08.11.2021
Специальная публикация NIST (Национального института стандартов и технологий США) 800-12 «Введение в информационную безопасность» (часть 5)
Политика информационной безопасности

При обсуждении информационной безопасности термин «политика» имеет несколько определений. NIST SP 800-95, Руководство по защите веб-службы, определяет политику как «заявления, правила или утверждения, которые определяют правильное или ожидаемое поведение объекта». Например, политика авторизации может указывать корректные правила управления доступом для программного компонента.

Термин «политика» может также относиться к определенным правилам безопасности для системы или даже к конкретным управленческим решениям, которые определяют политику конфиденциальности электронной почты организации или политику безопасности удаленного доступа.

Политика информационной безопасности определяется как совокупность директив, положений, правил и практик, которые предписывают, как организация управляет, защищает и распространяет информацию. Принимая эти решения, менеджеры сталкиваются с трудными решениями в отношении распределения ресурсов, конкурирующих целей и организационной стратегии, все из которых связаны с защитой технических и информационных ресурсов, а также с управлением поведением сотрудников. Менеджеры на всех уровнях делают выбор, который может повлиять на политику, при этом сфера применимости политики варьируется в зависимости от объема полномочий менеджера.

Управленческие решения по вопросам информационной безопасности сильно различаются. Чтобы различать различные виды политик, в этой главе они делятся на три основных типа: программная политика, политика для конкретных проблем и политика для конкретных систем. К элементам управления политикой обращается элемент управления «-1» для каждого семейства элементов управления безопасностью, найденных в NIST SP 800-53. Контрольные значения «-1» устанавливают политику и процедуры для эффективной реализации выбранного контроля безопасности и улучшения контроля.

5.1 Стандарты, руководства и процедуры

Поскольку политика написана на широком уровне, организации также разрабатывают стандарты, руководства и процедуры, которые предлагают пользователям, менеджерам, системным администраторам и другим более четкий подход к реализации политики и достижению целей организации. Стандарты и руководства определяют технологии и методологии, которые будут использоваться для защиты систем. Процедуры - это еще более подробные шаги, которым необходимо следовать для выполнения задач, связанных с безопасностью. Стандарты, руководящие принципы и процедуры могут быть обнародованы по всей организации с помощью справочников, правил или руководств.

  • Организационные стандарты (не путать с американскими национальными стандартами, FIPS, федеральными стандартами или другими национальными или международными стандартами) определяют единообразное использование определенных технологий, параметров или процедур, когда такое единообразное использование принесет пользу организации. Типичным примером является стандартизация идентификационных бейджей для всей организации, обеспечивающая простоту мобильности сотрудников и автоматизацию систем входа/выхода. Стандарты обычно являются обязательными в организации.

  • Руководства помогают пользователям, системному персоналу и другим лицам эффективно защищать свои системы. Однако природа руководящих принципов сразу же учитывает, что системы значительно различаются, а введение стандартов не всегда достижимо, уместно или рентабельно. Например, организационное руководство может быть использовано для разработки стандартных процедур для конкретной системы. Рекомендации часто используются, чтобы гарантировать, что конкретные меры безопасности не будут упущены, хотя они могут быть реализованы, и правильно, более чем одним способом.

  • Процедуры описывают, как реализовать применимые политики, стандарты и руководящие принципы безопасности. Они представляют собой подробные шаги, которым должны следовать пользователи, операционный персонал системы или другие лица для выполнения конкретной задачи (например, подготовка новых учетных записей пользователей и назначение соответствующих привилегий).

Некоторые организации выпускают общие руководства, правила, справочники или аналогичные документы по информационной безопасности. Они могут смешивать политику, руководящие принципы, стандарты и процедуры, поскольку они тесно связаны. Хотя руководства и правила могут служить важными инструментами, часто бывает полезно, если в них четко проводится различие между политикой и ее реализацией. Это может способствовать повышению гибкости и рентабельности, предлагая альтернативные подходы к реализации для достижения целей политики.

5.2 Политика программы

Программная политика используется для создания программы информационной безопасности организации. Программные политики определяют стратегическое направление безопасности и выделяют ресурсы для его реализации в организации. Должностное лицо руководства - обычно SISO - издает программную политику для создания или реструктуризации программы информационной безопасности организации. Эта политика высокого уровня определяет цель программы и ее объем в рамках организации, решает вопросы соответствия и возлагает ответственность на организацию информационной безопасности за прямую реализацию программы, а также другие связанные обязанности.

5.2.1 Основные компоненты политики программы

Политика программы касается следующего:

  • Цель

Политика программы часто включает заявление, описывающее цель и задачи программы. Потребности, связанные с безопасностью, такие как целостность, доступность и конфиденциальность, могут лечь в основу целей организации, установленных в политике. Например, в организации, ответственной за обслуживание больших критически важных баз данных, особое внимание может уделяться сокращению количества ошибок, потери данных, повреждения данных и восстановления. Однако в организации, ответственной за сохранение конфиденциальности личных данных, цели могут подчеркивать усиление защиты от несанкционированного раскрытия.

