Методика построения политики безопасности организации

Рассматривается современное состояние процесса разработки политики безопасности (ПБ) организаций. Предлагается формализованная методика построения политики безопасности на предприятии или организации.

Известно, что в процессе существования любой организации, предприятия или фирмы (в дальнейшем Компании) вопрос безопасности при работе с различными типами информации является актуальным, особенно, если это связано с применением компьютерных сетей. Однако, его необходимость возникает, как правило, в самый последний момент, когда информация или ее часть становится утерянной (испорченной) или разглашенной, что по сути эквивалентно.

Проведенный анализ известной литературы и электронных источников информации показал отсутствие четко сформулированного алгоритма построения ПБ. Вследствие чего специалисты по безопасности и администраторы просто не знают порядок и особенности разработки системы правил, мер, методик, методов, прав и обязанностей, ссылок на существующее законодательство, регламентирующих информационную структуру и иерархию ее взаимосвязи, а также ответственность пользователей сети (ПК) в Компании – которая и называется политика безопасности организации.

Общие сведения. ПБ является юридическим документом (наряду с уставом организации), принятым в Компании и утвержденным директором или советом директоров с соответствующими юридическими реквизитами (подписью и печатью). Разрабатывает ПБ администратор, хотя это не является его прямой обязанностью, и согласовывается с юристом (в плане корректности и соответствия законодательству) и может в отдельных случаях с начальником отдела безопасности Компании (не обязательно).

Общим принципом ПБ в Компании является запрет всех видов доступа, действий и операций, которые не разрешены явно в разработанной ПБ. То есть, если нет специального разрешения на проведение конкретных действий (операций) или использования конкретных сетевых ресурсов, то такие действия или такое использование запрещены, а лица, их осуществляющие подлежат наказанию.

Обычно ПБ состоит из двух основных частей:
1. Политика для работы в отдельной сети.
2. Политика для работы в межсетевой среде.

В части реализации ПБ определяют границы ответственности и отчетности, описанной в последующих разделах. ПБ определяет ответственных должностных лиц за реализацию ПБ, к которым она применима.

Область действия ПБ применима ко всем подразделениям Компании и ее офисам, а также ко всем спонсорам и деловым партнерам. Подразделениям рекомендуется уточнить общие рекомендации в той мере, в какой они применимы к ним, но дополнения к политике не должны конфликтовать с основными рекомендациями ПБ. В случае спора в отношении интерпретации или реализации локальной политики по отношению к общей ПБ, последнее слово — за отделом безопасности Компании.

Ответственность за выполнение ПБ возлагается на начальника службы безопасности и администратора Компании и/или на других лиц верхнего звена управления. Уточнения и интерпретации ПБ могут быть получены в отделе безопасности в случаях очевидного конфликта между локальными требованиями и различными толкованиями положений основной ПБ.

Реализация ПБ. Каждое должностное лицо и служащий Компании, который администрирует или использует сетевые и другие ресурсы, отвечает за строгое соблюдение разработанной ПБ. Каждый пользователь обязан сообщать о подозреваемых или реальных уязвимых местах (угрозах) в безопасности системы своему непосредственному руководителю (менеджеру) или администратору. В Компании имеется своя группа улаживания инцидентов с компьютерной безопасностью (ГУИКБ), которая должна уведомлять руководство в обязательном порядке об основных инцидентах, при которых произошли компрометация, неправильное использование или порча информационных ценностей Компании.

Подразделениям (отделам) рекомендуется организовать свои локальные ГУИКБ для более быстрого выявления уязвимых мест в защите и их устранения. Хотя сотрудники, входящие в ГУИКБ, имеют свои основные должностные обязанности, вопросы безопасности имеют приоритет по отношению к ним. Руководители подразделений должны назначать своих сотрудников в состав ГУИКБ при возникновении инцидента, и освобождать от основных обязанностей до конца расследования.

Описание политики. В этой части ПБ указываются положения и критерии, которые определяют ее в той мере, в какой она применима к каждому объекту и субъекту в Компании. Часть, относящаяся к сетям, включает критерии, которые должны быть выполнены для Интернет с точки зрения безопасности.

Сети. Интернет состоит из сетей, поэтому ПБ, в равной степени применяется ко всем сетевым компонентам. Сеть, которая не является частью Интернет, не имеет средства защиты, должна соблюдать требования внутренней сетевой ПБ. Такая сеть не содержит точки риска и является защищенной.

