Независимо от размеров организации, защитная политика должна всегда иметь владельца. В то время как права, обязанности и даже название должности могут меняться от организации к организации, его роль должна быть неизменна. Давайте, для примера, назовем этого человека «руководитель охраны» или «security officer». Это – ответственный руководитель, в обязанности которого входит наблюдать за созданием, распределением, и выполнением политики безопасности. В этом смысле «руководитель охраны» выполняет роль посредника между управлением и пользовательской массой. Очевидно, что этот человек должен подчиняться только высшему руководству компании – генеральному директору, президенту или совету директоров.
Поскольку «руководитель охраны» в конечном счете несет общую ответственность за информационную безопасность всей компании, для того чтобы иметь возможность отстаивать интересы информационной безопасности в ряде случаев он(она) даже может быть членом правления. Как правило, большинство маленьких или средних организаций не могут позволить себе отдельную должность «руководителя охраны», и в этом случае возможно совмещение должностей. Однако, независимо от размеров организации, роль «руководителя охраны» должна быть ясно назначена и его обязанности должны быть четко сформулированы.
Финансовая поддержка
Процесс создания системы безопасности всегда требовал и будет требовать инвестиций временных затрат, человеческих ресурсов и финансов. Без достаточного финансового обеспечения любое, даже самое правильное и перспективное усилие в данной области потерпит неудачу. Эта же истина относится и к созданию защитной политики.
В распределении фондов для создания политики мы еще раз видим ценность всесторонней оценки риска. При должном образом осуществленной оценке рисков мы должны получить четкие показатели различных рисков, которым подвергаются информационные ресурсы вашей организации, потенциальные финансовые потери, которые вы можете понести в каждом случае, возможный вред и последствия, и роль, которую политика может играть для смягчения этого риска и минимизации потерь. Эти показатели, вкупе с пониманием ценности ваших информационных ресурсов (которые также можно оценочно получить) должны обеспечить достаточно аргументов для финансовых инвестиций в безопасность.
Культура безопасности
Цепь всегда прочна настолько, насколько прочно в ней самое слабое звено, а самое слабое звено в системе безопасности - конечный пользователь. На любое ваше решение по безопасности всегда найдется какой-то деятель из сотрудников, который сумеет найти противодействие. Он может считать себя при этом чуть ли не гением компьютеров, не осознавая зачастую, какой вред он наносит своими действиями безопасности собственной организации. Если ваши пользователи не понимают ценности ваших информационных ресурсов, то мы можем, конечно, вести с ними войну, но она изначально обречена на провал. Вы должны создать культуру безопасности в вашей организации, чему прекрасно способствует имеющаяся политика безопасности. Далее приведены краткие стратегии, которые можно (и нужно) использовать:
Обучение пользователей – администраторы могут начать «внутреннюю рекламную кампанию», объясняющую ценность общей безопасности, риски, с которыми они сталкиваются, роль политики и обязанности индивидуальных пользователей.
Акцентирование внимания на менеджерах – эти руководители низшего звена обычно и устанавливают «правила игры» для своих подчиненных и наиболее неистово требуют выполнения предписанных вещей, в справедливость которых они лично верят. Если убедить их в потребности в безопасности, то считайте, что половина борьбы выиграна.
Поддерживать сотрудников – служащие, в большинстве своем, лояльны компании, в которой они работают. Имеет смысл быть честными со штатом сотрудников в вопросах безопасности и ее воздействии на благополучие организации. Это обычно помогает снизить время, необходимое персоналу для перестройки к новым реалиям работы. Один из способов состоит в том, чтобы ежедневно (еженедельно/ежемесячно) рассылать результаты оценок безопасности и ревизий. Надо быть абсолютно откровенными с персоналом обо всех случаях вирусных атак, взломов и других инцидентах безопасности.
Положительные эмоции - поскольку хорошо разработанная политика может (и должна) учитывать затраты на обучение и поддержку персонала, то некоторые сотрудники теперь должны быть вознаграждены за бдительность или просто хорошее выполнение требований безопасности. Этих сотрудников можно отобрать по результатам проверок/ревизий, регулярно проводимых сисадминами. В ряде организаций уже через самое короткое время подавляющее большинство сотрудников будет стремиться получить эти, пусть и небольшие, но очень приятные премии. Неизбежно, безопасность организации при этом резко увеличивается, а такая система наград будет являться прекрасным дополнением к системе штрафов за действия, ведущие к нарушениям информационной безопасности.