  • Сфера

Политики программы четко определяют, какие ресурсы (например, помещения, оборудование и программное обеспечение, информация и персонал) защищает программа информационной безопасности. Во многих случаях программа будет охватывать все системы и персонал организации, в то время как в других может оказаться целесообразным, чтобы программа информационной безопасности организации была более ограниченной по объему. Например, политика, предназначенная для защиты информации, хранящейся в секретной или высокоэффективной системе, будет намного более строгой, чем политика, предназначенная для защиты системы, которая считается малоэффективной.

  •  Обязанности

После создания программы информационной безопасности ее управление обычно передается либо вновь созданному, либо существующему офису. Обязанности должностных лиц и офисов во всей организации также должны быть рассмотрены. В этом разделе заявления о политике, например, будет проводиться различие между обязанностями поставщиков информационных услуг и менеджеров приложений, использующих предоставляемые услуги. Политика также предусматривает создание офисов оперативной безопасности для основных систем, особенно тех, которые подвержены высокому риску или наиболее критичны для операций организации. Это также может служить основой для установления ответственности сотрудников. Роли и обязанности были рассмотрены в главе 3 этой публикации.

  • Соответствие

Политика программы обычно решает две проблемы соответствия:

1. Общее соответствие для обеспечения выполнения требований по разработке программы и обязанностей, возложенных в ней на различные компоненты организации. Часто на надзорный орган (например, генерального инспектора) возлагается ответственность за мониторинг соблюдения, в том числе за тем, насколько хорошо организация реализует приоритеты руководства в отношении программы.

2. Применение указанных взысканий и дисциплинарных действий.

Поскольку политика безопасности представляет собой документ высокого уровня, здесь обычно не подробно описываются конкретные наказания за различные нарушения. Вместо этого политика может разрешать создание структур соответствия, которые включают нарушения и конкретные дисциплинарные меры.

Важный аспект разработки политики соответствия - помнить, что нарушение политики сотрудником может быть непреднамеренным. Например, несоответствие часто может быть результатом недостатка знаний или обучения. Необходимость получения рекомендаций от соответствующего юрисконсульта имеет решающее значение при решении вопросов, связанных с наказаниями и дисциплинарными взысканиями для физических лиц. Политика не требует повторения штрафов, уже предусмотренных законом, хотя они могут быть перечислены, если политика также будет использоваться в качестве информационного или обучающего документа.

5.3 Политика в отношении конкретных проблем

На основе указаний, содержащихся в политике информационной безопасности, политики по конкретным вопросам разрабатываются для решения областей, актуальных и вызывающих озабоченность организации. Цель состоит в том, чтобы предоставить конкретное руководство и инструкции по правильному использованию систем для сотрудников в организации. Политика по конкретным вопросам предназначена для каждой технологии, которую использует организация, и написана таким образом, чтобы она была понятна пользователям. В отличие от программных политик, политики по конкретным вопросам должны регулярно пересматриваться из-за частых технологических изменений в организации.

5.3.1 Примеры тем для политики по конкретным вопросам

Есть много областей, для которых может быть уместна политика по конкретным вопросам. Новые технологии и обнаружение новых угроз часто требуют создания политики для конкретных проблем. Примеры политики, связанной с конкретными проблемами, включают:

  • Доступ в Интернет

Подключение к Интернету дает много преимуществ, а также дает множество проблем. Некоторые вопросы, которые может решить политика доступа к Интернету, включают определение того, кто будет иметь доступ, какие типы систем могут быть подключены к сети, какие типы информации могут передаваться через сеть, требования к аутентификации пользователей для систем, подключенных к Интернету, и использование межсетевых экранов.

  • Конфиденциальность электронной почты

В этой политике разъясняется, какая информация собирается и хранится, а также способы ее использования. Руководство может захотеть контролировать сотрудника, чтобы убедиться, что он использует системы организации только в деловых целях, или определить, распространяет ли сотрудник вирусы, рассылает оскорбительный контент или раскрывает частную коммерческую информацию. Пользователям может быть предоставлен определенный уровень конфиденциальности в отношении электронной почты, и эта политика определяет ожидаемый уровень конфиденциальности, а также обстоятельства, при которых электронная почта может быть прочитана.

  • Принесите собственное устройство (BYOD)

Позволяет людям использовать личные устройства на рабочем месте. Использование BYOD может повысить производительность и снизить затраты для организации. Однако внедрение различных операционных систем и пользовательских конфигураций в сеть организации может оказаться сложной задачей не только с точки зрения безопасности информации организации, но и с точки зрения конфиденциальности сотрудников. Комплексная политика BYOD имеет особые соображения для устройства и пользователя, а также правила поведения, которых необходимо придерживаться, чтобы получить доступ к ресурсам организации с помощью личных устройств.

