Politika sigurnost informacija(Primjer)
Sažetak političari
Informacije uvijek moraju biti zaštićene, bez obzira na njihov oblik i način na koji se distribuiraju, prenose i pohranjuju.
Uvod
Informacije mogu postojati u mnogo različitih oblika. Može se ispisati ili napisati na papiru, pohraniti u u elektroničkom obliku, prenijeti poštom ili korištenjem elektronički uređaji, prikazan na filmu ili prenesen usmeno tijekom komunikacije.
Informacijska sigurnost je zaštita informacija od raznih prijetnji, osmišljena kako bi se osigurao kontinuitet poslovnih procesa, minimizirao poslovni rizik te maksimizirao povrat ulaganja i osigurale poslovne prilike.
Opseg
Ova politika jača ukupnu sigurnosnu politiku organizacije.
Ova se politika odnosi na sve zaposlenike organizacije.
Ciljevi informacijske sigurnosti
1. Razumijevanje i rukovanje strateškim i operativnim rizicima informacijske sigurnosti tako da budu prihvatljivi za organizaciju.
2. Zaštitite povjerljivost podataka o kupcima, razvoju proizvoda i marketinškim planovima.
3. Održavanje cjelovitosti knjigovodstvene građe.
4. Sukladnost uobičajenih web usluga i interne mreže odgovarajućim standardima pristupačnosti.
Načela informacijske sigurnosti
1. Ova organizacija promiče preuzimanje rizika i prevladava rizike koje organizacije kojima se konzervativno upravlja ne može prevladati razumijevanjem, praćenjem i rješavanjem rizika za informacije prema potrebi. Detaljan opis pristupi koji se koriste za procjenu i tretiranje rizika mogu se pronaći u ISMS politici.
2. Svo osoblje mora biti svjesno i odgovorno za informacijsku sigurnost u odnosu na svoje radne odgovornosti.
3. Moraju se poduzeti mjere za financiranje kontrola sigurnosti informacija i procesa upravljanja projektima.
4. Mogućnost prijevare i zlouporabe u informacijskim sustavima mora se uzeti u obzir kada opće upravljanje informacijski sustavi.
5. Izvješća o statusu informacijske sigurnosti trebaju biti dostupna.
6. Moraju se nadzirati rizici informacijske sigurnosti i poduzeti mjere kada promjene dovedu do neočekivanih rizika.
7. Kriteriji za klasifikaciju rizika i prihvatljivost rizika nalaze se u politici ISMS.
8. Situacije koje mogu navesti organizaciju na kršenje zakona i utvrđenim standardima, ne bi trebalo biti dopušteno.
Područja odgovornosti
1. Tim višeg rukovodstva odgovoran je za osiguravanje odgovarajuće obrade informacija u cijeloj organizaciji.
2. Svaki viši rukovoditelj odgovoran je osigurati da zaposlenici koji rade pod njegovim ili njezinim vodstvom štite podatke u skladu sa standardima organizacije.
3. Voditelj sigurnosti savjetuje skupinu viših rukovoditelja, pruža stručnu pomoć zaposlenicima organizacije i osigurava dostupnost izvješća o stanju informacijske sigurnosti.
4. Svaki zaposlenik organizacije odgovoran je za informacijsku sigurnost u sklopu obavljanja svojih radnih dužnosti.
Ključni rezultati
1. Incidenti informacijske sigurnosti ne smiju rezultirati značajnim neočekivanim troškovima ili značajnim poremećajima poslovnih usluga i operacija.
2. Gubici zbog prijevare moraju biti poznati i unutar prihvatljivih granica.
3. Pitanja informacijske sigurnosti ne bi trebala negativno utjecati na prihvaćanje proizvoda i usluga od strane korisnika.
Povezana pravila
Sljedeća detaljna pravila sadrže načela i preporuke o određenim aspektima informacijske sigurnosti:
1. Politika sustava upravljanja informacijskom sigurnošću (ISMS);
2. Politika kontrole pristupa;
3. Politika čist stol I prazan ekran;
4. Neovlaštena politika softver;
5. Politika koja se odnosi na dobivanje softverskih datoteka od vanjske mreže ili preko njih;
6. Politika u vezi mobilni kod;
7. Politika Rezervni primjerak;
8. Politike u vezi s razmjenom informacija između organizacija;
9. Politika prihvatljivog korištenja elektroničkim sredstvima komunikacije;
10. Politika čuvanja zapisa;
11. Politika korištenja mrežne usluge;
12. Politike vezane uz mobilno računalstvo i komunikacije;
13. Politika rad na daljinu;
14. Politika korištenja kriptografskih kontrola;
15. Politika sukladnosti;
16. Politika licenciranja softvera;
17. Pravila uklanjanja softvera;
18. Politika zaštite podataka i privatnosti.
Sve ove politike jačaju:
· prepoznavanje rizika pružanjem okvira kontrola koje se mogu koristiti za otkrivanje nedostataka u dizajnu i implementaciji sustava;
· liječenje rizika pomaganjem u definiranju opcija liječenja za specifične ranjivosti i prijetnje.
