Практика разработки и реализации политики информационной безопасности корпоративных информационных систем

Специалисты в области разработки и анализа применения политик информационной безопасности отечественных и зарубежных компаний (организаций) различают общую стратегическую политику безопасности компании[1], взаимоувязанную со стратегией развития бизнеса (деятельности организации) и стратегией безопасности информационно-телекоммуникационных технологий (ИТТ) или АС, а также частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими АС и службами обеспечения информационной безопасности.

Политики информационной безопасности государственных и коммерческих структур.

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК ГО 13335-1—2006, который представляет собой руководство по управлению безопасностью ИТТ, определяет концепцию и модели, лежащие в основе базового понимания безопасности АС, и раскрывает общие вопросы управления, планирования, реализации и поддержки безопасности АС в государственных и коммерческих структурах. Целью этого стандарта является формирование общих понятий и моделей управления безопасностью АС. В нем дается определение понятиям "политика безопасности информационных и телекоммуникационных технологий" и "информационная безопасность".

Политика безопасности ИТТ (ICT security policy) — это правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию.

Информационная безопасность (information security) - это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности информации или средств ее обработки[2].

При определении понятия "политика безопасности ИТТ" или "политика безопасности АС" необходимо учитывать ключевые меры и средства контроля и управления в сфере защиты АС, рекомендуемые стандартом ГОСТ Р ИСО/МЭК 27002-2012:

  • — защита данных и конфиденциальность персональных данных;
  • — защита документов организации;
  • — защита права на интеллектуальную собственность;
  • — меры и средства управления информационной безопасностью и др.

Для успешной реализации политики безопасности АС и разработки эффективной программы безопасности ИС Национальным стандартом ГОСТ Р ИСО/МЭК 13335-1—2006 определены фундаментальные принципы обеспечения безопасности:

  • 1) защитные меры в отношении активов должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из специфики активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения (принцип менеджмента риска);
  • 2) должны устанавливаться обязательства организации в области безопасности ИС и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности АС (принцип обязательств);
  • 3) руководство организации песет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью АС, должны быть определены и доведены до сведения персонала (принцип служебных обязанностей и ответственности);
  • 4) управление рисками, связанными с безопасностью АС, должно осуществляться с учетом целей, стратегий и политики организации (принцип определения целей, стратегии и политики безопасности АС);
  • 5) управление безопасностью АС должно быть непрерывным в течение всего их жизненного цикла (принцип управления жизненным циклом АС).

В данном Национальном стандарте с позиций фундаментальных принципов безопасности приведено описание основных компонентов безопасности, вовлеченных в процесс управления безопасностью, и их связей. Приведены также характеристики каждого компонента и указаны основные сопряженные с ним факторы.

Дадим краткое изложение основных положений этого стандарта. Следует иметь в виду, что одним из основных компонентов безопасности являются защищаемые активы. Правильное управление защитой активов является важнейшим фактором успешной деятельности организации и основной обязанностью руководства на всех уровнях. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту.

Различают следующие активы:

  • — материальные активы (например, вычислительные средства, средства связи и передачи данных, здания организации);
  • — информацию (данные) (например, документы, базы данных, базы знаний) АС;
  • — средства программного обеспечения АС;
  • — способность производить продукт или предоставлять услуги в электронном виде;
  • — персонал организации;
  • — нематериальные ресурсы (например, престиж фирмы, ее репутация).

В процессе разработки целевой программы по безопасности и ее реализации важно однозначно идентифицировать активы компании.

В основе политики безопасности АС организации должны быть сформулированы цели (что необходимо достичь), стратегии обеспечения безопасности организации (способы достижения цели), политика (правила, которые следует соблюдать при реализации стратегий) и процедуры (методы осуществления политики). Предусматривается обеспечение согласованности всех защитных мер. Руководящие документы политики безопасности АС должны отражать организационные требования и учитывать имеющиеся финансовые, кадровые и материально-технические ограничения. Важно обеспечить согласованность между соответствующими документами в рамках пакета документов политики информационной безопасности.

Более того, общие цели, основные положения стратегии и политики безопасности должны быть отражены и уточнены в специфических целях частных политик и задачах всех сфер деятельности организации, таких как сфера управления финансами, персоналом и безопасностью. Для развития и успешной реализации политики безопасности АС в организации требуется обеспечить качественное управление информационной безопасностью. Пример иерархических отношений, которые могут возникать между политиками безопасности компании (организации), показан на рис. 6.2.

Пример иерархических отношений политики информационной безопасности с политикой общей безопасности и другими политиками организации

Рис. 6.2. Пример иерархических отношений политики информационной безопасности с политикой общей безопасности и другими политиками организации

  • [1] Петренко С. А., Курбатов В. А. Политики информационной безопасности М.: Компания АйТи, 2006
  • [2] Там же.
 
< Пред   СОДЕРЖАНИЕ     След >