, не регламентированы, поэтому студентам представляется возможность самостоятельной разработки таких журналов. Далее отчёты о происшедших инцидентах должны анализироваться службой безопасности и руководством организации. В этом случае эффективность ПБ можно оценить количеством и силой воздействия зарегистрированных инцидентов безопасности. Таким образом можно произвести количественную оценку эффективности ПБ.
При качественной оценке эффективности ПБ следует помнить, что эффективные ПБ определяют (здесь и далее до конца подраздела материал заимствован из [6]) необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.
При разработке ПБ, которая «не рухнет под своим собственным весом», следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности. Очевидно, что меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.
Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.
Представьте себе ситуацию ожидания переключения сигнала светофора. Очевидно, что светофор предназначен для обеспечения безопасности дорожного движения, однако если движение по пересекаемой дороге отсутствует, то это ожидание выглядит утомительной тратой времени. Человеческое терпение имеет предел и если светофор долго не переключается, то у многих возникает желание проехать на красный. В конце концов, светофор может быть неисправен, либо дальнейшее ожидание является неприемлемым.
Аналогично, каждый пользователь ИС обладает ограниченным запасом терпения, в отношении следования правилам политики безопасности, достигнув которого он перестает эти правила выполнять, решив, что это явно не в его интересах (не в интересах дела). Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда «кто-то начинает двигаться на красный свет». Поэтому следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.
4.4 Жизненный цикл ПБ
В лекциях по организации производства введено понятие жизненного цикла (ЖЦ) изделия. Схожее по своей сути понятие введено международным и национальным стандартом для ЖЦ программного обеспечения. Поэтому ничто не мешает использовать понятие ЖЦ для ПБ. Возможен следующий вариант структуры ЖЦ ПБ:
Разработка ПБ – длительный и трудоемкий процесс (процесс разработки подробно описан в подразделе 4.5.3), требующий высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Эта ответственность обычно концентрируется на руководителе Отдела информационной безопасности, Главном офицере по информационной безопасности (CISO), Главном офицере безопасности (CSO), ИТ-директоре (CIO), либо на руководителе Отдела внутреннего аудита. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, который состоит из пяти последовательных этапов, описанных ниже.
4.4.1. Первоначальный аудит безопасности.Аудит безопасности – это процесс, с которого начинаются любые планомерные действия по обеспечению ИБ в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния ИБ, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам ИБ бизнес процессы.
4.4.2. Разработка.Аудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки ПБ. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению ИБ в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.
Разработка ПБ с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться существующими наработками, ограничившись адаптацией типового комплекта ПБ к специфическим условиям своей организации. Этот путь позволяет сэкономить многие месяцы работы и повысить качество разрабатываемых документов. Кроме того, он является единственно приемлемым в случае отсутствия в организации собственных ресурсов для квалифицированной разработки ПБ.
4.4.3. Внедрение.С наибольшими трудностями приходится сталкиваться на этапе внедрения ПБ, которое, как правило, связано с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно, либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно-технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации. Администраторов ИС может раздражать необходимость выполнения требований ПБ, усложняющих задачи администрирования. Помимо этого могут возникать и чисто технические проблемы, связанные, например, с отсутствием в используемом ПО функциональности, необходимой для реализации отдельных положений ПБ.
На этапе внедрения необходимо не просто довести содержание ПБ до сведения всех сотрудников организации, но также провести обучение и дать необходимые разъяснения сомневающимся, которые пытаются обойти новые правила и продолжать работать по старому. Чтобы внедрение завершилось успешно, должна быть создана проектная группа по внедрению ПБ, действующая по согласованному плану в соответствии с установленными сроками выполнения работ.
4.4.4. Аудит и контроль. Соблюдение положений ПБ должно являться обязательным для всех сотрудников организации и должно непрерывно контролироваться. Рассмотрение различных форм и методов контроля, позволяющих оперативно выявлять нарушения безопасности и своевременно реагировать на них, выходят за рамки данной статьи.
Проведение планового аудита безопасности является одним из основных методов контроля работоспособности ПБ, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесение в них необходимых корректировок.
4.4.5. Пересмотр и корректировка. Первая версия ПБ обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения ПБ и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению ИБ. В большинстве случаев ежегодный пересмотр ПБ является нормой, которая устанавливается самой политикой.