Интересы Компании. Сетевые ресурсы Компании существуют лишь для того, чтобы поддерживать ее деятельность. В некоторых случаях тяжело провести черту между интересами Компании (служебными интересами) и другими интересами. Система конференций и электронной почты Интернет являются примерами смешения интересов Компании и личных интересов сотрудников по использованию этих ресурсов. Компания понимает, что попытки использования ограничений типа “только в интересах Компании” в этих случаях бессмысленны.

Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения задач, стоящих не только перед Компанией. Руководители отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны менеджеры должны препятствовать некорректному использованию сетевых и других ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников. Сетевые администраторы должны сообщать об инцидентах руководителю отдела безопасности, связанных с подозреваемым или доказанным использованием информационных ресурсов не по назначению.

Принцип “знай только то, что ты должен знать для работы”. Доступ к информационным ценностям Компании не будет осуществлен, если не возникнет необходимости в такой информации. Это значит, что критическая информация должна быть защищена таким образом, чтобы она была неизвестна основной массе сотрудников. В определенных случаях может оказаться необходимым преобразовать сеть таким образом, чтобы вокруг критических информационных ценностей был создан периметр безопасности с помощью технических и организационных мер.

Разработка ПБ ведется только после выхода соответствующего приказа в Компании, где регламентируются права и возможности администратора на этапе разработки. При этом, в приказе на разработку ПБ должен указываться уровень доступа администратора к рабочим местам пользователей и в другие помещения, а также доступ к различным категориям информации, например, в режиме просмотра файлов и папок. Обратите внимание, что доступ обеспечивается к категориям информации, а не к ее содержимому. В среднем на построение ПБ в достаточно крупной Компании должно отводиться до 3-х месяцев.

Весь процесс построения ПБ можно разделить на 3 этапа:
1. Анализ данных, информации, целей реализации.
2. Собственно разработка ПБ, результатом которой является созданный юридический документ.
3. Внедрение, в частности, доведение обязанностей должностных лиц (под роспись), регистрация в отделе кадров и др.
ПБ должна реализовываться в не более чем трех экземплярах, которые соответственно хранятся у юриста (копия), администратора и директора (копия и, к тому же, необязательная).

На первом этапе, на каждом рабочем месте пользователя предлагается собирать следующая информация:
1. Местоположение или топологическая привязка узлов сети к схеме помещений.
2. Характеристики помещений, комнат, залов, ангаров, зданий, этажей и т.д.
3. Технологические нормы и нормативы по размещению рабочего места пользователя, например, расстояние монитора от противоположного монитора или пользователя и т.д.
4. Параметры и характеристики ПК.
5. Список пользователей, работающих на ПК и их права доступа.
6. Категории информации, используемые на рабочем месте, которая в итоге должна быть квалифицирована с привязкой к организационно-штатной структуре Компании.
7. Типы групп пользователей, предполагаемых для использования в сети, которые обосновываются и регламентируются в ПБ с учетом на дальнейшее использование и расширение. При этом, администратору разрешается добавление новых и изменение существующих типов групп, связанных с реорганизацией Компании.

Вся терминология в ПБ должна быть описана заранее грамотно с юридической и технической точки зрения. В ПБ должна быть регламентирована в отдельном пункте ее судьба, например, в случае увольнения администратора ПБ теряет свою юридическую силу, поскольку администратор является ее разработчиком.
Обязанности должностных лиц, охватывающие все сферы деятельности сотрудника, регламентируются в ПБ в отдельных разделах для каждой категории. Здесь указываются права, обязанности, перечень запрещенных операций и действий, а также возможные виды санкций, применяемых к сотруднику. При этом перечень последних указывается в ПБ отдельной статьей, с согласованием у руководства. Например, это может быть список штрафных санкций в виде удержания денежных средств, в зависимости от тяжести нарушения, а также указания на соответствующие нормативные законодательные акты для более серьезных нарушений.

Таким образом, политика сетевой безопасности в Компании распределяет ответственность за ее реализацию и поддержание между конкретными должностными лицами. Она определяет обязанности каждого служащего Компании при использовании сетевых и других ресурсов и необходимости сообщать об уязвимых местах в системе безопасности. Она также устанавливает, что общей политикой является — запрещено все, что явно не разрешено. То есть, если деятельность или вид доступа не могут быть найдены или определены в этом документе, то они запрещены.

За доработку ПБ отвечает лицо, занимающееся разработкой данного документа, по мере того, как потребность в безопасности и технологии сетевого взаимодействия изменяются. Директивы, содержащиеся в ПБ, должны быть всегда интерпретированы как приказ директора Компании.