Політика безпеки трактується як набір норм, правил і практичних прийомів, які регулюють управління, захист і розподіл цінної інформації. На практиці політика безпеки трактується дещо ширше - як сукупність документованих адміністративних рішень, спрямованих на забезпечення безпеки інформаційного ресурсу. Результатом політики є високорівнева документ, що являє систематизоване викладення цілей, завдань, принципів і способів досягнення інформаційної безпеки.

Даний документ представляє методологічну основу практичних заходів (процедур) з реалізації ОБІ і містить наступні групи відомостей.

1. Основні положення інформаційної безпеки.

2. Область застосування.

3. Цілі і завдання забезпечення інформаційної безпеки.

4. Розподіл ролей і відповідальності.

5. Загальні обов'язки.

Основні положення визначають важливість ОБІ, загальні проблеми безпеки, напрями їх вирішення, роль співробітників, нормативно-правові основи. Областю застосування політики безпеки є основні активи і підсистеми АС, що підлягають захисту. Типовими активами є програмно-апаратний та інформаційне забезпечення АС, персонал, в окремих випадках - інформаційна інфраструктура підприємства.

Цілі, завдання, критерії ОБІ випливають із функціонального призначення підприємства. Наприклад, для режимних організацій на перше місце ставиться дотримання конфіденційності. Для сервісних інформаційних служб реального часу важливим є забезпечення доступності (оперативної готовності) підсистем. Для інформаційних сховищ актуальним може бути забезпечення цілісності даних і т. д. Тут на ті закони та правила організації, які слід враховувати при проведенні робіт з ОБІ.

Типовими цілями можуть бути наступні:

- забезпечення рівня безпеки, відповідного нормативним документам підприємства;

- проходження економічної доцільності у виборі захисних заходів;

- забезпечення відповідного рівня безпеки в конкретних функціональних областях АС;

- забезпечення підзвітності всіх дій користувачів з інформаційними ресурсами та аналізу реєстраційної інформації;

- вироблення планів відновлення після критичних ситуацій та забезпечення безперервності роботи АС та ін.

Якщо підприємство не є ізольованим, цілі і завдання розглядаються в більш широкому контексті: повинні бути обумовлені питання безпечного взаємного впливу локальних і віддалених підсистем.

У даному документі можуть бути конкретизовані деякі стратегічні принципи безпеки (що випливають з цілей і завдань ОБІ). Такими є стратегії дій у разі порушення політики безпеки підприємства та сторонніх організацій, взаємодії із зовнішніми організаціями, правоохоронними органами, пресою та ін В якості прикладу можна навести дві стратегії дій у відповідь на порушення безпеки:

- «Вистежити і засудити», коли зловмиснику дозволяють продовжити дії з метою його компрометації і покарання (дану стратегію схвалюють правоохоронні органи!),

- «Захиститися і продовжити», коли організація побоюється за уразливість інформаційних ресурсів і чинить максимальний протидія порушенню.

Перелік обставин, що дозволяють вибрати стратегію у відповідь заходів, наведений у таблиці 2.



Таблиця 2 Критерії вибору відповідних заходів

Захиститися і продовжити	Вистежити і засудити
· активи ІОМ недостатньо захищені; · тривалість вторгнення пов'язана з фінансовим ризиком; · невідомий коло користувачів; · користувачі можуть притягнути до відповідальності організацію ІОМ за завдані збитки та ін.	· ІОМ добре захищена, є надійні засоби резервування; · спостерігаються повторні та часті атаки; · дії зловмисника можна контролювати; · організація має позитивний досвід роботи з правоохоронними та правозахисними органами та ін.

Політика безпеки зачіпає всіх користувачів комп'ютерів в організації. Тому важливо вирішити так звані політичні питання наділення всіх категорій користувачів відповідними правами, привілеями та обов'язками.