4.5 Содержание ПБ
4.5.1 Содержание ПБ. ПБ должна содержать основные цели и задачи организации режима информационной безопасности, чёткое описание области действия политики, а также указывать ответственных за её выполнение и их обязанности [3]
Документ о политике информационной безопасности должен быть [2. c. 2] одобрен руководством, опубликован и доведен до сведения всех сотрудников. В нем необходимо сформулировать обязательство по управлению и изложить подход организации к управлению информационной безопасностью. В него обязательно следует включить следующие положения:
а) определение информационной безопасности, ее основные цели и область применения, а также значение безопасности как механизма, позволяющего коллективно использовать информацию;
b) изложение позиции руководства по вопросам реализации целей и принципов информационной безопасности;
c) разъяснение конкретных положений политики безопасности, принципов, стандартов и требований к ее соблюдению, включая:
1) выполнение правовых и договорных требований;
2) требования к обучению персонала правилам безопасности;
3) политику предупреждения и обнаружения вирусов, а также другого вредоносного программного обеспечения;
4) политику обеспечения бесперебойной работы организации;
5) последствия нарушения политики безопасности;
d) определение общих и конкретных обязанностей по обеспечению режима информационной безопасности;
c) разъяснение процесса уведомления о событиях, таящих угрозу безопасности.
Данная политика должна быть доведена до всех сотрудников организации в релевантной, доступной и понятной заинтересованному лицу форме [2. c. 2].
4.5.2 Пример политики безопасности. Эталонная ПБ предприятия может включать в себя следующие разделы:
1. Общие положения
2. Политика управления паролями
3. Идентификация пользователей
4. Полномочия пользователей
5. Защита информационных ресурсов ИС от компьютерных вирусов
6. Правила установки и контроля сетевых соединений
7. Правила политики безопасности по работе с системой электронной почты
8. Правила обеспечения безопасности информационных ресурсов
Ниже представлены первые два раздела вышеназванной эталонной ПБ.
Раздел 1. Общие положения
Обеспечение информационной безопасности является необходимым условием для осуществления деятельности Предприятия. Нарушение информационной безопасности может привести к серьезным последствиям, включая потерю доверия со стороны клиентов и снижение конкурентоспособности.
Основой мер по обеспечению режима информационной безопасности административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности Предприятия определяет основные направления и требования по обеспечению информационной безопасности Предприятия.
Обеспечение безопасности информации включает в себя любую деятельность, направленную на защиту информации и/или поддерживающей инфраструктуры. Настоящая политика информационной безопасности охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является Предприятие. Положения настоящего документа относятся ко всему штатному персоналу, временным служащим и другим сотрудникам Предприятия, а также клиентам Предприятия и третьим лицам, имеющим доступ к автоматизированным и телекоммуникационным системам Предприятия.
Раздел 2. Политика управления паролями
Пользователи должны выбирать нестандартные пароли. Это означает, что пароли не должны быть связаны с занятиями или личной жизнью пользователей. Например, нельзя использовать в качестве пароля номер собственного автомобиля, имя супруги или часть адреса. Это также означает, что пароль не должен быть просто словом из словаря. Так, не должны использоваться в качестве паролей имена собственные, географические названия, технические термины и сленг. Если имеются соответствующие системные программные средства для осуществления контроля надежности назначаемых пользователям паролей, то необходимо использовать эти средства для того, чтобы запретить пользователям выбор легко угадываемых паролей.
Пользователи могут выбрать легко запоминающиеся пароли, которые в тоже время являются трудно угадываемыми для третьих лиц, если будет выполнено хотя бы одно из следующих условий:
· Несколько слов написаны слитно (такие пароли известны под названием «passphrases»);
· При наборе слова на клавиатуре использованы клавиши, смещенные относительно нужных, на один ряд вверх, вниз, вправо или влево;
· Слово набрано со смещением на определенное количество букв вверх или вниз по алфавиту;
· Комбинация цифр и обычного слова;
· Намеренно неправильное написание слова (но не обычная в данном слове орфографическая ошибка).
Рекомендуется, чтобы в пароле имелись не только буквы, но и другие символы, то есть цифры (0-9) и знаки пунктуации. Использование управляющих символов и прочих неотображаемых знаков не рекомендуется, поскольку из-за этого могут возникнуть проблемы при передаче данных по сети, неожиданно активизироваться определенные системные утилиты или возникнуть другие побочные эффекты.
Все пароли должны состоять не менее чем из шести символов. Длина паролей должна всегда автоматически проверяться в тот момент, когда пользователи создают или выбирают пароли. Пользователи не должны создавать пароли, которые идентичны или в значительной степени повторяют ранее используемые ими пароли. Если имеются соответствующие системные программные средства, необходимо запретить пользователям, повторно использовать свои предыдущие пароли.
Пароли не должны храниться в доступной для чтения форме в командных файлах, сценариях автоматической регистрации, программных макросах, функциональных клавишах терминала, на компьютерах с неконтролируемым доступом, а также в иных местах, где неуполномоченные лица могут получить к ним доступ. Например, ни в каких приложениях пользователи не должны выбирать такую опцию конфигурации, как автоматическое сохранение пароля.
