Що таке політика безпеки

Що таке політика безпеки.

А. Лукацький
Як можна зробити якісний ремонт в квартирі без хорошого дизайн-проекту, так і неможливо займатися інформаційною безпекою (ІБ) своєї компанії, не маючи відповідної політики або концепції ІБ. Це саме той документ, в якому сконцентровані основні ідеї щодо захисту всіх бізнес-процесів компанії. Без нього будь-який фахівець безпеки інформаційних ресурсів буде відчувати себе як без рук. Відразу обмовимося, «концепція ІБ» і «політика ІБ» - абсолютно різні терміни, але в даній статті, для полегшення оповідання, обидва терміни будуть використовуватися рівнозначно.

Так чи потрібна політика безпеки?

На жаль, на практиці часто доводиться стикатися з такою ситуацією. Приходиш до замовника, якому необхідно встановити і налаштувати міжмережевий екран або систему запобігання атак, а на питання, а чи є у нього політика безпеки, слід здивований погляд і відповідь: «А навіщо? Мені треба відкрити тільки HTTP і SMTP ». Відкрили ... Через хвилину дзвінок - «У мене ICQ не працює». Потім ще: «Не працює доступ до інтернет-магазину» (зазвичай по HTTPS). Потім слід просто шквал дзвінків і листів: SSH, Telnet, IPSec, POP3, SQL * Net, SIP, H.323 і т. Д. І т. П. Адміністратор з боку замовника з подивом виявляє, що в Інтернет у нього ходять по двом-трьом десяткам різних протоколів, про що він і не здогадувався. Але ж це тільки частина проблеми нестачі інформації про стан інформаційної безпеки, вирішити яку могла б політика безпеки.

Парадоксальне становище. У компанії є гори документів з різних аспектів її діяльності, але немає нічого, щоб допомогло б відповісти на питання: «Яку інформацію ми захищаємо? Від чого і як? »А все тому, що для більшості керівників інформація не є активом, який вимагає такого ж уваги, як і золоті злитки в банківських скриньках, облігації державних позик або цінні папери вітчизняних монополій.

Відмінності підходів до створення політики безпеки вУкаіни і на Заході

У жодному західному матеріалі з інформаційної безпеки ви не зустрінете термін «концепція інформаційної безпеки». По відношенню до окремим компаніям його просто не існує. Якщо це поняття і зустрічається, то тільки по відношенню до цілих держав. ВУкаіни все не так. Будь-яка поважаюча себе компанія або державне відомство витрачає чималі ресурси на розробку цього документа, який, згідно із загальноприйнятим тлумаченням, викладає систему поглядів, цілей і завдань, основних принципів і способів досягнення необхідного рівня захищеності інформації. На Заході ніхто не сперечається, що така єдина система потрібна, але там вона зветься «політика безпеки» (Security Policy).

Чим гарний такий підхід? Найменші зміни в якійсь із політик не вимагають перегляду всіх в цілому. Зміни стосуються тільки одного документа і не зачіпають інших аспектів забезпечення безпеки інформаційних ресурсів. За українській практиці необхідний перегляд величезного документа в цілому. З урахуванням того, що зазвичай його візує керівництво компанії або відомства, будь-які корективи часом призводять до тривалого очікування підпису незрозумілого, але вселяє повагу багатосторінкового «праці».

Що повинна включати політика безпеки?

Концепція повинна містити систему поглядів на досить високому рівні. Цілі і завдання в області ІБ, ніяких інструкцій, нормативів, описи продуктів, імен відповідальних і т. П. Політика описує загальний підхід до ІБ без специфічних деталей. Як наприклад, виглядає типова політика безпеки компанії Cisco? Вона описується за все сім'ю розділами (їх число рідко перевищує «магічну» сімку):

Така структура дозволяє лаконічно (на 2-3 сторінки) описати всі основні моменти, пов'язані з предметом політики безпеки. При цьому треба постійно пам'ятати, що концепція - це не опис способу реалізації. У ній не можна «прив'язуватися» до конкретних технічних рішень, продуктів і виробникам. Інакше зміна політичної ситуації в компанії, відхід з ринку будь-якого з вендорів і т. П. Призведе до необхідності зміни концепції ІБ, а цього відбуватися не повинно.

Зрозуміло, політика безпеки - не статичний документ або, точніше, набір документів. Вони теж повинні переглядатися. Але не в результаті зміни програмної платформи (правила вибору паролів і для Unix, і для Windows, і для Cisco IOS однакові) або імені відповідального за безпеку окремого сегменту інформаційної системи підприємства, а під впливом таких чинників, як зміна технології обробки інформації, поява нових бізнес-процесів і т. п.

Якщо вже, за українською традицією, обійтися без самого головного документа ніяк не можна, то він повинен бути коротким і бути якоїсь вершиною, від якої вже беруть свій початок документи, що конкретизують різні аспекти забезпечення ІБ. Навіть 30-40 сторінок (а саме такий обсяг зустрічається у більш «просунутих» в безпеки українських відомств) - це вже перебір; краще обмежитися 12-15.

