Что такое организация? Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в Интернете. Например, NIST - это агентство Министерства Торговли(МТ) США. Задачи NIST требуют постоянного взаимодействия с научными организациями в среде открытых систем. К другому подразделению МТ, Бюро переписи, предъявляется требование поддержания конфиденциальности ответов на вопросы при переписи. При таких различных задачах и требованиях разработка общей политики безопасности МТ, наверное, невозможна. Даже внутри NIST существуют большие различия в отношении задач и требований к их выполнению, поэтому большинство политик безопасности Интернета разрабатываются на более низком уровне. Координация с другими проблемными политиками. Интернет - это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика Интернета должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например: Физический доступ в здания и на территорию организации. Интернет - это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с Интернетом - это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении Интернета. Взаимодействие со средствами массовой информации. Интернет может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер Интернета. Электронный доступ. Интернет - это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети(например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с Интернетом и телефонной сетью существуют аналогичные угрозы и уязвимые места. 2. 3. Претворение политики в жизнь
Не думайте, что как только ваша организация разработает большое число политик, директив или приказов, больше ничего не надо делать. Оглянитесь кругом и посмотрите, соблюдают ли формально написанные документы (это в России-то ? !). Если нет, то вы можете либо попытаться изменить сам процесс разработки документов в организации (вообще трудно, но тем не менее возможно), либо оценить, где имеются проблемы с ее внедрением и устранять их. (Если вы выбрали второе, вам вероятно понадобятся формальные документы). Так как, к сожалению, разработка неформальной политики выходит за рамки данной публикации, этот очень важный процесс не будет здесь описан. Большинство политик обычно определяют то, что хочет большой начальник. Чтобы политика безопасности в Интернете была эффективной, большой начальник должен понимать, какой выбор нужно сделать и делать его самостоятельно. Обычно, если большой начальник доверяет разработанной политике, она будет корректироваться с помощью неформальных механизмов. Некоторые замечания по поводу политики
Для эффективности политика должна быть наглядной. Наглядность помогает реализовать политику, помогая гарантировать ее знание и понимание всеми сотрудниками организации. Презентации, видеофильмы, семинары, вечера вопросов и ответов и статьи во внутренних изданиях организации увеличивают ее наглядность. Программа обучения в области компьютерной безопасности и контрольные проверки действий в тех или иных ситуациях могут достаточно эффективно уведомить всех пользователей о новой политике. С ней также нужно знакомить всех новых сотрудников организации. Политики компьютерной безопасности должны доводиться таким образом, чтобы гарантировалась поддержка со стороны руководителей отделов, особенно, если на сотрудников постоянно сыплется масса политик, директив, рекомендаций и приказов. Политика организации - это средство довести позицию руководства в отношении компьютерной безопасности и явно указать, что оно ожидает от сотрудников в отношении производительности их работы, действий в тех или иных ситуациях и регистрации своих действий. Для того чтобы быть эффективной, политика должна быть согласована с другими существующими директивами, законами, приказами и общими задачами организации. Она также должна быть интегрирована в и согласована с другими политиками (например, политикой по приему на работу). Одним из способов координации политик является согласование их с другими отделами в ходе разработки. 2. 4. Примеры описания общих принципов работы в Интернете в политиках В этом разделе приводятся краткие примеры политик. Конечно, возможны и другие форматы, другая степень детализации. Задача этих примеров - помочь читателю понять принципы их разработки. Первый пример - организация, которая решила не ограничивать никоим образом взаимодействие с Интернетом. Хотя этот курс и чреват многим опасностями в отношении безопасности, он может оказаться наилучшим выбором для организации, которой требуется открытость или в которой нет постоянного контроля начальников отделов за работой подчиненных. В целом таким организациям можно посоветовать выделить наиболее важные данные и обрабатывать их отдельно. Например, некоторые университеты и колледжи нуждаются в подобной среде для обучения студентов (но не для административных систем). Второй пример - типовая политика. Внутренние и внешние системы разделяются с помощью брандмауэра. Тем не менее, большинство интернетовских служб все-таки доступны внутренним пользователям. Как правило в качестве брандмауэра используется шлюз, присоединенный к двум сетям или хост-бастион. Тем не менее, этот подход также может быть реализован с помощью криптографии для создания виртуальных частных сетей или туннелей в Интернете. Третий пример - организация, которой требуется больше безопасности, чем это могут дать интернетовские сервисы. Единственным сервисом, который нужен организации, является электронная почта. Компания обычно имеет информационный сервер в Интернете, но он не соединен с внутренними системами. 3. Анализ риска
В настоящее время выделение финансовых и человеческих ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль от вложений в них. Инвестиции в информационную безопасность могут рассматриваться как инвестиции для увеличения прибыли путем уменьшения административных затрат на ее поддержание или для защиты от потери прибыли путем предотвращения потенциальных затрат в случае негативных коммерческих последствий. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает ваша организация. Говоря простым языком, риск - это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от: Уровня угроз, которым подвергается организация и видимость организации из внешнего мира Уязвимости организации к последствиям потенциальных инцидентов с безопасностью Государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации. Отметим, что здесь не учитывается ценность информации или финансовые последствия инцидентов с безопасностью. В прошлом такие оценки стоимости требовались как составная часть формального анализа риска в попытке осуществить оценку ежегодной прибыли при затратах на безопасность. По мере того, как зависимость государственных и коммерческих организаций от глобальных сетей становилась большей, потери от инцидентов с безопасностью, которые практически невозможно оценить в деньгах, стали равными или большими, чем вычисляемые затраты. Время администраторов информационной безопасности может более эффективно потрачено на обеспечение гарантий внедрения "достаточно хорошей безопасности", чем на расчет стоимости чего-либо худшего, чем полная безопасность. Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. В Интернете есть ряд источников информации по этому вопросу. Следующие разделы содержат методологию для быстрой разработки профиля риска вашей организации. 3. 1. Угрозы/видимость
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17