Politika informacijske sigurnosti tvrtke
· 1. Opće odredbe
o 1.1. Svrha i svrha ove Politike
o 1.2. Opseg ove Politike
o 2.1. Odgovornost za informacijsku imovinu
o 2.2. Kontrola pristupa informacijskim sustavima
§ 2.2.1. Opće odredbe
§ 2.2.2. Pristup trećih strana sustavima Društva
§ 2.2.3. Udaljeni pristup
§ 2.2.4. pristup internetu
o 2.3. Zaštita opreme
§ 2.3.1. Hardver
§ 2.3.2. Softver
o 2.5. Izvještavanje o incidentima informacijske sigurnosti, odgovor i izvješćivanje
o 2.6. Prostorije sa tehnička sredstva sigurnost informacija
o 2.7. Upravljanje mrežom
o 2.7.1. Zaštita i sigurnost podataka
o 2.8. Razvoj sustava i upravljanje promjenama
Opće odredbe
Informacije su vrijedan i vitalan resurs YOUR_KOPANIA (u daljnjem tekstu Tvrtka). Ova politika informacijske sigurnosti predviđa usvajanje potrebne mjere kako bi zaštitili imovinu od slučajne ili namjerne promjene, otkrivanja ili uništenja, kao i radi održavanja povjerljivosti, cjelovitosti i dostupnosti informacija, osiguravajući proces automatizirana obrada podatke u Društvu.
Svaki zaposlenik Društva odgovoran je za očuvanje informacijske sigurnosti, a primarna je zadaća osigurati sigurnost cjelokupne imovine Društva. To znači da informacije moraju biti zaštićene ništa manje pouzdano od bilo koje druge glavne imovine Društva. Glavni ciljevi Društva ne mogu se postići bez pravodobnog i puna opskrba zaposlenike s podacima koji su im potrebni za obavljanje radnih dužnosti.
U ovoj Politici, izraz "zaposlenik" označava sve zaposlenike Društva. Odredbe ove Politike odnose se na osobe koje rade za Društvo na temelju građanskih ugovora, uključujući i upućene osobe, ako je to predviđeno takvim ugovorom.
Bez obzira na veličinu organizacije i specifičnosti njezina informacijskog sustava, rad na osiguranju režima informacijske sigurnosti obično se sastoji od sljedećih faza (Slika 1):
– definiranje opsega (granica) sustava upravljanja informacijskom sigurnošću i određivanje ciljeva njegove izgradnje;
- procjena rizika;
– izbor protumjera koje osiguravaju režim IS;
- Upravljanje rizicima;
– revizija sustava upravljanja informacijskom sigurnošću;
– razvoj sigurnosne politike.
DIV_ADBLOCK340">
Faza 3. Strukturiranje protumjera za zaštitu informacija na sljedećim glavnim razinama: administrativnoj, proceduralnoj, softverskoj i hardverskoj.
Faza 4. Uspostava postupka za certifikaciju i akreditaciju CIS-a za usklađenost sa standardima u području informacijske sigurnosti. Utvrđivanje učestalosti održavanja sastanaka na temu informacijske sigurnosti na razini upravljanja, uključujući periodičnu reviziju odredbi politike informacijske sigurnosti, kao i postupak osposobljavanja svih kategorija korisnika informacijskog sustava u području informacijske sigurnosti. Poznato je da je razvoj sigurnosne politike organizacije najmanje formalizirana faza. Međutim, u U zadnje vrijeme Ovdje su koncentrirani napori mnogih stručnjaka za informacijsku sigurnost.
Faza 5. Određivanje opsega (granica) sustava upravljanja informacijskom sigurnošću i specificiranje ciljeva njegove izrade. U ovoj fazi određuju se granice sustava za koji se mora osigurati režim informacijske sigurnosti. Sukladno tome, sustav upravljanja informacijskom sigurnošću izgrađen je upravo u tim granicama. Sam opis granica sustava preporuča se provesti prema sljedećem planu:
– struktura organizacije. Prikaz postojeće strukture i promjena koje se očekuju u vezi s razvojem (modernizacijom) automatiziranog sustava;
– resurse informacijskog sustava koje treba zaštititi. Preporučljivo je razmotriti resurse automatizirani sustav sljedeće klase: SVT, podatkovni, sistemski i aplikacijski softver. Svi resursi imaju vrijednost iz perspektive organizacije. Za njihovo vrednovanje potrebno je odabrati sustav kriterija i metodologiju za dobivanje rezultata prema tim kriterijima;
· razvoj načela za klasifikaciju informacijske imovine poduzeća i procjenu njihove sigurnosti;
· procjena informacijskih rizika i upravljanje njima;
· osposobljavanje zaposlenika tvrtke o metodama informacijske sigurnosti, provođenje brifinga i praćenje znanja i praktičnih vještina provođenja sigurnosne politike od strane zaposlenika tvrtke;
· savjetovanje menadžera poduzeća o pitanjima upravljanja informacijski rizici;
· koordinacija privatnih politika i sigurnosnih propisa među odjelima tvrtke;
· kontrolu rada službi za kvalitetu i automatizaciju tvrtke s pravom provjere i odobravanja internih izvješća i dokumenata;
· interakcija s kadrovskom službom tvrtke radi provjere osobnih podataka zaposlenika prilikom zapošljavanja;
· organizacija mjera za otklanjanje hitne situacije ili hitne incidente u području informacijske sigurnosti ako do njih dođe;
Cjelovitost informacije – postojanje informacije u neiskrivljenom obliku (nepromijenjena u odnosu na neko fiksno stanje). Tipično, subjekti su zainteresirani za osiguranje šireg svojstva - pouzdanosti informacija, koje se sastoji od primjerenosti (potpunosti i točnosti) prikaza stanja predmetno područje a izravno cjelovitost informacije, tj. njezina neiskrivljenost.
