В процессе естественного развития любой информационной системы рано или поздно возникает проблема обеспечения ее информационной безопасности. Она может решаться разными способами.
Как правило, приобретаются и устанавливаются отдельные, не зависимые системы безопасности. Классический пример это межсетевые экраны и пакеты антивирусных программ. Классы этих систем и конкретные спецификации выбираются отдельными специалистами, согласно их личному опыту и предпочтениям. При этом, в роли специалистов могут выступать либо сотрудники ИТ отделов, либо менеджеры имеющие к ИТ вообще и безопасности в частности самое посредственное отношение. Естественно, что при таком подходе, информационная безопасность осуществляется однобоко и не эффективно: для одних систем может существовать чрезмерный контроль, а для других недостаточный или вовсе отсутствующий. Кроме того, такие системы безопасности не масштабируемые, ими сложно управлять, их сложно развивать и адаптировать под изменяющиеся требования бизнеса.
Предпочтительный подход к обеспечения безопасности информационных систем предполагает внедрение определенного процесса управления безопасностью, частью которого является политика информационной безопасности.
Цель настоящей статьи раскрыть понятие политики информационной безопасности. В ней приведены определение политики информационной безопасности, ее цели и состав, требования к ней и ее содержимому.
Примечание. Наиболее благоприятный случай предполагает синхронное и взаимозависимое развитие процесса обеспечения безопасности и информационной системы начиная с этапа планирования последней.
Определение политики ИБ
Используя школьный прием, разложим понятие политики информационной безопасности на составляющие.
Во первых, политика это свод формальных правил, которые должны неукоснительно соблюдаться для достижения ее целей.
Во вторых, безопасность это обеспечение условий необходимых как для существования ее объекта, так и для его развития. Ясно, что информационная безопасность это безопасность в информационной сфере. Под безопасностью информации принято понимать обеспечение ее конфиденциальности, целостности, доступности, а также таких свойств как неотказуемости, аутентичности, подотчетности и достоверности.
Таким образом, свободно политику информационной безопасности можно определить как свод формальных правил, которые необходимо соблюдать при работе с информацией для обеспечения существования и развития компании.
Цели и состав политики ИБ
Основной целью политики ИБ является общее описание правил работы с информацией компании. Наличие сформулированных и закрепленных на бумаге правил обеспечения информационной безопасности позволит достичь:
Стабильность защиты.
Независимость защиты от личных и профессиональных качеств исполняющего персонала.
Возможность контроля как защиты так и процедур обработки информации.
Перед разработкой политики информационной безопасности должен быть проведен анализ активов, включающий их учет и оценку. Готовая политика должна иметь в своем составе отдельный для каждого обнаруженного актива, группы взаимосвязанных активов или обособленной части актива компании в зависимости от ранее проведенного анализа их структуры и взаимосвязи.
Активы компании для которых разрабатывается политика ИБ могут принадлежать к следующим классам:
Аппаратное обеспечение.
Каналы связи.
Программное обеспечение.
Информация.
Персонал.
Процедуры.
В дополнение и исходя из политики ИБ могут быть разработаны другие документы, такие как руководства или стандарты. В отличии от политик они более конкретны, что выражается в привязке к определенному оборудованию, версиям программ или в точном указаний необходимой последовательности действий для достижения заданного результата. Кроме того, выполнение этих документов может не является обязательным, они могут носить информационный или рекомендательный характер.
Требования к политике ИБ
Политика ИБ разрабатывается специалистами ИБ компании для использования остальными сотрудниками компании. По этому, она должна быть изложена максимально просто, на обычном языке с использованием минимума специальной лексики только там где это необходимо.
Политика информационной безопасности должна описывать в своем содержании:
Цель.
Область применения.
Требования к защите.
Ответственность за нарушение.
Расшифровка специальных терминов. При необходимости.
Периодичность и учет пересмотра ().
Требования содержащиеся в политике информационной безопасности должны быть обоснованными и подходящими. Это значит что они должны устанавливаться исходя из уязвимостей, угроз и ценности защищаемых активов и не должны препятствовать их функционированию соответственно.
Кроме того, требования должны иметь общий характер и не зависеть от конкретных систем защиты. Наоборот, системы защиты выбираются исходя из политик информационной безопасности.
Также можно заметить, что требования политик информационной безопасности должны быть реализуемыми.
Заключение
Политика ИБ является важным документом без которого невозможно обеспечить эффективную защиту информации. Однако политика это не самоцель, она всего лишь элемент процесса управления или менеджмента безопасности. Этот процесс также составляют подготовительный этап, этап внедрения защитных мер, этап мониторинга и этап улучшения.
Все перечисленные этапы составляют замкнутый цикл, который должен осуществляться непрерывно в течение создания, существования и уничтожения информационной системы.
Ссылки
Примеры политик информационной безопасности, как оригинальные так и переводы SANS, могут быть найдены на этом в Политики.
Исчерпывающая информация о менеджменте безопасности может быть найдена в стандартах ISO 27 серии, а также в ГОСТ Р ИСО 13 серии, которые размещены на этом :
