Політика безпеки

Версія від 19:14, 10 травня 2011, створена Vito89 (обговореннявнесок)
(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)

Політика безпеки організації (англ. organizational security policies) - сукупність керівних принципів, правил, процедур і практичних прийомів в галузі безпеки, які регулюють управління, захист і розподіл цінної інформації. У загальному випадку такий набір правил являє собою певну функціональність програмного продукту, який необхідний для його використання в конкретній організації. Якщо підходити до політики безпеки більш формально, то вона є набір якихось вимог до функціональності системи захисту, закріплених у відомчих документах. Наприклад, у фінансових організаціях найчастіше прийнято, щоб у продукті передбачалося присутність кількох адміністративних ролей: адміністратор, аудитор і оператор системи захисту. Таке рольове управління інформаційною безпекою - радше данина традиції і теоретично дозволяє уникнути «змови» адміністратора і зловмисника з числа користувачів. Для того щоб включити дану функціональність продукту в профіль захисту, найдоцільніше ввести відповідну політику безпеки. Політика безпеки залежить:

- від конкретної технології обробки інформації;

- від використаних технічних і програмних засобів;

- від розташування організації;

Передумови появи

Головною причиною появи політики безпеки є вимога наявності такого документа від регулятора - організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності. Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка в свою чергу впливає на публічні показники підприємства - позиції в рейтингу, рівень надійності і т.д. Цікаво, що, згідно з дослідженням з безпеки, проведеного компанією Deloitte в 2006 році, підприємства, які мають формалізовані політики інформаційної безпеки, значно рідше піддаються злому. Це свідчить про те, що наявність політики є ознакою зрілості підприємства в питаннях інформаційної безпеки. Те, що підприємство виразно сформулювало свої принципи і підходи до забезпечення інформаційної безпеки означає, що в цьому напрямку була проведена серйозна робота.


Методи оцінювання

Існують дві системи оцінки поточної ситуації в області інформаційної безпеки на підприємстві. Вони отримали образні назви «дослідження знизу вгору» і «дослідження зверху вниз». Перший метод досить простий, вимагає набагато менших капітальних вкладень, але і володіє меншими можливостями. Він заснований на відомій схемі: «Ви - зловмисник. Ваші дії? ». Тобто служба інформаційної безпеки, грунтуючись на даних про всі відомі види атак, намагається застосувати їх на практиці з метою перевірки, а чи можлива така атака з боку реального зловмисника. Метод «зверху вниз» представляє собою, навпаки, детальний аналіз всієї існуючої схеми зберігання і обробки інформації. Першим етапом цього методу є, як і завжди, визначення, які інформаційні об'єкти й потоки необхідно захищати. Далі слід вивчення поточного стану системи інформаційної безпеки з метою визначення, що з класичних методик захисту інформації вже реалізовано, в якому обсязі і на якому рівні. На третьому етапі проводиться класифікація всіх інформаційних об'єктів на класи відповідно з її конфіденційністю, вимогам до доступності та цілісності (незмінності).


Не ефективні політики

Саме по собі наявність документа, названого «Політика інформаційної безпеки», не принесе істотної користі підприємству, крім, можливо, формального аргументу в суперечці, присутня або відсутня у нього дана політика. Нас цікавить, зрозуміло, в першу чергу ефективна політика безпеки. Досвід показує, що неефективні політики безпеки можна розділити на добре сформульовані, але не практичні і на практичні, але погано сформульовані. Перша категорія найчастіше зустрічається у випадках, коли фахівці з питань безпеки підприємства недовго думаючи беруть готову політику (скажімо, з Інтернету) і, провівши мінімальні зміни, стверджують її для свого підприємства. Оскільки загальні принципи безпеки у різних підприємств, навіть різних галузей, можуть бути вельми схожі, такий підхід досить широко поширений. Однак його використання може привести до проблем, якщо від політики верхнього рівня знадобиться спуститися до документів нижнього рівня - стандартам, процедурам, методикам і т.д. Оскільки логіка, структура та ідеї вихідної політики були сформульовані для іншого підприємства, можливе виникнення серйозних труднощів, навіть протиріч в інших документах. Політики другої категорії зазвичай з'являються у випадках, коли виникає необхідність вирішити нагальні завдання. Наприклад, мережевий адміністратор, втомившись боротися зі спробами користувачів порушувати роботу мережі, протягом десяти хвилин накидає список з кількох «можна» і «не можна», називає його «Політикою» і переконує керівництво в необхідності його затвердження. Потім цей документ може роками використовуватися на підприємстві, створюючи іноді суттєві проблеми, наприклад при впровадженні нових систем, і породжуючи величезну кількість винятків для випадків, коли його порушення допускається.

Передбачувані збитки

Далі слід з'ясування наскільки серйозний збиток може принести фірмі розкриття чи інша атака на кожен конкретний інформаційний об'єкт. Цей етап називається «обчислення ризиків». У першому наближенні ризиком називається добуток «можливого збитку від атаки» на «ймовірність такої атаки». Існує безліч схем обчислення ризиків, зупинимося на одній з найпростіших. Збиток від атаки може бути представлений невід'ємним числом в приблизному відповідності з наступною таблицею: Table1.gif Вірогідність атаки представляється невід'ємним числом в приблизному відповідності з наступною таблицею:Table2.gif Необхідно відзначити, що класифікацію збитку, що наноситься атакою, повинен оцінювати власник інформації, або персонал що працює з нею. А ось оцінку ймовірності появи атаки краще довіряти технічним співробітникам фірми.

Ризик підприємства

Наступним етапом складається таблиця ризиків підприємства. Вона має такий вигляд:Table3.gif На етапі аналізу таблиці ризиків задаються деяким максимально допустимим ризиком, наприклад значенням 7. Спочатку перевіряється кожен рядок таблиці на не перевищення ризику цього значення. Якщо таке перевищення має місце, значить, даний рядок - це одна з першочергових цілей розробки політики безпеки. Потім проводиться порівняння подвоєного значення (у нашому випадку 7 * 2 = 14) з інтегральним ризиком (осередок «Разом»). Якщо інтегральний ризик перевищує припустиме значення, значить, в системі безпеки набирається безліч дрібних погрішностей, які в сумі не дадуть підприємству ефективно працювати. У цьому випадку з рядків вибираються ті, які дають найбільший внесок у значення інтегрального ризику і здійснюється спроба їх зменшити або усунути повністю. Створення ефективної політики Як же розробити ефективну, практичну і добре сформульовану політику інформаційної безпеки, яка дозволить підприємству не просто створити струнку систему нормативних документів, але і принесе певні фінансові переваги, наприклад, зберігши інвестиції або запобігши неефективні вкладення коштів?