Postoji razlika između statičkog i dinamičkog integriteta. Kako bi narušio statički integritet, napadač može: unijeti netočne podatke; Za promjenu podataka. Ponekad se mijenjaju podaci o sadržaju, ponekad se mijenjaju informacije o usluzi. Prijetnje dinamičkom integritetu uključuju kršenje atomarnosti transakcije, preuređivanje, krađu, dupliciranje podataka ili umetanje dodatnih poruka ( mrežni paketi i tako dalje.). Ova aktivnost u mrežnom okruženju naziva se aktivnim slušanjem.
Prijetnja integritetu nije samo krivotvorenje ili izmjena podataka, već i odbijanje izvršenih radnji. Ako ne postoji način da se osigura "neporicanje", računalni podaci ne mogu se smatrati dokazom. Ne samo podaci, već i programi potencijalno su osjetljivi na povrede integriteta. Ubacivanje zlonamjernog softvera primjer je takvog kršenja.
Hitna i vrlo opasna prijetnja je uvođenje rootkita (skup datoteka instaliranih na sustav s ciljem mijenjanja njegove standardne funkcionalnosti na zlonamjeran i tajnovit način), botova (programa koji automatski obavljaju određenu misiju; skupina računala na kojima rade slični botovi naziva se botnet), tajni potezi ( malware, slušanje naredbi na određenim TCP ili UDP priključcima) i špijunski softver (zlonamjerni softver usmjeren na kompromitiranje povjerljivih korisničkih podataka. Na primjer, Trojanci Back Orifice i Netbus omogućuju vam preuzimanje kontrole nad korisničkih sustava S razne opcije MS-Windows.
Prijetnja povjerljivosti
Prijetnja povrede povjerljivosti je da informacija postane poznato tome koji nema dopuštenje za pristup. Ponekad se, zbog prijetnje povrede povjerljivosti, koristi izraz "curenje".
Povjerljivost informacija je subjektivno određena (pripisana) karakteristika (svojstvo) informacije, koja ukazuje na potrebu uvođenja ograničenja na krug subjekata koji imaju pristup tim informacijama, a osigurana sposobnošću sustava (okruženja) da te informacije čuva. tajna od subjekata koji nemaju ovlasti pristupa. Objektivni preduvjeti za takvo ograničenje dostupnosti informacija pojedinim subjektima leže u potrebi zaštite njihovih legitimnih interesa od drugih subjekata informacijskih odnosa.
Povjerljive informacije mogu se podijeliti na predmetne i službene informacije. Servisne informacije(primjerice korisničke lozinke) ne odnosi se na određeno tematsko područje, već ima tehničku ulogu u informacijskom sustavu, ali je njegovo otkrivanje posebno opasno, jer je bremenito neovlaštenim pristupom svim informacijama, pa tako i predmetnim. Opasna netehnička prijetnja povjerljivosti su metode moralnog i psihološkog utjecaja, kao što je "maskarada" - izvođenje radnji pod krinkom osobe s ovlastima pristupa podacima. Neugodne prijetnje od kojih se teško obraniti uključuju zlouporabu ovlasti. Na mnogim vrstama sustava, povlašteni korisnik (na primjer, Administrator sustava) može čitati bilo koju (nekriptiranu) datoteku i dobiti pristup pošti bilo kojeg korisnika.
Trenutno su najčešći takozvani “phishing” napadi. Phishing (fishing – pecanje) je vrsta internetske prijevare, čija je svrha dobivanje pristupa povjerljivim korisničkim podacima – prijavama i lozinkama. To se postiže provođenjem masovna slanja elektronička pošta u ime popularnih marki, kao i osobne poruke iznutra razne usluge, na primjer, u ime banaka, usluga (Rambler, Mail.ru) ili unutar društvene mreže(Facebook, VKontakte, Odnoklassniki.ru). Mete phishera danas su klijenti banaka i elektroničkih sustava plaćanja. Na primjer, u Sjedinjenim Državama, pod maskom Porezne uprave, phisheri su 2009. prikupili značajne podatke o poreznim obveznicima.
U ovoj ću temi pokušati sastaviti priručnik za razvoj regulatorne dokumentacije u području informacijske sigurnosti za komercijalnu strukturu, na temelju osobno iskustvo i materijale s weba.
Ovdje možete pronaći odgovore na pitanja:
- zašto je potrebna politika informacijske sigurnosti;
- kako ga sastaviti;
- kako ga koristiti.
Potreba za politikom informacijske sigurnosti
Ovaj odjeljak opisuje potrebu za provedbom politike informacijske sigurnosti i popratnih dokumenata koji nisu na lijep jezik udžbenika i standarda, te na primjerima iz osobnog iskustva.Razumijevanje ciljeva i zadataka odjela informacijske sigurnosti
Prije svega, politika je neophodna kako bi se poslovnim subjektima prenijeli ciljevi i ciljevi informacijske sigurnosti tvrtke. Poduzeća moraju shvatiti da sigurnost nije samo alat za istraživanje curenja podataka, već i pomoćnik u smanjenju rizika tvrtke, a time iu povećanju profitabilnosti tvrtke. Zahtjevi politike osnova su za provedbu zaštitnih mjera
Politika informacijske sigurnosti nužna je kako bi se opravdalo uvođenje zaštitnih mjera u tvrtku. Politiku mora odobriti najviše upravno tijelo društva ( direktor tvrtke, upravni odbor itd.)