  • Социальные медиа

Даже если у организации нет присутствия в социальных сетях, скорее всего, ее пользователи будут. Наличие политики в отношении социальных сетей имеет решающее значение для защиты организации и ее сотрудников. Политика в отношении социальных сетей содержит рекомендации для пользователей, описывающие ожидаемое поведение при использовании различных платформ социальных сетей. В зависимости от организации политика может быть строгой - запрещение использования социальных сетей на ресурсах, предоставляемых организацией, - или мягкой политикой, которая разрешает доступ к социальным сетям в рамках установленных организацией ограничений.

Другие темы, которые являются кандидатами для политики по конкретным вопросам, включают, но не ограничиваются: подход к управлению рисками и планированию на случай непредвиденных обстоятельств, защита конфиденциальной / служебной информации, несанкционированное программное обеспечение, несанкционированное использование оборудования, нарушения политики, использование внешнего хранилища, права на неприкосновенность частной жизни и чрезвычайные ситуации физического характера.

5.3.2 Основные компоненты политики по конкретным вопросам

Политику для конкретной проблемы можно разбить на следующие компоненты:

  • Заявление о проблеме

Чтобы сформулировать политику по проблеме, владелец информации / распорядитель сначала определяет проблему, включая все соответствующие термины, различия и условия. Часто бывает полезно указать цель или обоснование политики, чтобы облегчить соблюдение требований. Например, организация может захотеть разработать политику использования «неофициального программного обеспечения», которая может быть определена как любое программное обеспечение, не утвержденное, не приобретенное, не прошедшее проверку, не управляемое или не принадлежащее организации. Кроме того, применимые различия и условия могут затем быть включены для некоторого программного обеспечения, например, для программного обеспечения, находящегося в частной собственности сотрудников, но одобренного для использования на работе или принадлежащего и используемого другими предприятиями по контракту с организацией.

  • Заявления о позиции Организации

После постановки проблемы и подробного описания соответствующих условий и положений этот раздел используется для четкого изложения позиции организации (т. Е. Решения руководства) по проблеме. Согласно предыдущему примеру, это будет означать указание, запрещено ли использование неофициального программного обеспечения, как определено, во всех или некоторых случаях, существуют ли дополнительные руководящие принципы для утверждения и использования, или могут ли быть предоставлены исключения в каждом конкретном случае, кем, и на каком основании.

  • Целесообразность

Политики для конкретных проблем также должны включать заявления о целесообразности. Это означает разъяснение того, где, как, когда, к кому и к какой политике применяется политика. Например, может быть так, что гипотетическая политика в отношении неофициального программного обеспечения предназначена для применения только к собственным ресурсам и сотрудникам организации, а не к подрядчикам с офисами в других местах. Кроме того, может потребоваться уточнить применимость политики, поскольку она относится к сотрудникам, путешествующим между разными объектами, работающим из дома или которым необходимо транспортировать и использовать диски на нескольких объектах.

  • Роли и обязанности

Распределение ролей и обязанностей также обычно включается в политики для конкретных задач. Например, если политика разрешает сотрудникам использовать частное неофициальное программное обеспечение на работе с соответствующими разрешениями, то необходимо указать утверждающий орган, выдающий такое разрешение (политика оговаривает, кто по должности имеет такие полномочия). Аналогичным образом, необходимо уточнить, кто будет отвечать за обеспечение того, чтобы на системных ресурсах организации использовалось только одобренное программное обеспечение, и, возможно, за мониторинг пользователей в отношении неофициального программного обеспечения.

  • Соответствие

Для некоторых типов политики может быть целесообразно более подробно описать недопустимые нарушения и последствия такого поведения. Штрафы могут быть четко указаны и соответствовать кадровой политике и практике организации. При использовании их можно согласовать с соответствующими должностными лицами, офисами и даже переговорными подразделениями сотрудников. Также может быть желательно поручить конкретному офису в организации следить за соблюдением требований.

  • Контактные лица и дополнительная информация

Для любой политики, связанной с конкретными проблемами, укажите соответствующих лиц в организации, с которыми можно связаться для получения дополнительной информации, рекомендаций и соблюдения нормативных требований. Поскольку должности, как правило, меняются реже, чем занимающие их лица, конкретные должности могут быть предпочтительнее в качестве точки контакта. Например, по некоторым вопросам контактным лицом может быть линейный руководитель; по другим вопросам это может быть менеджер объекта, специалист службы технической поддержки, системный администратор или представитель программы безопасности. Используя приведенный выше пример еще раз, сотрудникам необходимо знать, будет ли контактным лицом для вопросов и процедурной информации их непосредственный руководитель, системный администратор или сотрудник службы информационной безопасности.


Читайте также


Комментарии 0