Частная политика информационной безопасности

Частная политика информационной безопасности

В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.

Здесь вы сможете найти ответы на вопросы:

  • для чего нужна политика информационной безопасности;
  • как ее составить;
  • как ее использовать.
Необходимость наличия политики ИБ

В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.

Понимание целей и задач подразделения информационной безопасности
Требования политики — основание для внедрения защитных мер

Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)

Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.

При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:

  • почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
  • кто это все придумал

Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток.
При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:

данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании

Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?

Рекомендации по разработке политики ИБ

При разработке политики следует помнить о двух моментах.

  • Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
  • Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.


Конечный документ должен удовлетворять следующим требованиям:

  • лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
  • доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)

Каким образом этого добиться?

На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.

Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.

Анализ политик ИБ существующих компаний
Полезное количество страниц* Загруженность терминами Общая оценка
ОАО „Газпромбанк“ 11 Очень высокая Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО „Фонд развития предпринимательства “Даму» 14 Высокая Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО НК «КазМунайГаз» 3 Низкая Простой для понимания документ, не перегруженный техническими терминами
ОАО «Радиотехнический институт имени академика А. Л. Минца» 42 Очень высокая Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц

* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации

Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.

Внедрение и использование политики ИБ

После утверждения политики ИБ необходимо:

  • ознакомить с политикой всех уже работающих сотрудников;
  • ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
  • проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
  • принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
  • разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
  • не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.
Читайте также:  Нижний новгород стороны света на карте

По вопросам и предложениям добро пожаловать в комментарии и личку.

UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).

Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.

Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.

Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.

Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.

Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?

Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.

Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.

Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.

То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.

Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.

В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.

Итого, у вас появляется необходимость ознакомить юзера с двумя документами:

  • политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
  • этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)

Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).

Настоящая Политика является основополагающим документом, регулирующим деятельность Группы компаний Softline в области информационной безопасности.

Корпоративные требования в сфере обеспечения информационной безопасности распространяются на все регионы деятельности и на все бизнес-подразделения Группы компаний Softline.

Политика информационной безопасности закладывает требования к менеджменту информационной безопасности в соответствии с требованиями международного стандарта ISO27001:2013 (действующая в области Технической Поддержки).

Настоящий документ включает в себя следующие аспекты:

  • Цели в области информационной безопасности.
  • Задачи обеспечения информационной безопасности.
  • Принципы обеспечения информационной безопасности.
  • Ответственность за нарушение Политики информационной безопасности.

Настоящий документ обязателен к исполнению всем сотрудникам Группы компаний Softline.

Документ «Политика информационной безопасности»

ОБЩИЕ ПОЛОЖЕНИЯ

Под информационной безопасностью понимается состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.

Политика информационной безопасности разработана в соответствии с положениями международного стандарта ISO/IEC 27001:2013.

Читайте также:  Windows 10 ltsb x64 msdn

Политика информационной безопасности утверждается Председателем совета директоров Группы компаний Softline.

Пересмотр Политики проводится на регулярной основе не реже одного раз в год.

Ответственность за общий контроль содержания настоящего документа и внесение в него изменений возлагается на Руководителя Департамента безопасности.

ЦЕЛИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В области информационной безопасности Группой компаний Softline устанавливаются следующие стратегические цели:

  • Повышение конкурентоспособности бизнеса Группы компаний Softline.
  • Соответствие требованиям законодательства и договорным обязательствам в части информационной безопасности.
  • Повышение деловой репутации и корпоративной культуры Группы компаний Softline.
  • Эффективное управление информационной безопасностью и непрерывное совершенствование системы управления информационной безопасностью.
  • Достижение адекватности мер по защите от угроз информационной безопасности.
  • Обеспечение безопасности корпоративных активов Группы компаний Softline, включая персонал, материально-технические ценности, информационные ресурсы, бизнес-процессы.

ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Система обеспечения информационной безопасности Группы компаний Softline должна решать следующие задачи:

  • Вовлечение высшего руководства Группы компаний Softline в процесс обеспечения информационной безопасности: деятельность по обеспечению информационной безопасности инициирована и контролируется высшим руководством Группы компаний Softline.
  • Соответствие требованиям законодательства РФ: Группа компаний Softline реализует меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами.
  • Согласованность действий по обеспечению информационной, физической и экономической безопасности: действия по обеспечению информационной, физической и экономической безопасности осуществляются на основе четкого взаимодействия заинтересованных подразделений Группы компаний Softline и согласованы между собой по целям, задачам, принципам, методам и средствам.
  • Применение экономически целесообразных мер: Группа компаний Softline стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации.
  • Проверка работников: все кандидаты на вакантные должности в Группе компаний Softline в обязательном порядке проходят проверку в соответствии с установленными процедурами.
  • Документированность требований информационной безопасности: в Группе компаний Softline все требования в области информационной безопасности фиксируются в разрабатываемых внутренних нормативных документах.
  • Повышение осведомленности в вопросах обеспечения информационной безопасности: документированные требования в области информационной безопасности доводятся до сведения работников всех бизнес-подразделений Группы компаний Softline и контрагентов в части их касающейся.
  • Реагирование на инциденты информационной безопасности: Группа компаний Softline стремится выявлять, учитывать и оперативно реагировать на действительные, предпринимаемые и вероятные нарушения информационной безопасности.
  • Оценка рисков: в Группе компаний Softline на постоянной основе реализуются мероприятия по оценке и управлению рисками информационной безопасности, повышению уровня защищенности информационных активов.
  • Учет требований информационной безопасности в проектной деятельности: помимо операционной деятельности, Группа компаний Softline стремится учитывать требования информационной безопасности в проектной деятельности. Разработка и документирование требований по обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов, связанных с обработкой, хранением и передачей информации.
  • Постоянное совершенствование системы управления информационной безопасностью: совершенствование системы управления информационной безопасности является непрерывным процессом.

ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Принцип системности

В Группе компаний Softline активы рассматриваются как взаимосвязанные и взаимовлияющие компоненты единой системы. Учитывается максимально возможное количество сценариев поведения системы в случае возникновения угроз информационной безопасности. Система защиты строится с учетом не только всех известных каналов получения несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип полноты (комплексности)

Для обеспечения информационной безопасности используется широкий спектр мер, методов и средств защиты информации. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающих все существующие каналы угроз и не содержащих слабых мест на стыках отдельных ее компонентов.

Принцип эшелонированности

Нельзя полагаться на один защитный рубеж, каким бы надежным он ни казался. Система обеспечения информационной безопасности стоится таким образом, чтобы наиболее защищаемая зона безопасности находилась внутри других защищаемых зон.

Принцип равнопрочности

Эффективность защитных механизмов не должна быть сведена на нет слабым звеном, возникшим в результате недооценки реальных угроз либо применения неадекватных мер защиты.

Принцип непрерывности

В Группе компаний Softline обеспечение информационной безопасности является непрерывным целенаправленным процессом, предполагающим принятие соответствующих мер на всех этапах жизненного цикла активов.

Принцип разумной достаточности

Руководство Группы компаний Softline исходит из того, что создать «абсолютную» защиту активов невозможно. Поэтому выбор средств защиты активов, адекватных реально существующим угрозам (т.е. обеспечивающих допустимый уровень возможного ущерба в случае реализации угроз), осуществляется на основе проведения анализа рисков.

Принцип законности

При выборе и реализации мер и средств обеспечения информационной безопасности Группой компаний Softline строго соблюдается законодательство Российской Федерации, требования нормативных правовых и технических документов в области обеспечения информационной безопасности Группы компаний Softline.

Принцип управляемости

Все процессы обеспечения и управления информационной безопасностью в Группе компаний Softline должны быть управляемыми, т. е. должна быть возможность мониторинга и измерения процессов и компонентов, своевременного выявления нарушений информационной безопасности и принятия соответствующих мер.

Принцип персональной ответственности

Ответственность за обеспечение безопасности активов возлагается на каждого работника в пределах его полномочий.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В случае нарушения установленных правил работы с информационными активами работник может быть ограничен в правах доступа к таким активам, а также привлечен к ответственности в соответствии с Трудовым кодексом, Кодексом об административных правонарушениях и Уголовным кодексом РФ.

Читайте также:  Что такое фронтальная камера на телефоне

Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ организации БС РФ — разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ организации БС РФ.

Политика ИБ организаций БС РФ разрабатывается на основе:

накопленного в организации БС РФ опыта в области обеспечения ИБ;

результатов идентификации активов, подлежащих защите;

результатов оценки рисков, с учетом особенностей бизнеса и технологий, требований законодательства Российской Федерации, нормативных актов Банка России;

также интересов и бизнес-целей конкретной организации БС РФ.

