Политика информационной безопасности – требования к содержанию

Введение в информационную безопасность (BS ISO/IEC 27002:2005 RU, раздел 0)

Что такое информационная безопасность? Зачем необходима информационная безопасность? Как определить требования безопасности? Оценка рисков безопасности. Выбор механизмов контроля. Отправная точка информационной безопасности. Критические факторы успеха.

Что такое информационная безопасность?

Информация это ресурс, который, как и прочие бизнес ресурсы, имеет ценность для организации и, следовательно, нуждается в должной защите. Это особенно важно во все более взаимосвязанной бизнес среде. В результате усиления этих взаимосвязей информация теперь подвержена возрастающему количеству и более широкому разнообразию угроз и уязвимостей (см. также Руководство OECD по обеспечению безопасности информационных систем и сетей).

Информация может быть представлена в различных формах. Она может быть распечатана или записана на бумагу, сохранена в электронном виде, передана по почте или с использованием электронных средств, показана в фильмах, пересказана во время разговора. Какую бы форму не принимала информация, как бы она не хранилась или не передавалась, она должна быть соответствующим образом защищена.

Информационная безопасность – это защита информации от широкого спектра угроз с целью обеспечения непрерывности бизнеса, минимизации бизнес риска, максимизации прибыли на инвестированный капитал и возможностей для бизнеса.

Информационная безопасность достигается внедрением подходящего набора механизмов контроля, включая политики, процессы, процедуры, организационные структуры, а также функции программного и аппаратного обеспечения. Эти механизмы контроля должны быть установлены, внедрены, отслеживаться, пересматриваться и, в случае необходимости, совершенствоваться, чтобы обеспечить достижение конкретных целей организации в области безопасности и в бизнесе. Это необходимо делать наряду с другими процессами управления бизнесом.

Зачем необходима информационная безопасность?

Информация и поддерживающие ее процессы, системы и сети являются важными бизнес ресурсами. Определение, достижение, поддержание и совершенствование информационной безопасности могут являться существенными условиями для обеспечения конкурентоспособности, движения денежных потоков, прибыльности, соблюдения законодательства и поддержания деловой репутации.

Организации, их информационные системы и сети все чаще сталкиваются с широким спектром угроз безопасности, включающих компьютерное мошенничество, шпионаж, саботаж, вандализм, пожары или наводнения. Источники ущерба, такие как вредоносный код, взлом компьютерных систем или атаки на «отказ в обслуживании», получают все большее распространение, становясь более широкомасштабными и значительно более изощренными.

Информационная безопасность одинаково важна для общественных организаций и для частного сектора. В обоих секторах информационная безопасность будет использоваться для создания дополнительных возможностей, например, для создания электронного правительства или электронного бизнеса, а также для уменьшения или уклонения от соответствующих рисков. Объединение сетей общего доступа и частных  сетей, а также совместное использование информационных ресурсов усложняют контроль доступа. Переход к распределенной обработке данных также снизил эффективность централизованного контроля.

Многие информационные системы изначально не проектируются в защищенном исполнении. Безопасность, достигаемая при помощи технических средств, ограничена и должна поддерживаться соответствующим управлением и процедурами. Выбор механизмов контроля требует тщательного планирования и внимания к деталям. Управление информационной безопасностью, как минимум, нуждается в участии всех сотрудников организации. Для этого может также потребоваться участие акционеров, поставщиков, третьих сторон, клиентов или других внешних сторон. Также могут потребоваться советы специалистов из сторонних организаций.

Как определить требования безопасности?

Важно, чтобы организация определила свои требования к безопасности. Существует три основных источника требований.

1. Первым источником является оценка рисков для организации, принимающая во внимание общую бизнес стратегию и цели организации. Посредством оценки рисков определяются угрозы в отношении ресурсов, оцениваются уязвимости и вероятность угроз, а также величина возможного ущерба.
2. Вторым источником являются требования законодательства, подзаконных актов, нормативной базы и договоров, которые должна соблюдать организация, ее торговые партнеры, подрядчики и поставщики услуг, а также их социо-культурная среда.
3. Третьим источником является индивидуальный набор принципов, целей и бизнес требований к обработке информации, разработанный организацией для обеспечения своей деятельности.

Оценка рисков безопасности

Требования безопасности определяются путем систематической оценки рисков безопасности. Расходы на механизмы контроля должны быть пропорциональны размеру вероятного ущерба, наносимого организации в результате нарушений безопасности.

Результаты оценки рисков помогут определить необходимые действия руководства и приоритеты для управления рисками информационной безопасности, а также внедрения механизмов контроля, выбранных для защиты от этих рисков.

Оценка рисков должна периодически повторяться для того, чтобы учитывать любые изменения, которые могут оказывать влияние на ее результаты.

Более подробная информация об оценке рисков безопасности может быть найдена в разделе 4.1 «Оценка рисков безопасности».

Выбор механизмов контроля

После того, как требования и риски безопасности были идентифицированы, а решения по обработке рисков приняты, должны быть выбраны и внедрены необходимые механизмы контроля, позволяющие снизить риски до приемлемого уровня. Механизмы контроля можно выбрать из этого стандарта или из других наборов механизмов контроля, или можно разработать новые механизмы контроля с учетом требуемой специфики. Выбор механизмов контроля зависит от решений, принимаемых в организации на основе критериев принятия рисков, способов обработки рисков, а также общего подхода к управлению рисками, применяемого в организации, и должен принимать во внимание все имеющие отношение к делу национальные и международные законодательные и нормативные акты.

Некоторые механизмы контроля, описанные в этом стандарте, могут рассматриваться в качестве руководящих принципов управления информационной безопасностью, пригодных для большинства организаций. Эти механизмы контроля далее рассматриваются более подробно под заголовком «Отправная точка информационной безопасности».

Более подробная информация о выборе механизмов контроля и других способов обработки рисков может быть найдена в разделе 4.2 «Обработка рисков безопасности».

Отправная точка информационной безопасности

Многие механизмы контроля могут рассматриваться в качестве хорошей отправной точки для реализации мер по обеспечению информационной безопасности. Они либо основаны на существенных требованиях законодательства, либо рассматриваются в качестве общепринятой практики обеспечения информационной безопасности.

Механизмы контроля, существенные для организации с юридической точки зрения, в зависимости от применяемого законодательства, включают в себя:

• защиту данных и персональной информации;
• защиту документации организации;
• права интеллектуальной собственности.

Механизмы контроля, рассматриваемые в качестве общепринятой практики обеспечения информационной безопасности, включают в себя:

• политику информационной безопасности;
• распределение ответственности за обеспечение информационной безопасности;
• повышение осведомленности, обучение и тренинги по информационной безопасности;
• корректное выполнение приложений;
• управление техническими уязвимостями;
• управление непрерывностью бизнеса;
• управление инцидентами и совершенствованием информационной безопасности.

Эти механизмы контроля применимы для большинства организаций и в большинстве окружений.

Необходимо отметить, что, не смотря на важность всех механизмов контроля, описанных в этом стандарте, необходимость любого механизма должна быть определена в свете конкретных рисков, которым подвержена организация. Таким образом, несмотря на то, что описанный подход может рассматриваться в качестве хорошей отправной точки, он не заменяет выбора механизмов контроля, основанного на оценке рисков.

Критические факторы успеха

Опыт показывает, что, зачастую, следующие факторы являются критическими для успешного внедрения информационной безопасности в организации:

• политика информационной безопасности, задачи и мероприятия, отвечающие бизнес целям;
• подход и система взглядов на внедрение, сопровождение, мониторинг и совершенствование информационной безопасности, которые соответствуют культуре организации;
• ощутимая поддержка и приверженность со стороны всех уровней руководства;
• хорошее понимание требований безопасности, вопросов оценки рисков и управления рисками;
• эффективное доведение проблем безопасности до сведения всех руководителей, сотрудников и других сторон с целью повышения осведомленности;
• распространение разъяснений к стандартам и политике информационной безопасности среди всех руководителей, сотрудников и других сторон;
• финансирование деятельности по управлению информационной безопасностью;
• проведение соответствующего обучения, тренингов и повышение осведомленности;
• создание эффективного процесса управления инцидентами информационной безопасности;
• внедрение системы измерения эффективности управления информационной безопасностью и обмена мнениями о способах ее дальнейшего совершенствования.

Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.

Политика информационной безопасности – самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.

Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа – политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливаливающей критерии для оценивания рисков и т.д.

Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа – задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть досточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.

BS ISO/IEC 27001:2005 4.2.1 b) Политика СУИБ

Определить политику СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, которая:

1. включает в себя основу для определения ее целей и устанавливает общее направление и принципы деятельности по отношению к информационной безопасности;
2. учитывает требования бизнеса и требования законодательной или нормативной базы, а также контрактные обязательства в области безопасности;
3. объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение СУИБ;
4. устанавливает критерии для оценивания рисков (см. 4.2.1с)); и
5. утверждена руководством.

ПРИМЕЧАНИЕ: В этом Международном стандарте политика СУИБ рассматривается в качестве надмножества политики информационной безопасности. Эти политики могут быть описаны в одном документе.

BS ISO/IEC 17799:2005 5.1.1 Документированная политика информационной безопасности

Механизм контроля

Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.

Руководство по внедрению

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать  следующие заявления:

1. определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);
2. заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;
3. основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;
4. краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:
   1. соответствие требованиям законодательства, нормативной базы и договоров;
   2. требования к повышению осведомленности, обучению и тренингам в области безопасности;
   3. управление непрерывностью бизнеса;
   4. последствия нарушений политики информационной безопасности;
5. определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;
6. ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

Другая информация

Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации.  Дополнительная информация  содержится в ISO/IEC 13335-1:2004.

Политика безопасности (BS ISO/IEC 27002:2005 RU, раздел 5)

Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.

Документированная политика информационной безопасности

Механизм контроля

Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.

Руководство по внедрению

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать  следующие заявления:

• определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации;
• заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;
• основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;
• краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:
  • соответствие требованиям законодательства, нормативной базы и договоров;
  • требования к повышению осведомленности, обучению и тренингам в области безопасности;
  • управление непрерывностью бизнеса;
  • последствия нарушений политики информационной безопасности;
• определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;
• ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

Другая информация

Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации.  Дополнительная информация  содержится в ISO/IEC 13335-1:2004.

Пересмотр политики информационной безопасности

Механизм контроля

Политика информационной безопасности должна пересматриваться через запланированные интервалы времени или в случае, если произошли существенные изменения, для того, чтобы обеспечить ее непрерывную пригодность, адекватность и эффективность.

Руководство по внедрению

Политика должна иметь владельца, на которого руководством возлагается ответственность за ее разработку, пересмотр и оценку. Пересмотр должен включать в себя оценку возможностей для совершенствования политики информационной безопасности организации и подходов к управлению информационной безопасностью в ответ на изменения внешней среды, условий ведения бизнеса, законодательной базы или технического окружения.

При пересмотре политики информационной безопасности должны приниматься во внимание результаты проверок со стороны руководства. Должны быть определены процедуры проверки со стороны руководства, включая график или периодичность проведения проверок.

Входные данные для проведения проверок со стороны руководства должны включать в себя следующую информацию:

• обратную связь от заинтересованных сторон;
• результаты независимых проверок;
• статус превентивных и корректирующих мер;
• результаты предыдущих проверок со стороны руководства;
• производительность процесса и соответствие политике информационной безопасности;
• изменения, которые могут повлиять на подход организации к управлению информационной безопасностью, включая изменения внешней среды организации, условий ведения бизнеса, доступности ресурсов, договорных обязательств, законодательной и нормативной базы или технического окружения;
• тенденции, относящиеся к угрозам и уязвимостям;
• сообщения об инцидентах информационной безопасности;
• рекомендации регулирующих органов.

Результаты проверки со стороны руководства должны включать в себя любые решения или действия имеющие отношение к:

• совершенствованию подхода организации к управлению информационной безопасностью и ее процессов;
• совершенствованию целей и механизмов контроля;
• совершенствованию в системе выделения ресурсов и/или распределении ответственности.

Должно осуществляться протоколирование результатов проверки со стороны руководства.

Пересмотренная политика должна быть утверждена руководством.

Структура руководства по обеспечению информационной безопасности

Политика безопасности организации – понятие очень широкое. Конечно, она должна быть документирована. Из каких разделов она должна состоять? Какую документацию она должна в себя включать? Изучение международных стандартов в области информационной безопасности позволяет определить структуру документа под названием “Руководство по обеспечению информационной безопасности организации”, обобщающего накопленный опыт бумаготворчества в этой области.

Часть 1. Политика безопасности

• Вводный раздел подтверждающий озабоченность высшего руководства проблемами информационной безопасности
• Организационный раздел содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности
• Классификационный раздел описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
• Штатный раздел характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.)
• Раздел освещающий вопросы физической защиты
• Управляющий раздел описывающий подход к управлению компьютерами и компьютерными сетями
• Раздел описывающий правила разграничения доступа к производственной информации
• Раздел, характеризующий порядок разработки и сопровождения систем
• Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации
• Юридический раздел подтверждающий соответствие политики безопасности действующему законодательству

 Часть 2. Общие принципы обеспечения безопасности АС

• Обеспечение безопасности ОС
• Обеспечение безопасности финансовых приложений
• Обеспечение безопасности систем электронного документооборота 
• Обеспечение безопасности средств связи и телекоммуникаций
• Обеспечение безопасности серверов ЛВС
• Обеспечение безопасности рабочих мест пользователей
• Обеспечение безопасности баз данных
• Обеспечение безопасности при работе пользователей в сети Интернет
• Общие принципы защиты от компьютерных вирусов и других разрушающих программных воздействий
• …

 Часть 3. Организация режима информационной безопасности

• Организационная структура подразделений обеспечивающих режим информационной безопасности
• Задачи по обеспечению информационной безопасности
• Ответственность должностных лиц за выполнение требований информационной безопасности
• Руководящие принципы по использованию АС и СВТ в соответствии с требованиями информационной безопасности
• Стратегия управления системой информационной безопасности
• …

 Часть 4. Инструкции по обеспечению информационной безопасности

• Инструкция для пользователей АС
• Инструкция для администраторов АС
• Инструкция для инженеров и техников
• Инструкция для администратора безопасности АС
• Инструкция для администратора МЭ
• Инструкции для администраторов прикладных подсистем
• …

 5. Приложения

• Регламент использования съемных носителей информации
• Регламент по работе с переносными компьютерами
• Регламент по подключению и работе в сети Интернет
• Регламент по обеспечению защиты информации от утечки по техническим каналам
• Инструкция по обеспечению сохранности сведений ограниченного распространения
• …