ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.05.2024
Просмотров: 16
Скачиваний: 0
Інформаційна безпека Адміністративний рівень інформаційної безпеки План
1 Основні поняття
2 Політика безпеки
3 Програма безпеки
4 Синхронізація програми безпеки з життєвим циклом систем
1 Основні поняття
До адміністративного рівня інформаційної безпеки відносяться дії загального характеру, що робляться керівництвом організації.
Головна мета заходів адміністративного рівня - сформувати програму робіт в області інформаційної безпеки і забезпечити її виконання, виділяючи необхідні ресурси і контролюючи стан справ.
Основою програми є політика безпеки, що відображає підхід організації до захисту своїх інформаційних активів. Керівництво кожної організації повинне усвідомити необхідність підтримки режиму безпеки і виділення на ці цілі значних ресурсів.
Політика безпеки будується на основі аналізу ризиків, які признаються реальними для інформаційної системи організації. Коли ризики проаналізовані і стратегія захисту визначена, складається програма забезпечення інформаційної безпеки. Під цю програму виділяються ресурси, призначаються відповідальні, визначається порядок контролю виконання програми і т.п.
Термін "політика безпеки" є не зовсім точним перекладом англійського словосполучення "security policy", проте в даному випадку калька краще відображає значення цього поняття, ніж лінгвістично більш вірні "правила безпеки". Ми матимемо у вигляді не окремі правила або їх набори (такого роду рішення виносяться на процедурний рівень, мову про який попереду), а стратегію організації в області інформаційної безпеки. Для вироблення стратегії і проведення її в життя потрібні, поза сумнівом, політичні рішення, що приймаються на найвищому рівні.
Під політикою безпеки ми розумітимемо сукупність документованих рішень, що приймаються керівництвом організації і направлених на захист інформації і асоційованих з нею ресурсів.
Таке трактування, звичайно, набагато ширше, ніж набір правил розмежування доступу (саме це означав термін "security policy" в "Оранжевій книзі" і в побудованих на її основі нормативних документах інших країн).
ІС організації і пов’язані з нею інтереси суб’єктів - це складна система, для розгляду якої необхідно застосовувати об’єктно-орієнтований підхід і поняття рівня деталізації. Доцільно виділити, принаймні, три такі рівні, що ми вже робили в прикладі і зробимо ще раз далі.
Щоб розглядати ІС наочно, з використанням актуальних даних, слід скласти карту інформаційної системи. Ця карта, зрозуміло, повинна бути виготовлена в об’єктно-орієнтованому стилі, з можливістю варіювати не тільки рівень деталізації, але і видимі грані об’єктів. Технічним засобом складання, супроводу і візуалізації подібних карт може служити вільно поширюваний каркас якої-небудь системи управління.
2 Політика безпеки
З практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації. До верхнього рівня можна віднести рішення, що зачіпають організацію в цілому. Вони носять вельми загальний характер і, як правило, виходять від керівництва організації. Зразковий список подібних рішень може включати наступні елементи:
-
рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки, призначення відповідальних за просування програми;
-
формулювання цілей, які переслідує організація в області інформаційної безпеки, визначення загальних напрямів в досягненні цих цілей;
-
забезпечення бази для дотримання законів і правил;
-
формулювання адміністративних рішень з тих питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня мети організації в області інформаційної безпеки формулюються в термінах цілісності, доступності і конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення числа втрат, пошкоджень або спотворень даних. Для організації, продажем комп’ютерної техніки, що займається, ймовірно, важлива актуальність інформації про послуги і ціни, що надаються, і її доступність максимальному числу потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виноситься управління захисними ресурсами і координація використовування цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюючими режим безпеки.
Політика верхнього рівня повинна чітко обкреслювати сферу свого впливу. Можливо, це будуть всі комп’ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використовування співробітниками своїх домашніх комп’ютерів). Можлива, проте, і така ситуація, коли в сферу впливу включаються лише найважливіші системи.
В політиці повинні бути визначені обов’язки посадовців по виробленню програми безпеки і проведенню її в життя. В цьому значенні політика безпеки є основою підзвітності персоналу.
Політика верхнього рівня має справу з трьома аспектами законопослушности і виконавської дисципліни. По-перше, організація повинна дотримувати існуючі закони. По-друге, слід контролювати дії осіб, відповідальних за вироблення програми безпеки. Нарешті, необхідно забезпечити певний ступінь старанності персоналу, а для цього потрібно виробити систему заохочень і покарань.
Взагалі кажучи, на верхній рівень слід виносити мінімум питань. Подібне винесення доцільне, коли воно обіцяє значну економію засобів або коли інакше поступити просто неможливо.