В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:

политика ИБ организации БС РФ;

частные политики ИБ организации БС РФ;

документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.

В политике (в частных политиках) ИБ должны определяться/корректироваться:

цели и задачи обеспечения ИБ;

основные области обеспечения ИБ;

типы основных защищаемых информационных активов;

модели угроз и нарушителей;

совокупность правил, требований и руководящих принципов в области ИБ;

основные требования по обеспечению ИБ;

принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;

основные принципы повышения уровня осознания и осведомленности в области ИБ;

принципы реализации и контроля выполнения требований политики ИБ.

5. Защита банковских платежных процессов

В качестве объектов защиты должны рассматриваться:

банковский платежный технологический процесс;

технологический процесс по управлению ролями и полномочиями сотрудников организации БС РФ, задействованных в обеспечении банковского платежного технологического процесса.

Требования к организации обеспечения ИБ

Банковский платежный технологический процесс должен быть однозначно определен (отражен) в нормативно-методических документах организации БС РФ.

Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией. В роли участников могут выступать организации БС РФ, юридические и физические лица.

Сотрудники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать всей полнотой полномочий для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения операций по изменению состояния банковских счетов.

Результаты технологических операций по обработке платежной информации должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами. Лица/автоматизированные процессы, осуществляющие обработку платежной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.

При работе с платежной информацией необходимо проводить авторизацию и контроль целостности данной информации.

Лучшей практикой при автоматизированной обработке платежной информации является оснащение средств вычислительной техники (на которых осуществляются операции над платежной информацией) сертифицированными или разрешенными руководителем организации БС РФ к применению средствами защиты от НСД и средствами криптографической защиты информации.

Подготовленная клиентами организации БС РФ платежная информация, на основании которой совершаются расчетные, учетные и кассовые операции, предназначена для внутреннего использования в организации БС РФ и может быть передана иным организациям только в соответствии с действующим законодательством Российской Федерации.

Указанная информация относится к категории строгой отчетности. Ограничительные пометки (грифы) "Для служебного пользования", "Конфиденциально" или "Банковская тайна" на документы, содержащие данную информацию, не проставляются.

Безопасность информации, отнесенной к банковской тайне, обеспечивается в соответствии со статьей 26 Федерального закона "О банках и банковской деятельности".

Комплекс мер по обеспечению информационной безопасности банковского платежного технологического процесса должен предусматривать:

защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов;

минимально необходимый, гарантированный доступ сотрудника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;

контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;

аутентификацию обрабатываемой платежной информации;

двустороннюю аутентификацию автоматизированных рабочих мест, участников обмена платежной информацией;

восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;

авторизованный ввод платежной информации в автоматизированные банковские системы двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение (Dual Control, ISO TR 13569);

сверку выходных платежных сообщений с соответствующими поступившими платежными сообщениями;

гарантированную доставку платежных сообщений участникам обмена.

Организации БС РФ — члены международных платежных систем с использованием банковских карт должны обеспечивать выполнение требований данных систем по информационной безопасности.

Обязанности по администрированию средств защиты платежной информации

Обязанности по администрированию средств защиты платежной информации для каждого технологического участка ее прохождения возлагаются приказом по организации БС РФ на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с отражением этих функций в его должностных обязанностях.

Администратор информационной безопасности должен действовать на основании соответствующего нормативного документа, разработанного в организации БС РФ и утвержденного руководством организации БС РФ.

Хорошей практикой является назначение денежной надбавки администратору информационной безопасности к его должностному окладу.

Ссылка на основную публикацию
Хайскрин пауэр айс эво
Вас интересуют характеристики Highscreen Power Ice Evo (Хайскрин Повер Ис Эво)? Мы собрали всю важную информацию, чтобы помочь определиться с...
Установить gvlk ключ что это
В связи с недавним выходом окончательной RTM версии пакета Microsoft Office 2016, корпоративные заказчики уже могут начинать переход на новую...
Установить openal32 dll для windows 7
Данная библиотека задействуется во многих процессах во время работы компьютера. Например, она используется в играх, мультимедиа и различных программах. Иногда...
Халявные страницы в вк логины и пароли
Please complete the security check to access youhack.ru Why do I have to complete a CAPTCHA? Completing the CAPTCHA proves...
Adblock detector