Отрицательные эмоции – если стимул получения дополнительных премий не оказывает влияния на некоторых сотрудников, то можно рассмотреть метод достижения цели другим путем. В организации должна быть разработана система взысканий с нерадивых и небрежных сотрудников. Все это, как мы уже говорили, должно быть прописано в политике. Фактически, метод кнута и пряника со времен римской Империи и поныне являлся и является весьма действенным.
Принятие политики и получение подписи от каждого сотрудника – каждый сотрудник обязан ознакомиться с политикой безопасности и подписаться под ней. Фактически, в нашем российском менталитете только это вынуждает сотрудников внимательно прочитать и вникнуть в документ. А в случае нарушения только это дает законное юридическое право на взыскание с сотрудника [2].
2.5. Жизненный цикл политики безопасности
Разработка ПБ – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Эта ответственность обычно концентрируется на руководителе Отдела информационной безопасности, Главном офицере по информационной безопасности (CISO), Главном офицере безопасности (CSO), ИТ-директоре (CIO), либо на руководителе Отдела внутреннего аудита. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, который состоит из пяти последовательных этапов, описанных ниже.
1. Первоначальный аудит безопасности
Аудит безопасности – это процесс, с которого начинаются любые планомерные действия по обеспечению ИБ в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния ИБ, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам ИБ бизнес процессы.
2. Разработка
Аудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки ПБ. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению ИБ в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.
Разработка ПБ с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться существующими наработками, ограничившись адаптацией типового комплекта ПБ к специфическим условиям своей организации. Этот путь позволяет сэкономить многие месяцы работы и повысить качество разрабатываемых документов. Кроме того, он является единственно приемлемым в случае отсутствия в организации собственных ресурсов для квалифицированной разработки ПБ.
3. Внедрение
С наибольшими трудностями приходится сталкиваться на этапе внедрения ПБ, которое, как правило, связано с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно, либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно- технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации. Администраторов ИС может раздражать необходимость выполнения требований ПБ, усложняющих задачи администрирования. Помимо этого могут возникать и чисто технические проблемы, связанные, например, с отсутствием в используемом ПО функциональности, необходимой для реализации отдельных положений ПБ.
На этапе внедрения необходимо не просто довести содержание ПБ до сведения всех сотрудников организации, но также провести обучение и дать необходимые разъяснения сомневающимся, которые пытаются обойти новые правила и продолжать работать по старому.
Чтобы внедрение завершилось успешно, должна быть создана проектная группа по внедрению ПБ, действующая по согласованному плану в соответствии с установленными сроками выполнения работ.
4. Аудит и контроль
Соблюдение положений ПБ должно являться обязательным для всех сотрудников организации и должно непрерывно контролироваться.
Проведение планового аудита безопасности является одним из основных методов контроля работоспособности ПБ, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесение в них необходимых корректировок.
5. Пересмотр и корректировка
Первая версия ПБ обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения ПБ и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению ИБ. В большинстве случаев ежегодный пересмотр ПБ является нормой, которая устанавливается самой политикой [6].
2.6. Пример неудачной политики
Для того чтобы продемонстрировать, каким образом неэффективные политики безопасности, либо их отсутствие, делают систему обеспечения ИБ неработоспособной, начнем с рассмотрения простых примеров неудачных (неэффективных) ПБ. На этих примерах мы увидим, что неудачные ПБ (не соответствующие критериям эффективности), приводят к снижению производительности труда пользователей информационной системы (ИС) и, создавая иллюзию "ложной защищенности", только ухудшают общее положение дел с обеспечением ИБ в организации.
Кража оборудования
Производитель электроники приобрел очень дорогостоящее тестовое оборудование для использования в производстве. Отдел безопасности решил, что для обеспечения сохранности этого оборудования необходимо ограничить доступ к нему всего несколькими сотрудниками. На входе в помещение с оборудованием были установлены дорогостоящие электронные замки со смарт- картами. Только старшему менеджеру были выданы ключи от этого помещения. Для выполнения своих обязанностей, помимо старшего менеджера, доступ в помещение с оборудованием был необходим еще 10 сотрудникам, которые не имели собственных ключей и сопровождались в это помещение старшим менеджером.
Первоначально требования данной политики добросовестно выполнялись. Однако вскоре менеджеру надоело выполнять функции по сопровождению сотрудников. Производительность труда снизилась из-за того, что менеджер периодически оказывался недоступен, а кроме него некому было открывать помещение. Отдел безопасности отказался удовлетворить просьбу менеджера о выдаче дополнительных ключей. В итоге была достигнута неформальная договоренность о том, что ключи будут оставляться в ящике стола. Последствия не заставили себя долго ждать ...