Британський стандарт BS 7799:1995 рекомендує включати в документ, що характеризує політику безпеки організації, наступні розділи:
-
ввідний, підтверджуючий заклопотаність вищого керівництва проблемами інформаційної безпеки;
-
організаційний, містить опис підрозділів, комісій, груп і т.д., що відповідають за роботи в області інформаційної безпеки;
-
класифікаційний, описує матеріальні і інформаційні ресурси і необхідний рівень їх захисту, що є в організації;
-
штатний, характеризуючий заходи безпеки, вживані до персоналу (опис посад з погляду інформаційної безпеки, організація навчання і перепідготовки персоналу, порядок реагування на порушення режиму безпеки і т.п.);
-
розділ, освітлюючий питання фізичного захисту;
-
управляючий розділ, що описує підхід до управління комп’ютерами і комп’ютерними мережами;
-
розділ, що описує правила розмежування доступу до виробничої інформації;
-
розділ, що характеризує порядок розробки і супроводу систем;
-
розділ, що описує заходи, направлені на забезпечення безперервної роботи організації;
-
юридичний розділ, підтверджуючий відповідність політики безпеки чинному законодавству.
До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань - відношення до передових (але, можливо, недостатньо перевіреним) технологій, доступ в Internet (як сумістити свободу доступу до інформації із захистом від зовнішніх загроз?), використовування домашніх комп’ютерів, вживання користувачами неофіційного програмного забезпечення і т.д.
Політика середнього рівня повинна для кожного аспекту освітлювати наступні теми:
Опис аспекту. Наприклад, якщо розглянути вживання користувачами неофіційного програмного забезпечення, останнє можна визначити як ПО, яке не було схвалене и/или закуплене на рівні організації.
Область вживання. Слід визначити, де, коли, як, по відношенню до кого і чому застосовується дана політика безпеки. Наприклад, чи торкається політика, зв’язана з використанням неофіційного програмного забезпечення, організацій-субпідрядників? Чи зачіпає вона співробітників, що користуються портативними і домашніми комп’ютерами і вимушених переносити інформацію на виробничі машини?
Позиція організації по даному аспекту. Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони, вироблення процедури приймання подібного ПО і т.п. Позиція може бути сформульована і в набагато більш загальному вигляді, як набір цілей, які переслідує організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їх перелік), в різних організаціях може сильно відрізнятися.
Ролі і обов’язки. В "політичний" документ необхідно включити інформацію про посадовці, відповідальні за реалізацію політики безпеки. Наприклад, якщо для використовування неофіційного програмного забезпечення співробітникам потрібен дозвіл керівництва, повинно бути відомо, у кого і як його можна одержати. Якщо неофіційне програмне забезпечення використовувати не можна, слід знати, хто стежить за виконанням даного правила.
Законопослушность. Політика повинна містити загальний опис заборонених дій і покарань за них.
Точки контакту. Повинно бути відомо, куди слід звертатися за роз’ясненнями, допомогою і додатковою інформацією. Звичайно "точкою контакту" служить певний посадовець, а не конкретна людина, що займає в даний момент даний пост.
Політика безпеки нижнього рівня відноситься до конкретних інформаційних сервісів. Вона включає два аспекти - мета і правило їх досягнення, тому її порою важко відділити від питань реалізації. На відміну від двох верхніх рівнів, дана політика повинна бути визначена більш детально. Є багато речей, специфічних для окремих видів послуг, які не можна єдиним чином регламентувати в рамках всієї організації. В той же час, ці речі настільки важливі для забезпечення режиму безпеки, що рішення, що відносяться до них, повинні прийматися на управлінському, а не технічному рівні. Приведемо декілька прикладів питань, на які слід дати відповідь в політиці безпеці нижнього рівня:
-
хто має право доступу до об’єктів, підтримуваним сервісом?
-
за яких умов можна читати і модифікувати дані?
-
який організований видалений доступ до сервісу?
При формулюванні цілей політики нижнього рівня можна виходити з міркувань цілісності, доступності і конфіденційності, але не можна на цьому зупинятися. Її цілі повинні бути більш конкретними. Наприклад, якщо йдеться про систему розрахунку заробітної платні, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити і модифікувати інформацію. В більш загальному випадку мети повинні зв’язувати між собою об’єкти сервісу і дії з ними.
З цілей виводяться правила безпеки, що описують, хто, що і за яких умов може робити. Чим докладніше правила, ніж більш формально вони висловлені, тим простіше підтримати їх виконання програмно-технічними засобами. З другого боку, дуже жорсткі правила можуть заважати роботі користувачів, ймовірно, їх доведеться часто переглядати. Керівництву належить знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не виявляться надмірно зв’язані. Звичайно найбільш формально задаються права доступу до об’єктів зважаючи на особливу важливість даного питання.
