Политика безопасности

Политика безопасности – это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Цель формулирования политики безопасности для ИС – ясное изложение взглядов руководства организации на существо угроз информационной безопасности организации и технологий обеспечения безопасности ИС. Политика безопасности должна быть оформлена документально на нескольких уровнях управления. На уровне управляющего высшего звена руководства должен быть подготовлен и утвержден документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики. Основной документ должен быть детализирован администраторами безопасности ИС (управляющими среднего звена) с учетом принципов деятельности организации, соотношения важности целей и наличия ресурсов. Детальные решения должны включать ясные определения методов защиты технических и информационных ресурсов, а также инструкции, определяющие поведение сотрудников в конкретных ситуациях.

Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.

В руководстве по компьютерной безопасности, разработанном Национальным институтом стандартов и технологий США (National Institute of Standards and Technology – NIST), рекомендовано включать в описание политики безопасности следующие разделы:

1. Предмет политики. В этом разделе определяются цели и указываются причины разработки политики, область ее применения, задачи, термины и определения.

2. Описание позиции организации. Четко описаны ресурсы ИС, перечень допущенных к ресурсам ИС лиц и процессов и порядок получения доступа к ресурсам ИС.

3. Применимость. Определяется порядок доступа к данным ИС, определены ограничения или технологические цепочки, применяемые при реализации политики безопасности.

4. Роли и обязанности. В разделе определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения различных элементов политики: обязанности администратора безопасности данных, администратора баз данных, администратора локальной сети, операторов.

5. Соблюдение политики. Описываются права и обязанности пользователей ИС. Представлено явное описание недопустимых действий при осуществлении доступа к информационным ресурсам организации и наказания за нарушения режимных требований. Должна быть ясно определена технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям.

Комплект документов по организации и реализации политики безопасности должен включать: описание используемых подходов к оцениванию и управлению рисками; обоснование принятых решений по выбору средств защиты для рассматриваемой ИС; формальное описание процедуры определения допустимого уровня остаточного риска; описание процедуры проверки режима информационной безопасности и журналов с информацией по результатам проверки; регламентацию процессов обслуживания и администрирования ИС; контрмеры для противодействия выявленным рискам; сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью.