Лабораторна робота №13, Розробка політики інформаційної безпеки

« Назад

Мета: Ознайомитись із основними положеннями стандарту ISO/IEC 17799 «Управління інформаційною безпекою. Практичні правила». Навчитись розробляти політику безпеки організації.

Теоретичні відомості

1. Спрямованість стандарту ISO17799

Стандарт ISO17799 визначає загальну організацію, класифікацію даних, системи доступу, напрями планування, відповідальність співробітників, використання оцінки ризиків і т.д. в контексті інформаційної безпеки. В процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої – скорочення матеріальних втрат, пов'язаних з порушенням інформаційної безпеки. Стандарт покликаний заощадити підприємству засоби, а в деяких випадках навіть врятувати від банкрутства, і не є якоюсь зовнішньою обов'язковою вимогою, що приводить до появи додаткової статті витрат.

ISO17799 ‑ це модель системи менеджменту, і в цьому сенсі не є технічним стандартом. Цей підхід до інформаційної безпеки на основі цілей менеджменту, а не фіксованих технічних специфікацій є принциповим для ISO17799 як стандарту системи управління.

У стандарті ISO17799 приводяться рекомендації по управлінню інформаційною безпекою. Він складає загальну основу для різних організацій при розробці, реалізації і оцінці ефективності процедур управління безпекою, а також дає можливість встановити довірчі відносини між організаціями.

Даний документ можна використовувати як загальноприйнятий стандарт при встановленні ділових відносин між організаціями і при висновку контрактів з субпідрядниками або придбанні інформаційних систем або продуктів.

2. Зміст інформаційної безпеки

Мета інформаційної безпеки — забезпечити безперебійну роботу організації і звести до мінімуму збиток від подій, що таять загрозу безпеці, за допомогою їх запобігання і зведення наслідків до мінімуму.

Управління інформаційною безпекою дає можливість колективно використовувати інформацію, забезпечуючи при цьому її захист і захист обчислювальних ресурсів.

Інформаційна безпека складається з трьох основних компонентів:

а) конфіденційність: захист конфіденційної інформації від несанкціонованого розкриття або перехоплення;

б) цілісність: забезпечення точності і повноти інформації і комп'ютерних програм;

в) доступність: забезпечення доступності інформації і життєво важливих сервісів для користувачів, коли це потрібно.

Інформація існує в різних формах. Її можна зберігати на комп'ютерах, передавати по обчислювальних мережах, роздруковувати або записувати на папері, а також озвучувати в розмовах. З погляду безпеки всі види інформації, включаючи паперову документацію, бази даних, плівки, мікрофільми, моделі, магнітні стрічки, дискети, розмови і інші способи, використовувані для передачі знань і ідей, вимагають належного захисту.

3. Необхідність захисту

Інформація і що підтримують її інформаційні системи і мережі є цінними виробничими ресурсами організації. Їх доступність, цілісність і конфіденційність можуть мати особливе значення для забезпечення конкурентоспроможності, руху грошової готівки, рентабельності, відповідності правовим нормам і іміджу організації.

Сучасні організації можуть зіткнутися із зростаючою загрозою порушення режиму безпеки, що йде від цілого ряду джерел. Інформаційним системам і мережам можуть загрожувати такі небезпеки, як комп'ютерне шахрайство, шпигунство, саботаж, вандалізм, а також інші джерела відмов і аварій. З'являються все нові загрози, здатні завдати збитку організації, такі, як, широко відомі комп'ютерні віруси або хакери.

Передбачається, що такі загрози інформаційній безпеці з часом стануть поширенішими, небезпечнішими і витонченішими. В той же час із-за зростаючої залежності організацій від інформаційних систем і сервісів, вони можуть стати уразливішими по відношенню до загроз порушення захисту.

Розповсюдження обчислювальних мереж надає нові можливості для несанкціонованого доступу до комп'ютерних систем, а тенденція до переходу на розподілені обчислювальні системи зменшує можливості централізованого контролю інформаційних систем фахівцями.

Захисні заходи виявляються значно дешевшими і ефективнішими, якщо вони вбудовані в інформаційні системи і сервіси на стадіях завдання вимог і проектування. Чим швидше організація прикмет міри по захисту своїх інформаційних систем, тим більше дешевими і ефективними вони будуть для неї згодом.