Svaka zaštitna mjera je kompromis između smanjenja rizika i korisničkog iskustva. Kada stručnjak za sigurnost kaže da se neki proces na neki način ne bi trebao dogoditi zbog pojave određenih rizika, uvijek mu se postavlja razumno pitanje: "Kako bi se to trebalo dogoditi?" Stručnjak za sigurnost mora predložiti model procesa u kojem su ti rizici ublaženi do određene mjere zadovoljavajuće za poslovanje.
Štoviše, svaka primjena bilo kakvih zaštitnih mjera u odnosu na interakciju korisnika s informacijskim sustavom tvrtke uvijek izaziva negativnu reakciju korisnika. Ne žele ponovno učiti, čitati upute razvijene za njih itd. Vrlo često korisnici postavljaju razumna pitanja:
- zašto bih ja trebao raditi po tvojoj izmišljenoj shemi, a ne po onima na jednostavan način koji sam oduvijek koristio
- koji je sve ovo smislio
Ako vaša tvrtka ima politiku informacijske sigurnosti, možete dati koncizan i jezgrovit odgovor:
ova je mjera uvedena radi usklađivanja sa zahtjevima informacijske sigurnosne politike tvrtke koju je odobrilo najviše upravno tijelo tvrtke
U pravilu, nakon ovoga energija većine korisnika opada. Oni koji ostanu mogu se zamoliti da napišu dopis ovom najvišem upravnom tijelu tvrtke. Ovdje se ostali eliminiraju. Jer čak i ako bilješka ode tamo, uvijek možemo dokazati potrebu poduzete mjere prije uprave. Nije uzalud što jedemo svoj kruh, zar ne? Postoje dvije stvari koje treba imati na umu kada se razvijaju politike.
- Ciljana publika politike informacijske sigurnosti su krajnji korisnici i top menadžment tvrtke, koji ne razumiju složene tehničke izraze, ali moraju biti upoznati s odredbama politike.
- Nema potrebe pokušavati nagurati neprikladno, uključite sve što možete u ovaj dokument! Treba postojati samo ciljevi informacijske sigurnosti, metode za njihovo postizanje i odgovornost! Nijedan tehnički detalji, ako zahtijevaju specifična znanja. Ovo su svi materijali za upute i propise.
Završni dokument mora ispunjavati sljedeće zahtjeve:
- kratkoća - velika količina dokumenta uplašit će svakog korisnika, nitko nikada neće pročitati vaš dokument (a vi ćete više puta koristiti izraz: "ovo je kršenje pravila informacijske sigurnosti s kojima ste bili upoznati")
- dostupnost običnom čovjeku - krajnji korisnik mora razumjeti ŠTO je napisano u politici (on nikada neće pročitati ili zapamtiti riječi i izraze "bilježenje", "model uljeza", "incident informacijske sigurnosti", " informacijska infrastruktura", "tehnogeni", "antropogeni", "faktor rizika" itd.)
Zapravo, sve je vrlo jednostavno: politika informacijske sigurnosti treba biti dokument prve razine, treba je proširiti i nadopuniti drugim dokumentima (pravilnicima i uputama), koji će već opisati nešto konkretno.
Može se povući analogija s državom: prvostupanjski dokument je ustav, a doktrine, pojmovi, zakoni i drugi propisi koji postoje u državi samo dopunjuju i uređuju provedbu njegovih odredbi. Približan dijagram predstavljen na slici.
Kako ne bismo razmazali kašu na tanjuru, pogledajmo samo primjere politika informacijske sigurnosti koji se mogu pronaći na internetu.
| Korisni broj stranica* | Prepuna uvjeta | Cjelokupna ocjena | |
|---|---|---|---|
| OJSC Gazprombank | 11 | Vrlo visoko | |
| dd Fond za razvoj poduzetništva “Damu” | 14 | visoko | Složen dokument za promišljeno čitanje, prosječan čovjek ga neće pročitati, a ako ga pročita neće ga razumjeti i neće ga zapamtiti |
| JSC NC "KazMunayGas" | 3 | Niska | Lako razumljiv dokument, nije preopterećen tehničkim pojmovima |
| JSC "Institut za radiotehniku nazvan po akademiku A. L. Mintsu" | 42 | Vrlo visoko | Kompleksan dokument za promišljeno čitanje, prosječan čovjek ga neće čitati - previše je stranica |
* Ono što ja nazivam korisnim je broj stranica bez tablice sadržaja, Naslovnica i druge stranice koje ne sadrže specifične informacije
Sažetak
Politika informacijske sigurnosti trebala bi stati na nekoliko stranica, biti lako razumljiva prosječnoj osobi i biti opisana opći pogled ciljevi informacijske sigurnosti, metode za njihovo postizanje i odgovornosti zaposlenika.