Для цього визначається коло осіб, що має доступ до підсистем і сервісів АС. Для кожної категорії користувачів описуються правильні і неправильні способи використання ресурсів - що заборонено і дозволено. Тут специфицируются рівні та регламентація доступу різних груп користувачів. Слід зазначити, яке з правил умовчання на використання ресурсів прийнято в організації, а саме:

- Що явно не заборонено, те дозволено;

- що явно не дозволено, те заборонено.

Одним з найбільш вразливих місць в ОБІ є розподіл прав доступу. У політиці безпеки повинна бути затверджена схема управління розподілом прав доступу до сервісів - централізована або децентралізована, або інша. Повинно бути чітко визначено, хто розпоряджається правами доступу до сервісів і якими саме правами. Доцільно детально описати практичні процедури наділення користувачів правами. Тут слід вказати посадових осіб, які мають адміністративні привілеї та паролі для певних сервісів.

Права та обов'язки користувачів визначаються стосовно до безпечного використання підсистем і сервісів АС. При визначенні прав і обов'язків адміністраторів слід прагнути до деякого балансу між правом користувачів на таємницю і обов'язком адміністратора контролювати порушення безпеки.

Важливим елементом політики є розподіл відповідальності. Політика не може передбачити всього, проте, вона повинна для кожного виду проблем знайти відповідального.

Зазвичай виділяються кілька рівнів відповідальності. На першому рівні кожен користувач зобов'язаний працювати відповідно до політики безпеки (захищати свій рахунок), підкорятися розпорядженням осіб, відповідальних за окремі аспекти безпеки, доводити до відома керівництво про всі підозрілі ситуації. Системні адміністратори відповідають за захист відповідних інформаційно-обчислювальних підсистем. Адміністратори мереж повинні забезпечувати реалізацію організаційно-технічних заходів, необхідних для проведення в життя політики безпеки АС. Керівники підрозділів відповідають за доведення та контроль положень політики безпеки.

З практичної точки зору, політику безпеки доцільно розділити на кілька рівнів. Як правило, виділяють два-три рівні.

Верхній рівень носить загальний характер і визначає політику організації в цілому. Тут основна увага приділяється: порядку створення та перегляду політики безпеки; цілям, що переслідуються організацією в області інформаційної безпеки; питань виділення і розподілу ресурсів; принципам технічної політики в галузі вибору методів і засобів захисту інформації; координування заходів безпеки; стратегічному планування та контролю; зовнішнім взаємодіям та інших питань, що мають загальноорганізаційні характер.

На вказаному рівні формулюються головні цілі в області інформаційної безпеки (визначаються сферою діяльності підприємства): забезпечення конфіденційності, цілісності та / або доступності.

Середній рівень політики безпеки виділяють у разі структурної складності організації або при необхідності позначити специфічні підсистеми організації. Це стосується ставлення до перспективних, ще не достатньо апробованим технологіям. Наприклад, використання нових сервісів Internet, організація зв'язку і обробка інформації на домашніх і портативних комп'ютерах, ступінь дотримання положень комп'ютерного права та ін Крім того, на середньому рівні політики безпеки можуть бути виділені особливо значущі контури АС організації, наприклад, обробні секретну або критично важливу інформацію.

За розробку і реалізацію політики безпеки верхнього та середнього рівнів відповідають керівник служби безпеки, адміністратори безпеки АС, адміністратор корпоративної мережі.

Нижній рівень політики безпеки відноситься до конкретних служб або підрозділам організації та деталізує верхні рівні політики безпеки. Даний рівень необхідний, коли питання безпеки конкретних підсистем потребують вирішення на управлінському, а не тільки на технічному рівні.

Зрозуміло, що на даному рівні визначаються конкретні цілі, приватні критерії та показники інформаційної безпеки, визначаються права конкретних груп користувачів, формулюються відповідні умови доступу до інформації і т. п. Тут з конкретних цілей виводяться (зазвичай формальні) правила безпеки, що описують, хто, що і за яких умов може робити або не може. Більш детальні і формальні правила спростять впровадження системи і налаштування коштів ОБІ.

