Создание модели системы защиты коммерческой тайны для обеспечения информационной безопасности предприятий

ИНФОРМАЦИЯ В АС - сведения о фактах, событиях, процессах и явлениях в некоторой предметной области, включенные в систему обработки информации, или являющиеся ее результатом в различных формах представления на различных носителях и используемые (необходимые) для оптимизации принимаемых решений в процессе управления объектами данной предметной области;

ОБРАБОТКА ИНФОРМАЦИИ В АС - совокупность операций (сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС;

СУБЪЕКТЫ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - государство, государственные органы, государственные, общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодействующие с целью совместной обработки информации;

ЖИЗНЕННО ВАЖНЫЕ ИНТЕРЕСЫ - совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного развития субъекта (личности, организации, общества или государства).

ДОСТУПНОСТЬ ИНФОРМАЦИИ - свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия;

ЦЕЛОСТНОСТЬ ИНФОРМАЦИИ - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию);

КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней;

УЯЗВИМОСТЬ СУБЪЕКТА ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциальная подверженность субъекта нанесению ущерба его жизненно важным интересам посредством воздействия на критичную для него информацию, ее носители и процессы обработки;

УЯЗВИМОСТЬ ИНФОРМАЦИИ - подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию;

УГРОЗА ИНТЕРЕСАМ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциально возможное событие, действие, процесс или явление, которое посредством воздействия на информацию и другие компоненты АС может привести к нанесению ущерба интересам данных субъектов;

УГРОЗА БЕЗОПАСНОСТИ ИНФОРМАЦИИ - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному ее тиражированию;

БЕЗОПАСНОСТЬ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ -защищенность субъектов информационных отношений от нанесения им материального, морального или иного ущерба путем воздействия на информацию и/или средства ее обработки и передачи;

БЕЗОПАСНОСТЬ АС (компьютерной системы) - защищенность АС от несанкционированного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, незаконной модификации или разрушения ее компонентов;

БЕЗОПАСНОСТЬ ЛЮБОГО КОМПОНЕНТА (РЕСУРСА) АС - складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности;

Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу);

БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ ТЕХНОЛОГИИ - защищенность технологического процесса переработки информации;

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования;

ДОСТУП К ИНФОРМАЦИИ - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление);

ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе;

РАЗГРАНИЧЕНИЕ ДОСТУПА К РЕСУРСАМ АС - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами;

ОБЪЕКТ - пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа;

СУБЪЕКТ - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа;

АВТОРИЗОВАННЫЙ СУБЪЕКТ ДОСТУПА - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия);

ДОСТУП К РЕСУРСУ - получение субъектом доступа возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом;

НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

НЕСАНКЦИОНИРОВАННОЕ ДЕЙСТВИЕ - действие субъекта в нарушение установленных в системе правил обработки информации;

НАРУШИТЕЛЬ - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства (чисто агентурные методы получения сведений, технические средства перехвата без модификации компонентов системы, штатные средства и недостатки систем защиты, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ и т.п.);

ЗЛОУМЫШЛЕННИК - нарушитель, действующий умышленно из корыстных побуждений;

СИСТЕМА ЗАЩИТЫ АС (ИНФОРМАЦИИ) - совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программных и аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности АС (циркулирующей в АС информации);

ЦЕЛЬ ЗАЩИТЫ АС (ИНФОРМАЦИИ) - предотвращение или минимизация наносимого ущерба (прямого или косвенного, материального, морального или иного) субъектам информационных отношений посредством нежелательного воздействия на компоненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации;

ПРАВОВЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ - действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения, препятствующие тем самым неправомерному ее использованию и являющиеся сдерживающим фактором для потенциальных нарушителей;

МОРАЛЬНО-ЭТИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ - традиционно сложившиеся в стране или обществе нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний;

ОРГАНИЗАЦИОННЫЕ (АДМИНИСТРАТИВНЫЕ) МЕРЫ ЗАЩИТЫ - это меры, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности циркулирующей в ней информации;

ФИЗИЧЕСКИЕ МЕРЫ ЗАЩИТЫ - это разного рода механические, электро или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам АС и защищаемой информации, а также технические средства визуального наблюдения, связи и охранной сигнализации;

ТЕХНИЧЕСКИЕ (АППАРАТНО-ПРОГРАММНЫЕ) СРЕДСТВА ЗАЩИТЫ - различные электронные устройства и специальные программы, входящие в состав АС, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.);

АДМИНИСТРАТОР БЕЗОПАСНОСТИ - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты;

Секретная информация - речевая информация, информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, а также другие информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, представленные в виде информативных акустических и электрических сигналов, физических полей, материальных носителей (в том числе на магнитной и оптической основе), информационных массивов и баз данных.

Защищаемые объекты информатизации:

средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации;

технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация;

выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи;

Основные технические средства и системы (ОТСС) защищаемого объекта информатизации - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи секретной информации. К ним могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), используемые для обработки секретной информации;

Вспомогательные технические средства и системы (ВТСС) защищаемого объекта информатизации - технические средства и системы, не предназначенные для передачи, обработки и хранения секретной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.

К ним относятся:

различного рода телефонные средства и системы;

средства вычислительной техники;

средства и системы передачи данных в системе радиосвязи;

средства и системы охранной и пожарной сигнализации;

средства и системы оповещения и сигнализации;

контрольно-измерительная аппаратура;

средства и системы кондиционирования;

средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания; телевизоры и радиоприемники и т.д.);

средства электронной оргтехники;

средства и системы электрочасофикации;

Выделенные помещения (ВП) - помещения (служебные кабинеты, актовые залы, конференцзалы и т.д.), специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.) по секретным вопросам, а также помещения, оборудованные средствами правительственной связи, иных видов специальной связи;

Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта секретная информация, передаваемая, хранимая или обрабатываемая в ОТСС и обсуждаемая в ВП;

Контролируемая зона (КЗ) - это пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

периметр охраняемой территории предприятия (учреждения);

ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне;

Зона 2 - пространство вокруг ОТСС, на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения;

Зона 1 - пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС информативного сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы контролируемой зоны, не превышает нормированного значения.



Приложение В

Конфиденциально

Экз. единственный

До окончания исполнения

УТВЕРЖДАЮ

Директор

__________(____________)

(подпись, инициалы и фамилия руководителя предприятия)

«____» _______________2012 г.

(дата утверждения)

________________________

(название предприятия)

Перечень КТ, подлежащей защите

«____»________г.№ __________

г. ________________________

(город)

1.Производство

1.1 Сведения о структуре производства, типе и размещении оборудования, запасов материалов и готовой продукции.

2.Управление

2.1. Структура кадров и производства.

2.2. Размер заработной платы и вознаграждения сотрудников.

2.3. Сведения о подготовке, принятии и исполнении отдельных решений руководства фирмы по производственным, коммерческим, организационным и иным вопросам.

2.4. Содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности, сумма средств, находящихся на счете в банке и кассе (кроме налоговых, правоохранительных и контролирующих органов)

3.Планы

3.1. Сведения о планах расширения или свертывания производства различных видов изготовляемой продукции и их технико-экономических обоснованиях.

3.2. Сведения о проектах годовых и перспективных планов экономической деятельности.

3.3. Инвестиционные программы.

4.Совещания

4.1. Сведения о целях, рассматриваемых вопросах, результатах, фактах проведения совещаний органами управления предприятия.

5.Рынок

5.1. Сведения о применяемых предприятием оригинальных методах изучения рынка.

5.2. Сведения о направлениях маркетинговых исследований, результатах изучения рынка, содержание оценки состояния и перспективы развития рыночной конъюнктуры.

5.3.Сведения о рыночной стратегии фирмы.

5.4. Сведения о применяемых фирмой оригинальных методах осуществления продаж.

5.5. Сведения об эффективности коммерческой деятельности предприятия.

5.6. Сведения о местах сбыта готовой продукции.

6.Партнеры

6.1. Систематизированные сведения о заказчиках, поставщиках, клиентах, потребителях, покупателях, компаньонах, посредниках и других партнерах, деловых отношениях предприятия, а также о его конкурентах, которые не содержаться в открытых источниках (справочниках, каталогах и др.).

7.Переговоры

7.1. Сведения о целях, задачах и результатах переговоров с деловыми партнерами предприятия.

8.Контракты

8.1. Условия коммерческих контрактов, платежей, услуг.

9.Цены

9.1. Сведения о методах расчета, структуре, уровне цен на продукцию.

10.Технология

10.1. Сведения об особенностях используемых и разрабатываемых технологий и специфике их применения.

10.2. Технологические образцы в стадии разработки.

11.Безопасность

11.1. Сведения о порядке организации защиты служебной и коммерческой тайны.

11.2. Сведения о порядке и состоянии организации охраны, пропускного режима, системы сигнализации.

11.3. Сведения о репутации персонала предприятия (собственная оценка отдела кадров).



Приложение Г

Конфиденциально

Экз. единственный

До окончания исполнения

УТВЕРЖДАЮ

Директор

____________(____________)

(подпись, инициалы и фамилия руководителя предприятия)

«___» _______________2012 г.

(дата утверждения)

___________________________

(название предприятия)

Политика информационной безопасности предприятия

«____»___________2012 г. № ______________

г. ________________________

(город)

Основные понятия защиты информации и информационной безопасности

Основные понятия защиты информации и информационной безопасности компьютерных систем и сетей определяются ГОСТ Р 50922--96.

Защита информации -- это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Объект защиты -- информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Цель защиты информации -- это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации -- степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки -- деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.

Защита информации от разглашения -- деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

Защита информации от НСД -- деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.

Система защиты информации -- совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной.

Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы:

аппаратные средства -- компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства -- дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);

программное обеспечение -- приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

данные -- хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

персонал -- обслуживающий персонал и пользователи.

Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.

Конфиденциальность данных -- это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.

Достоверность информации -- свойство информации, выражающееся в строгой принадлежности субъекту, который является ее источником, либо тому субъекту, от которого эта информация принята.