Implementacija i korištenje politike informacijske sigurnosti
Nakon odobrenja politike informacijske sigurnosti morate:- upoznati sve postojeće zaposlenike s politikom;
- upoznati sve nove zaposlenike s politikom (kako to najbolje učiniti tema je za posebnu raspravu; imamo uvodni tečaj za novopridošle na kojem dajem objašnjenja);
- analizirati postojeće poslovne procese u svrhu prepoznavanja i minimiziranja rizika;
- sudjelujte u kreiranju novih poslovnih procesa, kako kasnije ne biste trčali za vlakom;
- izraditi propise, procedure, upute i druge dokumente koji dopunjuju politiku (upute za omogućavanje pristupa internetu, upute za omogućavanje pristupa prostorima s ograničen pristup, upute za rad s informacijskim sustavima poduzeća i dr.);
- pregledati politiku informacijske sigurnosti i druge dokumente o informacijskoj sigurnosti najmanje jednom tromjesečno kako bi ih ažurirali.
Za pitanja i prijedloge, dobrodošli u komentare i PM.
Pitanje %username%
Što se politike tiče, šefovima se ne sviđa što ja želim jednostavnim riječima. Kažu mi: “Osim mene i tebe i još 10 informatičara koji i sami sve znaju i razumiju, imamo 200 onih koji u to ništa ne razumiju, pola njih su umirovljenici.”
Išao sam putem srednje kratkoće opisa, na primjer, pravila antivirusna zaštita, a ispod pišem nešto kao postoji politika antivirusne zaštite itd. Ali ne razumijem da li korisnik potpisuje policu, ali opet treba pročitati hrpu drugih dokumenata, izgleda da je skratio policu, ali izgleda da nije.
Ovdje bih krenuo putem analize procesa.
Recimo antivirusna zaštita. Logično, tako bi i trebalo biti.
Kakve rizike za nas predstavljaju virusi? Narušavanje cjelovitosti (oštećenje) informacija, narušavanje dostupnosti (prekid rada poslužitelja ili računala) informacija. Na pravilna organizacija mreže, korisnik ne bi trebao imati prava lokalni administrator u sustavu, odnosno ne bi trebao imati prava instaliranja softvera (a time i virusa) u sustav. Otpadaju dakle umirovljenici, jer ovdje ne posluju.
Tko može smanjiti rizike povezane s virusima? Korisnici s administratorskim pravima domene. Administrator domene je osjetljiva uloga koja se daje zaposlenicima IT odjela itd. Sukladno tome, trebali bi instalirati antiviruse. Ispada da kakvu aktivnost antivirusni sustav Oni su također odgovorni. Sukladno tome, dužni su potpisati Uputu o organiziranju antivirusne zaštite. Zapravo, ova odgovornost mora biti zapisana u uputama. Na primjer, zaštitar vlada, administratori izvršavaju.
Pitanje %username%
Onda je pitanje, što ne bi trebalo biti uključeno u upute Antivirusne ZI odgovornosti za stvaranje i korištenje virusa (ili postoji članak, a ne može se spomenuti)? Ili da su dužni prijaviti virus ili čudno ponašanje računala službi za pomoć ili IT ljudima?
Opet, gledao bih iz perspektive upravljanja rizikom. Ovo miriše, da tako kažem, na GOST 18044-2007.
U tvom slučaju" čudno ponašanje“Ovo nije nužno virus. To može biti kočnica sustava ili kočnica itd. Sukladno tome, ne radi se o incidentu, već o događaju informacijske sigurnosti. Opet, prema GOST-u, svaka osoba može prijaviti događaj, ali moguće je razumjeti je li to incident ili ne tek nakon analize.
Stoga se ovo vaše pitanje više ne prevodi u politiku informacijske sigurnosti, već u upravljanje incidentima. Vaša politika bi to trebala navesti tvrtka mora imati sustav za rješavanje incidenata.
Odnosno, kao što vidite, administrativno izvršavanje politike uglavnom leži na administratorima i službenicima za sigurnost. Korisnicima ostaju prilagođene stvari.
Stoga morate sastaviti neki “Procedura za korištenje SVT u tvrtki,” gdje morate navesti odgovornosti korisnika. Ovaj dokument trebao bi biti u korelaciji s politikom informacijske sigurnosti i biti, da tako kažemo, objašnjenje za korisnika.
U ovaj dokument Možete odrediti da je korisnik dužan obavijestiti odgovarajuće tijelo o abnormalnoj aktivnosti računala. Pa, tamo možete dodati sve ostalo prilagođeno.
Ukupno morate upoznati korisnika s dva dokumenta:
- politika informacijske sigurnosti (tako da razumije što se radi i zašto, ne ljulja brod, ne psuje pri uvođenju novih sustava upravljanja itd.)
- ovaj “Procedura za korištenje SVT-a u tvrtki” (kako bi razumio što točno učiniti u određenim situacijama)
Sukladno tome, prilikom provedbe novi sustav, jednostavno dodate nešto u “Proceduru” i obavijestite zaposlenike o tome slanjem procedure e-poštom (ili putem EDMS-a, ako ga imate).
Oznake: Dodajte oznake
Politika informacijske sigurnosti je skup zakona, mjera, pravila, zahtjeva, ograničenja, uputa, propisa, preporuka i dr. kojima se regulira postupak obrade informacija i usmjerenih na zaštitu informacija od određenih vrsta prijetnji.
Politika informacijske sigurnosti temeljni je dokument za osiguranje cjelokupnog ciklusa informacijske sigurnosti u poduzeću. Stoga bi vrhovni menadžment tvrtke trebao biti zainteresiran za znanje i striktno pridržavanje njegovih glavnih točaka od strane cjelokupnog osoblja tvrtke. Svi zaposlenici odjela odgovornih za režim informacijske sigurnosti tvrtke moraju biti upoznati s politikom informacijske sigurnosti protiv potpisa. Uostalom, oni će biti odgovorni za provjeru usklađenosti sa zahtjevima politike informacijske sigurnosti i poznavanja njezinih glavnih točaka od strane osoblja tvrtke u odnosu na njih. Postupak provođenja takvih inspekcija, odgovornosti i dužnosnici provođenje takvih inspekcija, te je izrađen raspored inspekcija.