На цьому рівні описуються механізми захисту інформації та використовуються програмно-технічні засоби для їх реалізації (в рамках, звичайно, управлінського рівня, але не технічного).

За політику безпеки нижнього рівня відповідають системні адміністратори.

У рамках розробки політики безпеки проводиться аналіз ризиків (risk analysis). Це робиться з метою мінімізації витрат на ОБІ. Нагадаємо, що основний принцип безпеки - витрати на засоби захисту не повинні перевищувати вартості об'єктів, що захищаються. При цьому якщо політика безпеки оформляється у вигляді високорівневого документа, що описує загальну стратегію, то аналіз ризиків (як додаток) оформляється у вигляді списку активів, що потребують захисту.

Короткий зміст документів ПІБ

"Концепція забезпечення інформаційної безпеки в АС" містить:

• загальну характеристику об'єкта захисту (опис складу, функцій і існуючої технології обробки даних у типовий АС);

• формулювання цілей створення системи захисту, основних завдань забезпечення інформаційної безпеки і шляхів досягнення цілей (рішення задач);

• перелік типових погроз інформаційної безпеки і можливих шляхів їх реалізації, неформальна модель ймовірних порушників;

• основні принципи і підходи до побудови системи забезпечення інформаційної безпеки, заходи, методи і засоби досягнення цілей захисту.

"План захисту" від несанкціонованого доступу до інформації і незаконного втручання в процес функціонування АС містить:

• визначення цілей, задач захисту інформації в АС і основних шляхів їх досягнення (рішення);

• вимоги до організації та проведення робіт із захисту інформації в АС,

• опис застосовуваних заходів і засобів захисту інформації від розглянутих погроз, загальних вимог до настроювань застосовуваних засобів захисту інформації від НСД;

• розподіл відповідальності за реалізацію "Плану захисту АС" між посадовими особами та структурними підрозділами організації.

"Положення про категоріювання ресурсів АС" містить:

• формулювання цілей введення класифікації ресурсів (АРМ, задач, інформації, каналів передачі) за ступенями (категоріях) захищеності;

• пропозиції по числу і назвам категорій захисту ресурсів і критеріям класифікацією ресурсів по необхідних ступенях захищеності (Категоріями);

• визначення заходів і засобів захисту інформації, обов'язкових і рекомендованих до застосування на АРМ різних категорій;

• загальні положення, спеціальні терміни і визначення, що зустрічаються в документі;

• зразок формуляра ЕОМ (для обліку необхідного ступеня захищеності (категорії) , комплектації, конфігурації і переліку розв'язуваних на ЕОМ завдань);

• зразок формуляра розв'язуваних на ЕОМ АС функціональних задач (для обліку їх характеристик, категорій користувачів завдань та їх прав доступу до інформаційних ресурсів даних задач).

"Порядок поводження з інформацією, що підлягає захисту" містить:

• визначення основних видів що захищаються (конфіденційних) відомостей (інформаційних ресурсів);

• загальні питання організації обліку, зберігання та знищення документів і магнітних носіїв конфіденційної інформації;

• порядок передачі (надання) конфіденційних відомостей третім особам;

• визначення відповідальності за порушення встановлених правил поводження з захисту інформації;

• форму типового Угоди (зобов'язання) співробітника організації про дотримання вимог поводження з захищається.

"План забезпечення безперервної роботи і відновлення" включає:

• загальні положення (призначення документа);

• класифікацію можливих (значимих) кризових ситуацій і вказівка джерел одержання інформації про виникнення кризової ситуації;

• перелік основних заходів і засобів забезпечення безперервності процесу функціонувавання ІС та своєчасності відновлення її працездатності;

• загальні вимоги до підсистеми забезпечення безперервної роботи і відновлення;

• типові форми для планування резервування ресурсів підсистем АС і визначення ня конкретних заходів і засобів забезпечення їх безперервної роботи і відновлення;

• порядок дій та обов'язки персоналу по забезпечення безперервної роботи та відновлення працездатності системи.