4. Структура стандарту ISO/IEC 17799

Пропоновані практичні правила розбиті на наступних 10 розділів:

Розділ 1. Політика безпеки

Розділ 2. Організація захисту

Розділ 3. Класифікація ресурсів і їх контроль

Розділ 4. Безпека персоналу

Розділ 5. Фізична безпека і безпека навколишнього середовища

Розділ 6. Адміністрування комп'ютерних систем і обчислювальних мереж

Розділ 7. Управління доступом до систем

Розділ 8. Розробка і супровід інформаційних систем

Розділ 9. Планування безперебійної роботи організації

Розділ 10. Виконання вимог

У цих розділах представлений вичерпний набір засобів управління безпекою, заснованих на реальних заходах по захисту інформації, таких, що реалізовуються зараз в британських і міжнародних організаціях.

5. Застосовність засобів управління безпекою

Не всі засоби контролю застосовні до кожного інформаційного середовища; їх треба використовувати вибірково з урахуванням місцевих умов. Це ставати ясно з опису. Проте більшість засобів контролю, описаних в даному документі, широко застосовуються крупними організаціями з великим досвідом роботи, і їх використання рекомендується для всіх ситуацій, зрозуміло, з урахуванням обмежень, що накладаються технологією і навколишнім середовищем. Ці загальноприйняті засоби контролю називають базовими засобами управління безпекою, оскільки всі вони в сукупності визначають базовий промисловий стандарт на підтримку режиму безпеки.

Десять ключових засобів контролю, пропоновані цим стандартом, є особливо важливими. Ці ключові засоби є хорошою відправною точкою для управління інформаційною безпекою.

При використанні деяких із засобів контролю, наприклад, шифрування даних, можуть знадобитись поради фахівців з безпеки і оцінки ризиків, щоб визначити, чи потрібні вони і яким чином їх реалізувати. Для забезпечення вищого рівня захисту особливо цінних ресурсів або надання протидії виключно високим рівням загроз порушення режиму безпеки, в ряду випадках можуть потрібно сильніші засоби контролю, які виходять за рамки цих правил.

6. Ключові засоби контролю

Десять ключових засобів контролю є або обов'язкові вимоги, наприклад, вимоги чинного законодавства, або вважаються основними структурними елементами інформаційної безпеки, наприклад, навчання правилам безпеки. Ці засоби контролю застосовні до всіх організаціях і середовищам і відмічені символом ключа. Вони служать як основа для організацій, що приступають до реалізації засобів управління інформаційною безпекою.

Ключовими є наступні засоби контролю:

- документ про політику інформаційної безпеки (див. Документ про політику інформаційної безпеки);

- розподіл обов'язків по забезпеченню інформаційної безпеки (див. Розподіл обов'язків по забезпеченню інформаційної безпеки);

- навчання і підготовка персоналу до підтримки режиму інформаційної безпеки (див. Навчання правилам інформаційної безпеки);

- повідомлення про випадки порушення захисту (див. Повідомлення про інциденти в системі безпеки);

- засоби захисту від вірусів (див. Засоби захисту від вірусів);

- процес планування безперебійної роботи організації (див. Процес планування безперебійної роботи організації);

- контроль за копіюванням програмного забезпечення, захищеного законом про авторське право (див. Контроль за копіюванням ПЗ, захищеного законом про авторське право);

- захист документації організації (див. Захист документації організації);

- захист даних (див. Захист даних);

- відповідність політиці безпеки (див. Відповідність політиці безпеки).

7. Задання вимог до інформаційної безпеки організації

Існують три основні групи вимог до системи безпеки в будь-якій організації:

1) — це унікальний набір ризиків порушення безпеки, що складається із загроз, яким піддаються інформаційні ресурси, та їх вразливостей і можлива дія цих ризиків на роботу організації. Більшість з цих ризиків описані в справжніх правилах і їм можна успішно протистояти, якщо скористатися наведеними тут рекомендаціями. Проте існують ризики, що вимагають спеціального звернення, і їх необхідно розглядати з урахуванням їх оцінки в кожній конкретній організації або для кожного конкретного компоненту системи.

2) — це набір правових і договірних вимог, яким повинні задовольняти організація, її торгові партнери, підрядчики і постачальники послуг; при цьому зростає необхідність стандартизації у міру розповсюдження електронного обміну інформацією по мережах між організаціями. Дані практичні правила можуть служити надійною основою для завдання загальних вимог цього типу.

3) — це унікальний набір принципів, цілей і вимог до обробки інформації, який розроблений організацією для виробничих цілей. Важливо (наприклад, для забезпечення конкурентоспроможності), щоб в політиці безпеки були відображені ці вимоги, і життєво важливо, щоб реалізація або відсутність засобів управління безпекою в інформаційній інфраструктурі не заважали виробничої діяльності організації.

Залучення належних засобів контролю і необхідна гнучкість з самого початку процесу планування інформаційних систем є необхідними умовами для успішного завершення роботи.

