Разработка политики безопасности
Адекватный уровень информационной безопасности в современной организации может быть обеспечен только на основе комплексного подхода, реализация которого начинается с разработки и внедрения эффективной политики безопасности. Эффективные политики безопасности определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски информационной безопасности до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.
Политика безопасности - это превентивные меры по защите конфиденциальных данных и информационных процессов в организации. Превентивные меры - это коллективные меры, применяемые сообществом и направленные на предупреждение угрозы безопасности. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:
- определение класса конфиденциальности данных и степени их защиты;
- определение возможных злоумышленников и возможного ущерба;
- вычисление рисков и определение схемы уменьшения их до приемлемой величины.
В области информационной безопасности существуют два метода оценки текущей ситуации.
1. Метод исследование снизу вверх основан на схеме: «Вы - злоумышленник. Ваши действия?» Служба информационной безопасности, основываясь на данных об известных видах атак, пытается применить их на практике с целью проверки: возможно ли такая атака со стороны реального злоумышленника. Метод достаточно прост и требует небольших капиталовложений.
2.
Метод исследование сверху вниз представляет собой детальный анализ всей существующей схемы хранения и обработки информации. Метод состоит из нескольких этапов (рис. 6.5).
Первый этап: определение информационных объектов и потоков, подлежащих защите.
Второй этап: определение реализованных методик защиты информации, их объема и уровня исполнения.
Третий этап: проведение классификации информационных объектов в соответствии с конфиденциальностью, доступностью и целостностью.
Четвертый этап: выяснение возможного ущерба при атаке на каждый конкретный информационный объект. На этом этапе производится вычисление рисков по формуле:
Риск = «возможный ущерб от атаки» х «вероятность атаки».
Таблица 6.3.
Возможный ущерб от атаки
Величина ущерба | Описание |
Раскрытие информации имеет ничтожный моральный и финансовый ущерб | |
Ущерб от атаки незначителен, основные финансовые операции и положение фирмы на рынке не затронуты | |
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально | |
Значительные потери на рынке и в прибыли. От организации уходит ощутимая часть клиентов | |
Потери очень значительны, организация на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы | |
Организация прекращает существование |
Таблица 6.4.
Вероятность атаки
Вероятность атаки | Средняя частота появления атаки |
Атака отсутствует | |
Атака производится реже, чем раз в год | |
Атака производится около 1 раза в год | |
Атака производится около 1 раза в месяц | |
Атака производится около 1 раза в неделю | |
Атака производится практически ежедневно |
Ущерб от атаки представляет собой положительное число в соответствии с таблицей 6.3. Вероятность атаки представляет собой положительное число в соответствии с таблицей 6.4. Классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал, оценку вероятности появления атаки должны проводить технические работники организации.
Пятый этап: составление таблицы рисков предприятия. Таблица должна содержать данные о проведенных атаках, о вероятности, с которой производилась атака, о причиненном ущербе и риске (табл. 6.5.).
Таблица 6.5.
Таблица рисков
№ п/п | Описание атаки | Вероятность атаки | Причиненный ущерб | Риск |
Копирование базы данных с сервера | ||||
Троянский конь | ||||
… | … | … | … | |
Интегральный риск Итого: | S |
Шестой этап: анализ таблицы рисков. На этапе задаются некоторым максимально допустимым риском и проверяют таблицу на превышении допустимого значения. Если такое превышение имеет место, значит, данная строка является первоочередной для разработки политики безопасности. Затем производится сравнение удвоенного значения максимального риска с интегральным риском. Если интегральный риск превышает допустимое значение, значит, в системе безопасности имеются погрешности, которые в сумме не дадут предприятию эффективно работать. В этом случае выбираются строки с большим значением риска и производится попытка их уменьшить или устранить полностью.
Седьмой этап: разработка политики безопасности предприятия. На этом этапе с учетом законов страны, внутренних требований организации и этические нормы общества описываются технические и административные меры, планируемые к реализации.
Восьмой этап: расчет экономической стоимости программы и ее сравнение с потенциальным ущербом от атак. Если финансовые вложения в программу безопасности являются экономически невыгодными, то происходит возврат к шестому этапу.
Девятый этап: детальное документирование и утверждение политики безопасности у руководства организации.
Десятый этап: внедрение политики безопасности.На этапе внедрения политики безопасности решающее значение имеет поддержка руководства организации. Политика безопасности вводится в действие приказом руководителя организации и процесс ее внедрения должен находиться у него на контроле.
Политика безопасности лежит в основе организационных мер защиты информации. Она разрабатывается в соответствии со Стандартом ISO 17799 и заключается в принятии и реализации согласованных решений по обеспечению информационной безопасности в организации. Для того чтобы оставаться эффективной политика должна периодически корректироваться.