Politika informacijske sigurnosti može se razviti za oboje zasebna komponenta informacijski sustav, te za informacijski sustav u cjelini. Politika informacijske sigurnosti mora uzeti u obzir sljedeće karakteristike informacijskog sustava: tehnologiju obrade informacija, računalno okruženje, fizičko okruženje, korisničko okruženje, pravila kontrole pristupa itd.
Politika informacijske sigurnosti mora osigurati složena uporaba pravni, moralni i etički standardi, organizacijski i tehničke događaje, programske, hardverske i softversko-hardverske informacijske sigurnosne alate, te odrediti pravila i postupak njihove uporabe. Politika informacijske sigurnosti treba se temeljiti na sljedećim načelima: kontinuitet zaštite, dostatnost mjera i sredstava zaštite, njihova usklađenost s vjerojatnošću prijetnji, ekonomičnost, fleksibilnost strukture, jednostavnost upravljanja i korištenja itd.
Sigurnosna politika je složena preventivne mjere o zaštiti povjerljivih podataka i informacijski procesi u poduzeću. Sigurnosna politika uključuje zahtjeve za osoblje, menadžere i tehničke usluge. Glavni pravci razvoja sigurnosne politike:
- određivanje koje podatke i koliko ozbiljno treba zaštititi,
- utvrđivanje tko i kakvu štetu može nanijeti društvu u informacijskom pogledu,
- proračun rizika i određivanje sheme za njihovo svođenje na prihvatljivu vrijednost.
Postoje dva sustava ocjenjivanja Trenutna situacija u području informacijske sigurnosti u poduzeću. Dobila su figurativna imena "istraživanje odozdo prema gore" i "istraživanje odozgo prema dolje". Prva metoda je prilično jednostavna, zahtijeva mnogo manje kapitalnih ulaganja, ali ima i manje mogućnosti. Temelji se na dobro poznatoj shemi: "Vi ste napadač. Koje su vaše radnje?" Odnosno služba informacijske sigurnosti, temeljena na podacima o svima poznate vrste napada, pokušava ih provesti u praksi kako bi provjerio je li takav napad moguć od pravog napadača.
Metoda odozgo prema dolje, naprotiv, detaljna je analiza cijele postojeće sheme za pohranu i obradu informacija. Prvi korak u ovoj metodi je, kao i uvijek, odrediti koji informacijski objekti i tokovi trebaju biti zaštićeni. Ono što slijedi je studija Trenutna država sustava informacijske sigurnosti kako bi se utvrdilo koja je od klasičnih tehnika zaštite informacija već implementirana, u kojoj mjeri i na kojoj razini. U trećoj fazi, klasifikacija svih informacijski objekti u klase u skladu sa zahtjevima povjerljivosti, dostupnosti i integriteta.
Ono što slijedi je saznati koliko ozbiljno šteti otkrivanje ili drugi napad na svakog pojedinca informacijski objekt. Ova faza se naziva "izračun rizika". U prvoj aproksimaciji, rizik je proizvod "moguće štete od napada" i "vjerojatnosti takvog napada".
Politika informacijske sigurnosti treba sadržavati klauzule koje sadrže informacije iz sljedećih odjeljaka:
koncept informacijske sigurnosti;- identifikaciju komponenti i resursa informacijskog sustava koji mogu postati izvori narušavanja informacijske sigurnosti i njihovu razinu kritičnosti;
- usporedba prijetnji s objektima zaštite;
- procjena rizika;
- procjena veličine mogućih gubitaka povezanih s provedbom prijetnji;
- procjena troškova izgradnje sustava informacijske sigurnosti;
- određivanje zahtjeva za metode i sredstva osiguranja informacijske sigurnosti;
- izbor temeljnih rješenja informacijske sigurnosti;
- organiziranje restauratorskih radova i osiguranje kontinuirani rad informacijski sistem;
- pravila kontrole pristupa.
Politika informacijske sigurnosti poduzeća vrlo je važna za osiguranje sveobuhvatne sigurnosti poduzeća. Može se implementirati u hardver i softver koristeći DLP rješenja.
Publikacije na temu
|
29. travnja 2014. Mnoge tvrtke kupuju o vlastitom trošku mobilni gadgeti za zaposlenike koji često putuju na poslovna putovanja. U takvim uvjetima IT služba ima hitnu potrebu za kontrolom uređaja koji imaju pristup korporativnim podacima, ali se nalaze izvan perimetra korporativne mreže. |
|
U ovoj ću temi pokušati sastaviti priručnik o razvoju regulatorne dokumentacije u području informacijske sigurnosti za komercijalnu strukturu, na temelju osobnog iskustva i materijala iz mreže.
Ovdje možete pronaći odgovore na pitanja:
- zašto je potrebna politika informacijske sigurnosti;
- kako ga sastaviti;
- kako ga koristiti.