Однажды, когда менеджер и его сотрудники были на собрании, оборудование было похищено. Ключа тоже найти не удалось. Отдел безопасности предпринял расследование, которое, однако, успехом не увенчалось. После чего решался вопрос о наказании менеджера, ответственного за хранение ключа.
Просуммируем результаты внедрения данной политики:
. Было потеряно дорогостоящее оборудование
. У менеджеров и сотрудников организации сложилось крайне негативное отношение к любым мерам и политикам обеспечения безопасности
. Ворам удалось избежать ответственности
. Дорогостоящие меры защиты не принесли положительного результата
. Данная ПБ потерпела неудачу, потому что она была неудобной для сотрудников организации, и требования этой политики было легко обойти
Разработчики данной политики не учли ее влияние на производительность труда. Этой ошибки можно было бы избежать, если бы они вовлекли в процесс ее разработки сотрудников организации.
Отдел безопасности также не заметил (или не пожелал заметить) тот факт, что требования данной ПБ не соответствовали бизнес-процессам организации. Наличие внутреннего контроля над внедрением данной ПБ позволил бы выявить это противоречие и разработать более эффективную политику [6].
3. Пример управленческой политики организации
В предыдущем разделе я показал как нужно разрабатывать, внедрять и сопровождать политики безопасности. Далее я приведу пример управленческой политики в виде ролей и обязанностей персонала, который непосредственно связан с ИБ.
Роли и обязанности (общие положения)
Детально их обязанности будут описаны ниже.
. Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с пользователями.
. Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
. Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, что их защита построена в соответствии с общей политикой безопасности.
. Пользователи обязаны использовать локальную сеть в соответствии с политикой безопасности; подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Роли и обязанности (детальное изложение)
Руководители подразделений обязаны:
. Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.
. Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.
. Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.
. Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу; увольнение и т. п.).
. Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за его безопасность и имеющего достаточную квалификацию для выполнения этой роли.
Администраторы локальной сети обязаны:
. Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.
. Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.
. Оперативно и эффективно реагировать на события, таящие угрозу.
Информировать администраторов сервисов о попытках нарушения защиты.
Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.
. Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.
. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.
Пользователи обязаны:
. Знать и соблюдать законы, правила, принятые в нормативных документах, политику безопасности, процедуры безопасности.
. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.
. Использовать механизм защиты файлов и должным образом задавать права доступа.
. Выбирать хорошие пароли; регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам (стратегически важным решением будет разработка отдельной политики управления паролями, руководствуясь которой пользователи бы выбирали свои пароли).
. Помогать другим пользователям соблюдать меры безопасности. Указывать им на замеченные упущения с их стороны.
. Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.
. Не использовать слабости в защите сервисов и локальной сети в целом.
. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.
. Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.
. Обеспечивать резервное копирование информации с жесткого диска своего компьютера.
. Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.
. Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.
. Знать слабости, которые используются для неавторизованного доступа.
. Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.
. Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий [1].
Заключение
Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того чтобы ПБ оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах ИБ и обучать их выполнению правил, предписываемых ПБ. Регулярный пересмотр и корректировка правил ПБ необходимы для поддержания ее в актуальном состоянии.
Разработка и внедрение ПБ в организации – процесс коллективного творчества, в котором должны участвовать представители всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, включающего в себя проведение аудита безопасности, разработку, согласование, внедрение, обучение, контроль исполнения, пересмотр и корректировку ПБ.
Для разработки эффективной ПБ, помимо профессионального опыта, знания нормативной базы в области ИБ и писательского таланта, необходимо также учитывать основные факторы, влияющие на эффективность ПБ, и следовать основным принципам разработки ПБ, к числу которых относятся: минимизация влияния на производительность труда, непрерывность обучения, контроль и реагирование на нарушения безопасности, поддержка руководства организации и постоянное совершенствование ПБ [6].
Литература
1. Кирсанов К.А., Малявина А.В., Попов Н.В. «Информационная безопасность:
Учебное пособие». – М.:МАЭП, ИИК «Калита», 2000.
2. http://www.securitylab.ru/
3. http://www.rcb.ru/
4. http://www.cnews.ru/
5. http://www.bezpeka.com/ - Украинский Информационный Центр Безопасности
6. http://www.globaltrust.ru/
7. http://www.citforum.ru/
8. http://www.crime-research.ru/ - Центр исследования проблем компьютерной преступности
9. Зайцев Л.Г., Соколова М.И. Стратегический менеджмент: Учебник. – М.:
Юристъ, 2002.
Страницы: 1, 2, 3