Что не рассматривается в политике безопасности
Политика безопасности
Содержание
Определение политики безопасности
Политика безопасности организации (англ. organizational security policies ) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
Политика безопасности зависит:
Методы оценки
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».
Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.
Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Предполагаемые ущербы
Далее следует выяснение насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :
| Величина ущерба | Описание |
|---|---|
| 0 | Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
| 1 | Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
| 2 | Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
| 3 | Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
| 4 | Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. |
| 5 | Фирма прекращает существование |
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :
| Вероятность | Средняя частота появления |
|---|---|
| 0 | Данный вид атаки отсутствует |
| 1 | реже, чем раз в год |
| 2 | около 1 раза в год |
| 3 | около 1 раза в месяц |
| 4 | около 1 раза в неделю |
| 5 | практически ежедневно |
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
Риск предприятия
Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :
| Описание атаки | Ущерб | Вероятность | Риск (=Ущерб*Вероятность) |
|---|---|---|---|
| Спам (переполнение почтового ящика) | 1 | 4 | 4 |
| Копирование жесткого диска из центрального офиса | 3 | 1 | 3 |
| … | … | … | 2 |
| Итого : | 9 | ||
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка «Итого»).
Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
Политика информационной безопасности — опыт разработки и рекомендации
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
Необходимость наличия политики ИБ
В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.
Понимание целей и задач подразделения информационной безопасности
Требования политики — основание для внедрения защитных мер
Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)
Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании
Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?
Рекомендации по разработке политики ИБ
На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.
Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.
Анализ политик ИБ существующих компаний
| Полезное количество страниц* | Загруженность терминами | Общая оценка | |
|---|---|---|---|
| ОАО „Газпромбанк“ | 11 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО „Фонд развития предпринимательства “Даму» | 14 | Высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО НК «КазМунайГаз» | 3 | Низкая | Простой для понимания документ, не перегруженный техническими терминами |
| ОАО «Радиотехнический институт имени академика А. Л. Минца» | 42 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц |
* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
Внедрение и использование политики ИБ
По вопросам и предложениям добро пожаловать в комментарии и личку.
UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).
Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.
Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.
Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.
Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.
Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?
Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.
Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.
Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.
То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.
Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.
В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.
Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
Политика безопасности. Краткий обзор защитных политик. (часть первая)
Вступление
Много людей рассматривают политику, как вкусный, но необязательный десерт, который может быть по желанию добавлен к основным блюдам – межсетевым защитам, вирусным сканерам и VPN, слегка сдобренным IDS. Это неправильно. В этой статье я попытаюсь объяснить, почему, на мой взгляд, именно политика должна служить основой всесторонней стратегии информационной безопасности, и как политика может быть эффективной, практической частью ваших цифровых защитных систем.
В терминах же компьютерной безопасности политику можно определить как изданный документ (или свод документов), в котором рассмотрены вопросы философии, организации, стратегии, методов в отношении конфиденциальности, целостности и пригодности информации и информационных систем.
Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.
Эти цели характерны для любой системы безопасности.
Теперь обсудим механизмы, через которые эти цели могут быть достигнуты, а именно:
Философия
Стратегия
Стратегия – это план или проект в философии безопасности. Детализация этого плана показывает, как организация намеревается достигнуть целей, поставленных (явно или неявно) в пределах структуры философии.
Правила
Правила – они и в Африке правила. Они объясняют, что нам следует делать, а чего не следует делать никогда в нашей политике информационной безопасности.
Методы
Преимущества политики: какую выгоду предлагает политика?
В предыдущем разделе мы кратко рассмотрели, что такое политика, и более подробно, что такое политика информационной безопасности. Но даже из этого краткого описания уже должно быть ясно, что, когда мы имеем в виду политику, мы подразумеваем серьезный бизнес. В сфере информационных технологий это обычно означает необходимость серьезных инвестиции – денежных, временных, человеческих ресурсов. В этой области невозможно скупиться на затраты, если мы планируем их возместить, эффективная политика никогда не бывает быстрой для установки. Здесь возникает вопрос, который для себя решают все, кто решил создать качественную политику информационной защиты: «Что она даст такого, чего бы не было у меня, ну скажем для примера, в Snort 1.7 для Bastion Linux?»