Нельзя записывать пароли и оставлять эти записи в местах, где к ним могут получить доступ неуполномоченные лица. Пароль должен быть немедленно изменен, если имеются основания полагать, что данный пароль стал известен кому-либо еще, кроме самого пользователя.
4.5.3. Этапы разработки ПБ. Этап 1. Разработка ПБ. Стадия 1.1. Разработка концепции политики информационной безопасности.
Концепция политики ИБ – документ, в котором в самом общем виде сформулированы цели и приоритеты организации в области ИБ, намечены общие пути достижения этих целей. В результате выполнения этой стадии будет написан документ «Концепция политики ИБ», содержащий:
· общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки информации);
· формулировку целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей;
· основные классы угроз информационной безопасности, принимаемые во внимание при разработке подсистемы защиты;
· основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты.
Стадия 1.2. Описание границ системы и построение модели ИС с позиции безопасности
Описание границ системы выполняется по следующему плану:
· Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) системы ИБ.
· Размещение средств СВТ и поддерживающей инфраструктуры.
Затем строится модель информационной системы с позиции ИБ:
· Описываются ресурсы информационной системы, подлежащие защите.
o Рассматриваются ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО.
· Технология обработки информации и решаемые задачи.
o Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.
Исходными данными являются результаты обследования и ведомственные документы.
В результате выполнения этого этапа будет написан документ «Модель системы с позиции ИБ», содержащий следующие разделы:
· размещение средств СВТ и поддерживающей инфраструктуры
· описание информационных ресурсов, подлежащих защите, их категорирование;
· информационные процессы и их модель с позиции ИБ.
Стадия 1.3. Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рисков и оценка их параметров.
Содержание этой стадии рассмотрено на ПЗ 2.
Стадия 1.4. Анализ возможных вариантов контрмер и оценка их эффективности.
Содержание этой стадии рассмотрено на ПЗ 2.
Стадия 1.5. Выбор комплексной системы защиты на всех этапах жизненного цикла.
На этой стадии должны быть разработаны документы:
1.5.1 Организационно-распорядительные документы по обеспечению режима информационной безопасности.
1.5.1.1 План обеспечения режима информационной безопасности, содержащий:
· требования по организации и проведению работ по защите информации в АС,
· описание применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам применяемых средств защиты информации от НСД;
· распределение ответственности за реализацию "Плана " между должностными лицами и структурными подразделениями организации.
1.5.1.2 Категорирование информационных ресурсов и порядок обращения с ними:
· определение основных видов защищаемых информационных ресурсов;
· категории защищаемых ресурсов и критерии классификации ресурсов по требуемым степеням защищенности (категориям);
· определение мер и средств защиты информации, обязательных и рекомендуемых к применению на АРМ различных категорий;
· образец формуляра ЭВМ (для учета требуемой степени защищенности (категории), комплектации, конфигурации и перечня решаемых на ЭВМ задач);
· образец формуляра решаемых на ЭВМ АС функциональных задач (для учета их характеристик, категорий пользователей задач и их прав доступа к информационным ресурсам данных задач);
· общие вопросы организации учета, хранения и уничтожения носителей конфиденциальной информации;
· порядок передачи (предоставления) конфиденциальных сведений третьим лицам;
· определение ответственности за нарушение установленных правил обращения с защищаемой информацией;
· форма типового Соглашения (обязательства) сотрудника организации о соблюдении требований обращения с защищаемой информацией.
1.5.1.3 Положение об отделе защиты информации:
· общие положения, руководство отделом, основные задачи и функции отдела;
· права и обязанности начальника и сотрудников отдела, ответственность;
· типовую организационно-штатную структуру отдела.
1.5.1.4 Должностные инструкции:
· Обязанности администратора информационной безопасности;
· Обязанности персонала по обеспечению информационной безопасности
· Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС;
· Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС;
· Инструкция по организации парольной защиты;
· Инструкция по организации антивирусной защиты;
·
1.5.2. План обеспечения бесперебойной работы информационной системы, включающий:
· классификацию возможных (значимых) кризисных ситуаций и указание источников получения информации о возникновении кризисной ситуации;
· перечень основных мер и средств обеспечения непрерывности процесса функционирования АС и своевременности восстановления ее работоспособности;
· общие требования к подсистеме обеспечения непрерывной работы и восстановления;
· типовые формы для планирования резервирования ресурсов подсистем АС и определения конкретных мер и средств обеспечения их непрерывной работы и восстановления;
· порядок действий и обязанности персонала по обеспечению непрерывной работы и восстановлению работоспособности системы.