Potreba za politikom informacijske sigurnosti
Ovaj odjeljak opisuje potrebu za implementacijom politike informacijske sigurnosti i popratnih dokumenata ne lijepim jezikom udžbenika i standarda, već na primjerima iz osobnog iskustva.Razumijevanje ciljeva i zadataka odjela informacijske sigurnosti
Prije svega, politika je neophodna kako bi se poslovnim subjektima prenijeli ciljevi i ciljevi informacijske sigurnosti tvrtke. Poduzeća moraju shvatiti da sigurnost nije samo alat za istraživanje curenja podataka, već i pomoćnik u smanjenju rizika tvrtke, a time iu povećanju profitabilnosti tvrtke. Zahtjevi politike osnova su za provedbu zaštitnih mjera
Politika informacijske sigurnosti nužna je kako bi se opravdalo uvođenje zaštitnih mjera u tvrtku. Politiku mora odobriti najviše upravno tijelo tvrtke (CEO, upravni odbor, itd.)Svaka zaštitna mjera je kompromis između smanjenja rizika i korisničkog iskustva. Kada stručnjak za sigurnost kaže da se neki proces na neki način ne bi trebao dogoditi zbog pojave određenih rizika, uvijek mu se postavlja razumno pitanje: "Kako bi se to trebalo dogoditi?" Stručnjak za sigurnost mora predložiti model procesa u kojem su ti rizici ublaženi do određene mjere zadovoljavajuće za poslovanje.
Štoviše, svaka primjena bilo kakvih zaštitnih mjera u odnosu na interakciju korisnika s informacijskim sustavom tvrtke uvijek izaziva negativnu reakciju korisnika. Ne žele ponovno učiti, čitati upute razvijene za njih itd. Vrlo često korisnici postavljaju razumna pitanja:
- zašto bih ja trebao raditi po tvojoj izmišljenoj shemi, a ne na jednostavan način koji sam uvijek koristio
- koji je sve ovo smislio
Ako vaša tvrtka ima politiku informacijske sigurnosti, možete dati koncizan i jezgrovit odgovor:
ova je mjera uvedena radi usklađivanja sa zahtjevima informacijske sigurnosne politike tvrtke koju je odobrilo najviše upravno tijelo tvrtke
U pravilu, nakon ovoga energija većine korisnika opada. Oni koji ostanu mogu se zamoliti da napišu dopis ovom najvišem upravnom tijelu tvrtke. Ovdje se ostali eliminiraju. Jer čak i ako bilješka ode tamo, uvijek možemo dokazati potrebu za poduzetim mjerama menadžmentu. Nije uzalud što jedemo svoj kruh, zar ne? Postoje dvije stvari koje treba imati na umu kada se razvijaju politike.
- Ciljana publika politike informacijske sigurnosti su krajnji korisnici i top menadžment tvrtke, koji ne razumiju složene tehničke izraze, ali moraju biti upoznati s odredbama politike.
- Nema potrebe pokušavati nagurati neprikladno, uključite sve što možete u ovaj dokument! Treba postojati samo ciljevi informacijske sigurnosti, metode za njihovo postizanje i odgovornost! Nema tehničkih detalja osim ako ne zahtijevaju specifično znanje. Ovo su svi materijali za upute i propise.
Završni dokument mora ispunjavati sljedeće zahtjeve:
- kratkoća - velika količina dokumenta uplašit će svakog korisnika, nitko nikada neće pročitati vaš dokument (a vi ćete više puta koristiti izraz: "ovo je kršenje pravila informacijske sigurnosti s kojima ste bili upoznati")
- dostupnost običnom čovjeku - krajnji korisnik mora razumjeti ŠTO piše u politici (nikada neće pročitati niti zapamtiti riječi i izraze "zapisivanje", "model uljeza", "incident informacijske sigurnosti", "informacijska infrastruktura", "tehnogeno “, “antropogeni” “, “faktor rizika” itd.)
Zapravo, sve je vrlo jednostavno: politika informacijske sigurnosti treba biti dokument prve razine, treba je proširiti i nadopuniti drugim dokumentima (pravilnicima i uputama), koji će već opisati nešto konkretno.
Može se povući analogija s državom: prvostupanjski dokument je ustav, a doktrine, pojmovi, zakoni i drugi propisi koji postoje u državi samo dopunjuju i uređuju provedbu njegovih odredbi. Približan dijagram prikazan je na slici.
Kako ne bismo razmazali kašu na tanjuru, pogledajmo samo primjere politika informacijske sigurnosti koji se mogu pronaći na internetu.
| Korisni broj stranica* | Prepuna uvjeta | Cjelokupna ocjena | |
|---|---|---|---|
| OJSC Gazprombank | 11 | Vrlo visoko | |
| dd Fond za razvoj poduzetništva “Damu” | 14 | visoko | Složen dokument za promišljeno čitanje, prosječan čovjek ga neće pročitati, a ako ga pročita neće ga razumjeti i neće ga zapamtiti |
| JSC NC "KazMunayGas" | 3 | Niska | Lako razumljiv dokument, nije preopterećen tehničkim pojmovima |
| JSC "Institut za radiotehniku nazvan po akademiku A. L. Mintsu" | 42 | Vrlo visoko | Kompleksan dokument za promišljeno čitanje, prosječan čovjek ga neće čitati - previše je stranica |
* Korisnim nazivam broj stranica bez sadržaja, naslovne stranice i ostalih stranica koje ne nose određene podatke
Sažetak
Politika informacijske sigurnosti trebala bi stati na nekoliko stranica, biti lako razumljiva prosječnom čovjeku, te općenito opisivati ciljeve informacijske sigurnosti, metode za njihovo postizanje i odgovornosti zaposlenika.