Босс может сам контролировать это
Обеспечение подтверждения должного усердия в вопросе безопасности
Иллюстрация обязательств по организации безопасности
Поскольку политика, как правило, публикуется, она может служить дополнительным доводом для потенциальных клиентов / инвесторов, специалисты другой компании могут сами оценить уровень компетентности ваших специалистов. Все большее число крупных российских, а тем более, иностранных, компаний требуют доказательства обеспечения достаточного уровня надежности и безопасности, в том числе и информационной, своих инвестиций и ресурсов. Без наличия в вашей организации профессиональной политики безопасности с вами в большинстве случаев просто не будут иметь никаких контактов.
Практические выгоды от политики безопасности
Кто-то может возразить, что приведенные выше параметры обеспечивают скорее маркетинговые и организационные преимущества. Хорошо, специально для них ниже рассмотрим практические выгоды.
Она формируют эталонный тест измерения прогресса в вопросах безопасности
Она помогает гарантировать усердие и последовательность во всех филиалах
Самая большая проблема, с которой сталкиваются руководители службы информационной безопасности крупных корпораций – не новые типы вирусов, не неизвестные эксплоиты и даже не программы взлома и перехвата паролей. Нет, со всем этим можно бороться. Труднее всего гарантировать, что системный администратор в отдаленном филиале фирмы где-нибудь в Крыжополе вовремя появится на своем рабочем месте и установит свежие заплаты, допустим к IIS, а не пойдет на пляж или не засидится дома за телевизором во время матча чемпионата мира по футболу. А ведь от этого может зависеть не только безопасность офиса в Крыжополе, но и безопасность всей корпорации в целом. Хорошо осуществленная политика помогает гарантировать выполнение инструкций, путем создания единой директивы и ясного назначения обязанностей и, что одинаково важно, описания ответственности за последствия неудачи и неисполнение обязанностей.
Она служит гидом для информационной безопасности
Хорошо разработанная политика может стать Библией администратора. Печально, но далеко не каждый сотрудник, чей компьютер подключен в вашу корпоративную сеть, понимает угрозу TCP sequence number guessing атаки на OpenBSD. К счастью, ваша политика безопасности IP сети будет гарантировать, что машины всегда установлены в той части сети, которая предлагает уровень безопасности, соответствующей роли машины и предоставляемой информации.
Ультиматум Путина: Россия, если хотите, похоронит всю Европу и две трети США за 30 минут
Как поступит президент РФ, когда в НАТО отвергнут договор о безопасности?
Администрация Джо Байдена считает часть предложений Москвы, содержащихся в обнародованном 18 декабря проекте договора между Россией и США о гарантиях безопасности неприемлемыми, сообщает агентство Bloomberg. При этом некоторые пункты документа могут быть полезными. Официальный ответ Вашингтон планирует дать на следующей неделе.
Фактически отвергла предложения России и Европа. Страны имеют право выбирать себе политику безопасности и союзы, считают во внешнеполитическом ведомстве ЕС. Министры обороны стран Северной Европы и Балтии, экстренно собравшись в видеоформате, единодушно решили, что с требованиями РФ государства Запада не могут согласиться ни при каких условиях.
Таким образом, Запад отказался принимать предложения России в полном объеме, на чем настаивает наш МИД. «Оба текста составлены не по принципу меню, где можно выбирать одно или другое, они взаимно дополняют друг друга и должны рассматриваться в комплексе», — заявлял накануне замглавы внешнеполитического ведомства Сергей Рябков.
Очевидно, США и НАТО не считают Россию равной себе силой и потому уверены, что гарантии безопасности нужны в первую очередь Москве, а не Западу. А раз так, Кремлю придется доказать на деле обоснованность своей позиции. Принудить «партнеров» сесть за стол переговоров, вероятно, можно только силой. Экономически РФ против Запада не потянет. Остается война.
Какие возможности есть для этого у России? Об этом рассказал военный эксперт Константин Сивков.
— Положительной реакции на предложения Москвы по безопасности не будет, так как конфликт Запада и России носит сущностный, антагонистический характер. Задача Запада — уничтожение и взятие под контроль России, уничтожение суверенитета нашей страны. Без победы над Россией Запад решить задачу собственного выживания не сможет. Потому что США сейчас сами находятся на грани распада, а Европа настолько дезорганизована (миграционный кризис, внутренние конфликты ), что выживаемость государственных элит там под вопросом. Поэтому им нужна война.