Хто повинен писати політику безпеки?

Згадаймо, як здійснюється ремонт квартири. Після вивчення поточної ситуації (що ж нам продали і як ми дійшли до такого життя), починається творчий процес складання дизайн-проекту нового вигляду житла. Зрозуміло, термін «дизайн-проект» настільки ємний і багатогранний, що я не беруся дати його точне тлумачення. Для кого-то досить начерків на серветці в кафе, а комусь подавай 50-70-сторінкові блокноти, в подробицях і кольорі, передають характер нової квартири. Також і в безпеці. Комусь достатньо 10-12 сторінок конкретики, а кому-то і 100 сторінок деталей не вистачає.

Що треба не забути включити в політику безпеки?

Чого ще я ніколи не бачив у вітчизняних концепціях інформаційної безпеки?

Питань, пов'язаних з безпекою:

* Портативних мобільних пристроїв - USB-дисків, «флешок», iPod # 'ов і MP3-плеєрів, цифрових фотоапаратів. Перші два типи пристроїв мініатюрні, а значить, їх можна непомітно пронести в офіс і винести всю конфіденційну інформацію. Решта з названих пристроїв як носії інформації не сприймаються, але при необхідності ідеально впораються з цією роллю;

* Мобільних користувачів. Їх число постійно зростає. Володіючи при цьому повним доступом до корпоративних ресурсів з будь-якої точки світу, вони залишаються поза зоною дії періметрових коштів корпоративної безпеки і атакувати їх набагато простіше, ніж центральний офіс компанії;

* Екстранет-користувачів. Концепція «екстранет» або мережі, відкритої для партнерів, постачальників, замовників та інших типів зовнішніх користувачів, дозволяє не тільки поліпшити показники бізнесу (за рахунок скорочення складських запасів, полегшення і прискорення логістики, зниження вартості продуктів і т. Д.), Але і відкриває потенційну пролом в системі захисту;

* Бездротових користувачів. Технологія Wi-Fi підвищує не тільки продуктивність співробітників, але і небезпека неконтрольованого проникнення всередину мережі, що захищається. Необхідно мати політику використання точок бездротового доступу в своїй компанії. Навіть якщо у вас не дозволено використовувати цю нову і ефективну ІТ-технологію, то ваші користувачі можуть дотримуватися протилежної думки. За статистикою, майже 99% всіх несанкціонованих установок точок бездротового доступу роблять «нетерплячі» співробітники, які прагнуть мобільності і підвищення ефективності своєї роботи. Отже, ви повинні регулярно контролювати радіоефір в пошуках несанкціонованих бездротових включень;

* Гостьового доступу. З метою підвищення лояльності ваших клієнтів ви пропонуєте їм безкоштовний гостьовий вихід в Інтернет зі свого офісу? А ви подумали про безпеку такого виходу? Чи не чи отримають вони при цьому доступ до невирішеної для них інформації? Чи захищені вони при виході в Інтернет? Адже якщо вони постраждають від вірусної епідемії в момент знаходження в вашому офісі, винні будете тільки ви. При наявності політики безпеки гостьового входу подібних проблем не виникне;

* Лабораторій і стендів. Я не раз стикався з ситуацією, коли стенд, на якому «обкатуються» нові рішення перед впровадженням їх у «бойову» експлуатацію, був підключений до робочої мережі. Невелика проблема в лабораторії, вийшовши за межі свого «маленького світу», ставала великим головним болем для всіх ІТ-фахівців компанії. Запобігти цьому можна, «відгородивши» випробувальний стенд від всіх інших систем і заборонивши будь-яке об'єднання в політиці безпеки.

Дуже рідко розробники концепції «згадують» про наявність лептопів в компанії, а даремно. Лептопи (особливо ті, які належать начальству) містять величезні поклади найважливішої інформації з усіх аспектів життєдіяльності компанії - її ноу-хау, перспективним розробкам, політиці ціноутворення, конфіденційним контрактами і т. П.

У політиці безпеки повинні також знайти своє відображення питання:

* Взаємодії з пресою в разі успішного злому або вирвалася назовні епідемії;
* Розслідування інцидентів;
* Навчання всіх співробітників (починаючи з вищого керівництва і закінчуючи низовим ланкою);
* Взаємодії з іншими сферами безпеки (секретне діловодство, фізична безпека і т. П.);
* Взаємодії з правоохоронними органами або оператором зв'язку і т. П.

В рамках однієї статті дуже складно розповісти про всі підводні камені написання політики безпеки. Головне - пам'ятати, що без цього набору документів будь-яка діяльність щодо забезпечення інформаційної безпеки буде малоефективною і схожою на латання постійно з'являються дірок. Системний підхід дозволить не бути в полоні у обставин, а взяти всю ситуацію під контроль, що, в свою чергу, і є запорукою успішного захисту інформаційних ресурсів.