"Положення про відділ технічного захисту інформації" містить:

загальні положення, керівництво відділом;

основні завдання і функції відділу;

права і обов'язки начальника і співробітників відділу, відповідальність;

типову організаційно-штатну структуру відділу.

"Обов'язки адміністратора інформаційної безпеки підрозділу" містять:

• основні права і обов'язки по підтримці необхідного режиму безпеки;

• відповідальність за реалізацію прийнятої політики безпеки

"Пам'ятка користувачу" визначає загальні обов'язки співробітників підрозділів при роботі з засобами ІС і відповідальність за порушення встановлених порядків.

"Інструкція з внесення змін до списків користувачів" визначає процедуру реєстрації, надання або зміни прав доступу користувачів до ресурсів АС.

"Інструкція з модифікації технічних і програмних засобів" регламентує взаємодію підрозділів Організації із забезпечення безпеки інформації при проведенні модифікацій програмного забезпечення та технічного обслуговування засобів обчислювальної техніки.

"Інструкція з організації парольного захисту" регламентує організаційно-технічне забезпечення процесів генерації, зміни і припинення дії паролів (видалення облікових записів користувачів) в автоматизованій системі організації, а також контроль за діями користувачів і обслуговуючого персоналу системи при роботі з паролями.

"Інструкція з організації антивірусного захисту" містить:

• вимоги до закупівлі, установці антивірусного програмного забезпечення;

• порядок використання засобів антивірусного захисту, регламенти проведення перевірок і дії персоналу при виявленні вірусів;

• розподіл відповідальності за організацію і проведення антивірусного контролю. "Інструкція по роботі з ключовими дискетами (ключами шифрування)" містить:

• порядок виготовлення, роботи, зберігання ключових дискет і знищення ключової інформації;

• обов'язки і відповідальність співробітників по використанню і схоронності ключової інформації;

• форми журналів обліку ключових дискет;

• порядок дій персоналу у випадку втрати, псування ключової дискети, компрометації ключової інформації.

8. Опис всіх технічних і адміністративних заходів, що плануються до реалізації

Інженерно-технічні заходи - сукупність спеціальних технічних засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищеності інформації, який необхідно забезпечити.

Інженерно-технічні заходи, що проводяться для захисту інформаційної інфраструктури організації, можуть включати використання захищених підключень, міжмережевих екранів, розмежування потоків інформації між сегментами мережі, використання засобів шифрування і захисту від несанкціонованого доступу.

У разі необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися установка в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і управління доступом.

Окремі приміщення можуть бути обладнані засобами захисту від витоку акустичної (мовної) інформації.

Експлуатація ОТСС, ВТСС повинна здійснюватися у суворій відповідності приписам та експлуатаційній документації на них.

Спеціальна перевірка ЗП і встановленого в ньому обладнання з метою виявлення можливо впроваджених у них електронних пристроїв перехоплення інформації "закладок" проводиться, при необхідності, за рішенням керівника підприємства.

Під час проведення конфіденційних заходів забороняється використання в ЗП радіотелефонів, кінцевих пристроїв стільникового, пейджингового та транкінгового зв'язку, переносних магнітофонів і інших засобів аудіо та відеозаписи. При установці в ЗП телефонних та факсимільних апаратів з автовідповідачем або спікерфоном, а також апаратів з автоматичним визначником номера, слід відключати їх з мережі на час проведення цих заходів.

Для виключення можливості витоку інформації за рахунок електроакустичної зміни рекомендується використовувати в ЗП в якості кінцевих пристроїв телефонного зв'язку, що мають прямий вихід до міської АТС, телефонні апарати (ТА), що пройшли спеціальні дослідження, або обладнати їх сертифікованими засобами захисту інформації від витоку за рахунок електроакустичного перетворення.

Для виключення можливості таємного проключенія ТА і прослуховування ведуться в ЗП розмов не рекомендується встановлювати в них цифрові ТА цифрових АТС, що мають вихід до міської АТС або до якої підключені абоненти, які не є співробітниками установи (підприємства).

У разі необхідності, рекомендується використовувати, сертифіковані за вимогами безпеки інформації, цифрові АТС.

Введення системи міського радіотрансляційного мовлення на територію установи (підприємства) рекомендується здійснювати через радіотрансляційний вузол, що розміщується в межах контрольованої зони.

При введенні системи міського радіомовлення без буферного підсилювача в ЗП слід використовувати абонентські гучномовці в захищеному від витоку інформації виконанні, а також трипрограмні абонентські гучномовці в режимі прийому 2-ї та 3-й програми (з підсилювачем).

У разі використання однопрограмних або трьохпрограмного абонентського звязку в режимі прийому першої програми (без підсилення) необхідно їх відключати на період проведення конфіденційних заходів.

У разі розміщення електрогодинникова станції всередині КЗ використання в ЗП електро-вторинних годин (ЕВЧ) можливе без засобів захисту інформації

При установці електрогодинникова станції поза КЗ в лінії ЕВЧ, що мають вихід за межі КЗ, рекомендується встановлювати сертифіковані засоби захисту інформації.

Системи пожежної та охоронної сигналізації ЗП повинні будуватися тільки за провідній схемі збору інформації (зв'язки з пультом) і, як правило, розміщуватись в межах однієї з ЗП контрольованій зоні.

У якості кінцевих пристроїв пожежної та охоронної сигналізації в ЗП рекомендується використовувати вироби, сертифіковані за вимогами безпеки інформації, або зразки засобів, що пройшли спеціальні дослідження і мають припис на експлуатацію.

При цьому рівень тестового мовного сигналу повинен бути не нижче використовуваного під час штатного режиму експлуатації приміщення.

Для зниження вірогідності перехоплення інформації віброакустичним каналом слід організаційно-режимними заходами виключити можливість встановлення сторонніх (позаштатних) предметів на зовнішній стороні огороджувальних конструкцій ЗП і виходять з них інженерних комунікацій (систем опалення, вентиляції, кондиціонування).

Для зниження рівня віброакустичного сигналу рекомендується розташовані в ЗП елементи інженерно-технічних систем опалення, вентиляції обладнати екранами.

У разі, якщо зазначені вище заходи захисту інформації від витоку акустичним і віброакустичним каналами недостатні або недоцільні, рекомендується застосовувати метод активного акустичного або віброакустичного маскуючого зашумлення.

Для цієї мети повинні застосовуватися сертифіковані засоби активного захисту.

При експлуатації ЗП необхідно передбачати організаційно-режимні заходи, спрямовані на виключення несанкціонованого доступу в приміщення:

· двері ЗП в період між заходами, а також у неробочий час необхідно закривати на ключ;

· видача ключів від ЗП повинна проводитися особам, які працюють в ньому або відповідальною за це приміщення;

· установка і заміна обладнання, меблів, ремонт ЗП повинні проводитися тільки за погодженням і під контролем підрозділу (спеціаліста) із захисту інформації учнів (підприємства).

Тож, для досягнення максимальної ефективності системи захисту необхідно виконати ряд організаційних та інженерно-технічних заходів у комплексі. У зв'язку з цим, встановлено, що головною особливістю організаційних заходів з захисту інформації є чітке формування вимог, інструкцій та правил для роботи системи захисту, а також проведення інструктажів з персоналом щодо цього.

Розроблено рекомендації для користувачів та обслуговуючого персоналу, які є основою при проведенні організаційних заходів щодо захисту інформації, запропонований простий спосіб скритного усунення несанкціонованого використання носіїв інформації, а також кілька ефективних пристроїв і методів для постановки перешкод з метою усунення несанкціонованого доступу до інформації. Також запропоновані вимоги та рекомендації щодо захисту інформації в АС.