«СП»: — Заставить потенциального противника подписать всеобъемлющий договор о безопасности, может только тот, кто обладает сопоставимой силой. В первую очередь военной. Так ли это?
— Духовная сила российского народа, к сожалению, лишь бледная тень духовной силы, которую имел советский народ. Особенно в 1940—1950-х годах. Вооруженные силы России сейчас скромнее того, что имел Советский Союз. Несмотря на героизм отдельных бойцов, групп военнослужащих, который они демонстрируют, например, в Сирии.
Поэтому сегодня Россия способна успешно решать тактические задачи — отражать наступление, вести боевые действия, максимум в рамках локальной войны. Группировкой численностью до 1 млн. человек при полной мобилизации (например, у американцев в Ираке было до 800 тысяч бойцов). Это мы вытянем. В реальности же приемлемая численность группировки может быть 300−400 тысяч человек.
«СП»: — Кажется, уже давно воюют не числом, а уменьем. Точнее, военной техникой…
— США и Европа исчезнут физически. Выживших там почти не будет. Но и мы будем уничтожены. Разве что судьба России будет получше, потому что у нас большая территория. Всю ее они покрыть ядерными ударами не смогут. Поэтому процент выжившего населения будет выше. Хотя Россия как государство после масштабной ядерной войны, скорее всего, исчезнет. Распадется на фрагменты.
Но для того, чтобы усадить США и НАТО за стол переговоров, нужен какой-то сверхпотенциал. В настоящий момент такой потенциал Россия своим противникам не предъявляет. А он есть. Это создание мегаоружия. Россия располагает возможностью использовать сверхмощные боеприпасы мощностью до 100 мегатонн. Их испытания были проведены в СССР еще в 1961 году.
Мы должны объявить, что на подводном беспилотнике «Посейдон», который несет боевое дежурство, установлен такого рода сверхмощный боеприпас. С помощью такого заряда можно сформировать суперцунами, а также инициировать сейсмопроцессы на Тихоокеанской огненной дуге (западное побережье США). Такой же боеприпас должен быть установлен и на ракеты «Сармат».
«СП»: — Весомые аргументы…
— Это военно-технический ответ. Но можно предпринять и военно-политический шаг. Мы должны создать с Китаем военный блок. Без альтернативы. И четко объявить, что он направлен против США и их союзников. Именно так действует Вашингтон, который создал военные блоки и против России, и против Китая.
Для сдерживания России НАТО имеет три эшелона: Восточная Европа, старая Европа и англосаксонская атлантическая ось. А против Китая два эшелона: первый, ближайший — это сообщество Южной Кореи, Японии, Индии и США. Этот блок пока не оформлен, но реально он существует. А второй, тыловой, уже оформленный — AUKUS.
«СП»: — Получается, надо готовиться к войне. Зачем тогда наш МИД сочинил эти договоры?
— Рассчитывать на то, что нам помогут дипломатические трюки, наивно. Подобные обращения — договоры о безопасности, если есть надежда на то, что их реально могут принять, всегда делаются скрытно, непублично. Предложение России — это демонстративный шаг, необходимый для того, чтобы начать принимать уже радикальные меры. Мол, раз вы отказались, то…
Если российское руководство не пойдет на вышеперечисленные шаги, то стоит задуматься о его адекватности.
По мнению военного эксперта Виктора Литовкина, Москве будет достаточно доказать свою силу на украинском театре боевых действий.
— У России достаточно убедительный военный потенциал. Только на земле у нас 320 ракет стратегического назначения. На них почти тысяча боеголовок. Но атаковать ими первыми мы, конечно, не будем.
Предложение Западу Москва сделала, чтобы продемонстрировать нашу готовность к мирному сосуществованию, показать, что альтернатива конфликту есть всегда. Мы предложили говорить на равных, но наши «партнеры» этого не хотят. Они хотят давить на нас, командовать нами.
Такой подход потенциального противника развязывает России руки по отношению к Украине. Мы может предпринять там разного рода действия, которые не допустят превращения этой страны в плацдарм для наступления на Россию и дальнейшего давления на нас.
«СП»: — Провести новую границу по Днепру?
— Может и так, а может, отрезать их страну от Черного моря. Обсуждаются разные варианты. Украина — это «красная линия» для Москвы. Но это не агрессия. Ведь Киев может напасть на Донбасс, как Грузия напала в 2008 году на Южную Осетию. Последствия известны.