Средство защиты информации -- техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации

Комплекс средств защиты (КСЗ) -- совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Техника защиты информации -- средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Корпоративные сети относятся к распределенным автоматизированным системам (АС), осуществляющим обработку информации. Обеспечение безопасности АС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования АС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, т. е. защиту всех компонентов АС -- аппаратных средств, программного обеспечения (ПО), данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на разработанной для АС политике безопасности.

Политика безопасности -- это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств зашиты компьютерной системы от заданного множества угроз.

Политика информационной безопасности предприятия

Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которого реализуется деятельность в компьютерной информационной системе организации. Политика безопасности определяется используемой компьютерной средой и отражает специфические потребности организации.

Политика безопасности определяет позицию организации по рациональному использованию компьютеров и сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик -- от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

Политика безопасности определяет стратегию управления в области информационной безопасности, а также меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого конкретными документами специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматриваться, гарантируя тем самым учет текущих потребностей организации. Документ политики составляют таким образом, чтобы политика была относительно независимой от конкретных технологий, в этом случае документ не потребуется изменять слишком часто.

Для того чтобы познакомиться с основными понятиями политики безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоторой организации, и ассоциированную с ней политику безопасности.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа, который призван продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.

Область применения. В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации. Основные цели -- обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. К частным целям относятся:

обеспечение уровня безопасности, соответствующего нормативным документам;

следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);

обеспечение безопасности в каждой функциональной области локальной сети;

обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

обеспечение анализа регистрационной информации;

предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности. Они обязаны:

обеспечивать защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

оперативно и эффективно реагировать на события, таящие угрозу, информировать администраторов сервисов о попытках нарушения защиты;

использовать проверенные средства аудита и обнаружения подозрительных ситуаций, ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;

не злоупотреблять своими полномочиями, так как пользователи имеют право на тайну;

разрабатывать процедуры и подготавливать инструкции для защиты локальной сети от вредоносного программного обеспечения, оказывать помощь в обнаружении и ликвидации вредоносного кода;

регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

выполнять все изменения сетевой аппаратно-программной конфигурации;

гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам, выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

периодически производить проверку надежности защиты локальной сети, не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов отвечают за конкретные сервисы, и в частности за построение защиты в соответствии с общей политикой безопасности. Они обязаны:

управлять правами доступа пользователей к обслуживаемым объектам;

оперативно и эффективно реагировать на события, таящие угрозу, оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;

регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

ежедневно анализировать регистрационную информацию, относящуюся к сервису, регулярно контролировать сервис на предмет вредоносного программного обеспечения;

периодически производить проверку надежности защиты сервиса, не допускать получения привилегий неавторизованными пользователями.

Пользователи работают с локальной сетью в соответствии с политикой безопасности, подчиняются распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставят в известность руководство обо всех подозрительных ситуациях. Они обязаны:

знать и соблюдать законы, правила, принятые в данной организации, политику безопасности, процедуры безопасности, использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

использовать механизм защиты файлов и должным образом задавать права доступа;

выбирать качественные пароли, регулярно менять их, не записывать пароли на бумаге, не сообщать их другим лицам;

информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;

не использовать слабости в защите сервисов и локальной сети в целом, не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

обеспечивать резервное копирование информации с жесткого диска своего компьютера;

знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения, знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;

знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Санкции. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут потребоваться для ознакомления дополнительные документы, в частности, документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть краткими -- объемом в одну-две страницы.

Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, т. е. о ее защите от НСД.

На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. В нее могут быть включены не только все компьютерные системы организации, но и домашние компьютеры сотрудников, если политика регламентирует некоторые аспекты их использования. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, т. е. политика может служить основой подотчетности персонала.

Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией. Примеры таких вопросов -- отношение к доступу в Internet (проблема сочетания свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т. д.

Нижний уровень политики безопасности относится к конкретным сервисам. Она включает два аспекта -- цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Главным компонентом политики безопасности организации является базовая политика безопасности.

Базовая политика безопасности устанавливает, как организация обрабатывает информацию, кто может получить к ней доступ и как это можно сделать.

Нисходящий подход, реализуемый базовой политикой безопасности, дает возможность постепенно и последовательно выполнять работу по созданию системы безопасности, не пытаясь сразу выполнить ее целиком. Базовая политика позволяет в любое время ознакомиться с политикой безопасности в полном объеме и выяснить текущее состояние безопасности в организации.

Структура и состав политики безопасности зависит от размера и целей компании. Обычно базовая политика безопасности организации поддерживается набором специализированных политик и процедур безопасности.

Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие -- специфичны для определенных компьютерных окружений.

Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, т. е. как реализовывать политики безопасности.

По существу процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Часто процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила конструирования паролей, правила о том, как защитить пароль и как часто его заменять. Процедура управления паролями описывает процесс создания новых паролей, их распределения, а также процесс гарантированной смены паролей на критичных устройствах.

Процедуры безопасности детально определяют действия, которые нужно предпринять при реагировании на конкретные события; обеспечивают быстрое реагирование в критической ситуации; помогают устранить проблему единой точки отказа в работе, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.

Размещено на Allbest.ru