9. Затвердження ПІБ у керівництва фірми. Впровадження ПІБ - довід політики інформаційної безпеки до відома всіх співробітників організації, проводження навчання. Подальший перегляд і коригування ПІБ

Затвердження ПІБ являє собою один з кінцевих та заключних етапів створення ПІБ. Затвердження відбуваеться на зборах керівників підрозділів причетних до обробки інформації обмеженого доступу, або затверджується керівником або власником інформації окремо.

Після затвердження ПІБ відбуваеться її впровадження, тобто розмеження прав доступу до інформаціїї, пояснення правил та обов'язків для працівників, які працюють з інформацією обмеженого доступу.

Корегування ПІБ відбувається у зв'язку з тим що, конфігурацію АС було змінено, змінена категорія оброблюваної інформації, змінені системи обслуговування доступу та сигналізації АС.

Після корегування знову відбувається затвердження та впровадження.



Висновок

Розробка адекватної і актуальною ПІБ дозволить підвищити рівень довіри до компанії з боку акціонерів, потенційних інвесторів, ділових партнерів, професійних учасників ринку цінних паперів, уповноважених державних органів та інших зацікавлених сторін.

Також ПІБ дозволить:

• підвищити загальний рівень захисту інформаційних ресурсів та ІТ - інфраструктури організації;

• скоординувати, формалізувати та зафіксувати вимоги та процедури забезпечення ІБ;

• мінімізувати ризики бізнесу шляхом захисту інтересів компанії в інформаційних ційної сфері;

• зафіксувати відповідальність між адміністраторами, користувачами і керівниками структурних підрозділів в частині ІБ;

• забезпечити безпечне, довірена і адекватне управління підприємством;

• планувати і підтримувати безперервність бізнесу;

• підвищити якість діяльності щодо забезпечення ІБ;

• знизити витрати і підвищити ефективність інвестицій в ІБ;

• забезпечувати ІБ з урахуванням вимог національних та міжнародних стандартів



Перелік посилань

Галатенко В.А. Основы информационной безопасности. Интернет-университет информационных технологий. Адрес: www.intuit.ru.

Галатенко В.А. Что понимать под информационной безопасностью //Экономика и производство.-1999. - № 3.

Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты.-Москва * Санкт-Петербург * Киев: ООО "ТИД "ДС", 2002.- 688 с.

Духов В.Е. Экономическая разведка и безопасность бизнеса. - Киев: ИМСО МО Украины, НВФ "Студцентр", 1997. - 175с.

Коржик В.И., Кушнир Д.В. Теоретические основы информационной безопасности телекоммуникационных систем : Учеб. Пособие. - С.-Петербург: СПбГУТ.-СПб, 2000. - 134 с.

Максимов Ю.Н., Сонников В.Г., Петров В.Г. и др. Технические методы и способы защиты информации. -С.-Петербург: Полигон, 2000. -320 с.

Соловьев Э.Я. Коммерческая тайна и ее защита. - Москва: ИВФ Антал, 1996. - 64 с.

Теоретические основы компьютерной безопасности / Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. : Учеб. пособие. -М.: Радио и связь, 2000. - 192 с.

Торокин А.А. Основы инженерно-технической защиты информации. - Москва: изд. "Ось", 1998. - 336 с.

Хорошко В.А., Чекатков А.А. Методы и средства защиты информации: - К.: Издательство Юниор, 2003, - 504 с.

Шаповалов П.П. Поиск и оперативное пресечение негласного съема информации. Москва: ЗАО "Щит", 2000. - 81 с.

Конституция Украины.

Закон України "Про інформацію".

Закон України "Про захист інформації в автоматизованих системах".

Закон України "Про підприємства".

Постанова КМ, від 04.02. 1998, N 121 "Про затвердження переліку обов'язкових етапів робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних".

ДСТЗІ Наказ від 28.04.1999 р. № 22 про введення в дію нормативного документу "НД ТЗІ 1.1-002-99 Загальні положення що до захисту інформації в комп'ютерних системах від несанкцінованного доступу".

Размещено на Allbest.ru