Implementacija i korištenje politike informacijske sigurnosti
Nakon odobrenja politike informacijske sigurnosti morate:- upoznati sve postojeće zaposlenike s politikom;
- upoznati sve nove zaposlenike s politikom (kako to najbolje učiniti tema je za posebnu raspravu; imamo uvodni tečaj za novopridošle na kojem dajem objašnjenja);
- analizirati postojeće poslovne procese u svrhu prepoznavanja i minimiziranja rizika;
- sudjelujte u kreiranju novih poslovnih procesa, kako kasnije ne biste trčali za vlakom;
- izraditi propise, procedure, upute i druge dokumente koji dopunjuju politiku (upute za omogućavanje pristupa internetu, upute za omogućavanje pristupa zabranjenim područjima, upute za rad s informacijskim sustavima poduzeća i dr.);
- pregledati politiku informacijske sigurnosti i druge dokumente o informacijskoj sigurnosti najmanje jednom tromjesečno kako bi ih ažurirali.
Za pitanja i prijedloge, dobrodošli u komentare i PM.
Pitanje %username%
Što se tiče politike, šefovi ne vole ono što ja želim jednostavnim riječima. Kažu mi: “Osim mene i tebe i još 10 informatičara koji i sami sve znaju i razumiju, imamo 200 onih koji u to ništa ne razumiju, pola njih su umirovljenici.”
Slijedio sam put prosječne kratkoće opisa, na primjer, pravila antivirusne zaštite, a ispod pišem nešto poput politike antivirusne zaštite itd. Ali ne razumijem da li korisnik potpisuje policu, ali opet treba pročitati hrpu drugih dokumenata, izgleda da je skratio policu, ali izgleda da nije.
Ovdje bih krenuo putem analize procesa.
Recimo antivirusna zaštita. Logično, tako bi i trebalo biti.
Kakve rizike za nas predstavljaju virusi? Narušavanje cjelovitosti (oštećenje) informacija, narušavanje dostupnosti (prekid rada poslužitelja ili računala) informacija. Ako je mreža pravilno organizirana, korisnik ne bi trebao imati prava lokalnog administratora u sustavu, odnosno ne bi trebao imati prava instaliranja softvera (a time i virusa) u sustav. Otpadaju dakle umirovljenici, jer ovdje ne posluju.
Tko može smanjiti rizike povezane s virusima? Korisnici s administratorskim pravima domene. Administrator domene je osjetljiva uloga koja se daje zaposlenicima IT odjela itd. Sukladno tome, trebali bi instalirati antiviruse. Ispostavilo se da su oni također odgovorni za aktivnosti antivirusnog sustava. Sukladno tome, dužni su potpisati Uputu o organiziranju antivirusne zaštite. Zapravo, ova odgovornost mora biti zapisana u uputama. Na primjer, zaštitar vlada, administratori izvršavaju.
Pitanje %username%
Onda je pitanje, što ne bi trebalo biti uključeno u upute Antivirusne ZI odgovornosti za stvaranje i korištenje virusa (ili postoji članak, a ne može se spomenuti)? Ili da su dužni prijaviti virus ili čudno ponašanje računala službi za pomoć ili IT ljudima?
Opet, gledao bih iz perspektive upravljanja rizikom. Ovo miriše, da tako kažem, na GOST 18044-2007.
U vašem slučaju, "čudno ponašanje" nije nužno virus. To može biti kočnica sustava ili kočnica itd. Sukladno tome, ne radi se o incidentu, već o događaju informacijske sigurnosti. Opet, prema GOST-u, svaka osoba može prijaviti događaj, ali moguće je razumjeti je li to incident ili ne tek nakon analize.
Stoga se ovo vaše pitanje više ne prevodi u politiku informacijske sigurnosti, već u upravljanje incidentima. Vaša politika bi to trebala navesti tvrtka mora imati sustav za rješavanje incidenata.
Odnosno, kao što vidite, administrativno izvršavanje politike uglavnom leži na administratorima i službenicima za sigurnost. Korisnicima ostaju prilagođene stvari.
Stoga morate sastaviti neki “Procedura za korištenje SVT u tvrtki,” gdje morate navesti odgovornosti korisnika. Ovaj dokument trebao bi biti u korelaciji s politikom informacijske sigurnosti i biti, da tako kažemo, objašnjenje za korisnika.
Ovaj dokument može naznačiti da je korisnik dužan obavijestiti odgovarajuće tijelo o abnormalnoj aktivnosti računala. Pa, tamo možete dodati sve ostalo prilagođeno.
Ukupno morate upoznati korisnika s dva dokumenta:
- politika informacijske sigurnosti (tako da razumije što se radi i zašto, ne ljulja brod, ne psuje pri uvođenju novih sustava upravljanja itd.)
- ovaj “Procedura za korištenje SVT-a u tvrtki” (kako bi razumio što točno učiniti u određenim situacijama)
Sukladno tome, prilikom implementacije novog sustava jednostavno dodate nešto u “Proceduru” i o tome obavijestite zaposlenike slanjem procedure e-poštom (ili putem EDMS-a, ako je dostupan).
Oznake:
- Sigurnost informacija
- Upravljanje rizicima
- Sigurnosna politika