8. Оцінка ризиків порушення безпеки

Витрати на систему захисту інформації необхідно зіставити і привести у відповідність з цінністю інформації, що захищається, і інших інформаційних ресурсів, піддаються ризику, а також із збитком, який може бути нанесений організації із-за збоїв в системі захисту.

Зазвичай методики аналізу ризиків (див. Аналіз ризиків) застосовуються до повних інформаційних систем і сервісів, але цими ж методиками можна скористатися і для окремих компонентів системи або сервісів, якщо це доцільно і практично. Для оцінки ризиків необхідно систематично розглядати наступні аспекти:

а) збиток, який може нанести діяльності організації серйозне порушення інформаційної безпеки, з урахуванням можливих наслідків порушення конфіденційності, цілісності і доступності інформації;

б) реальна вірогідність такого порушення захисту в світлі превалюючих загроз і засобів контролю.

Результати цієї оцінки необхідні для розробки основної лінії і визначення належних дій і пріоритетів для управління ризиками порушення інформаційної безпеки, а також для реалізації засобів контролю, що рекомендуються в справжніх практичних правилах. Оцінка цих двох аспектів ризики залежить від наступних чинників:

- характеру виробничої інформації і систем;

- виробничій меті, для якої інформація використовується;

- середовища, в якому система використовується і управляється;

- захисту, що забезпечується існуючими засобами контролю.

Оцінка ризиків може виявити виключно високий ризик порушення інформаційної безпеки організації, що вимагає реалізації додаткових, сильніших засобів контролю, ніж ті, які рекомендуються в справжніх правилах. Використання таких засобів контролю необхідно обґрунтувати виходячи з виводів, отриманих в результаті оцінки ризиків.

9. Умови успішної реалізації системи інформаційної безпеки

Перераховані нижче чинники є визначальний для успішної реалізації системи інформаційної безпеки в організації:

а) цілі безпеки і її забезпечення повинні ґрунтуватися на виробничих цілях і вимогах; функції управління безпекою повинно узяти на себе керівництво організації;

б) явна підтримка і прихильність до підтримки режиму безпеки вищого керівництва;

в) хороше розуміння ризиків порушення безпеки (як загроз, так і вразливостей), яким піддаються ресурси організації, і рівня їх захищеності в організації, який повинен ґрунтуватися на цінності і важливості цих ресурсів;

г) ознайомлення з системою безпеки всіх керівників і рядових співробітників організації;

д) надання вичерпного посібника з політики і стандартів інформаційної безпеки всім співробітникам і підрядчикам.

10. Розробка власних рекомендацій

Не існує єдиної оптимальної структури захисту інформації. Кожна категорія користувачів (див. Спеціальний привілей) або фахівців з інформаційних технологій, що працюють в конкретному середовищі, може мати свій власний, такий, що відрізняється від інших, набір вимог, проблем і пріоритетів, залежно від функцій конкретної організації і виробничого або обчислювального середовища.

Багато організацій вирішують цю проблему, розробляючи набір окремих керівних принципів для відповідних груп співробітників, щоб забезпечити ефективніше розповсюдження знань в області захисту інформації. Організаціям, що вирішили прийняти іншу структуру (або навіть розробити свої рекомендації), бажано ввести перехресні посилання на текст діючих правил, щоб їх майбутні ділові партнери або аудитори могли встановити прямі зв'язки між цим стандартом і прийнятими в даній організації принципами системи захисту інформації.

10.1. Політика інформаційної безпеки

Метою політики інформаційної безпеки сформулювати мету і забезпечити підтримку інформаційної безпеки керівництвом організації.

Вище керівництво повинне поставити чітку мету і всесторонньо подавати свою підтримку інформаційної безпеки за допомогою розповсюдження політики безпеки серед співробітників організації.

10.2. Документ про політику інформаційної безпеки

Письмовий документ про політику безпеки повинен бути доступний всім співробітникам, що відповідають за забезпечення режиму інформаційної безпеки.

Вище керівництво повинне надати задокументовану політику інформаційної безпеки всім підрозділам організації. Цей документ повинен містити принаймні наступне:

1) визначення інформаційної безпеки, її основні цілі і область її застосування, а також її значення як механізму, що дає можливість колективно використовувати інформацію (див. Введення);

2) виклад позиції керівництва по питаннях реалізації цілей і принципів інформаційної безпеки;

3) роз'яснення конкретних варіантів політики безпеки, принципів, стандартів і вимог до її дотримання, включаючи:

- виконання правових і договірних вимог;

- вимоги до навчання персоналу правилам безпеки;

- політика попередження і виявлення вірусів;

- політика забезпечення безперебійної роботи організації.

4) визначення загальних і конкретних обов'язків по забезпеченню режиму інформаційної безпеки;

5) роз'яснення процесу повідомлення про події, що таять загрозу безпеці.

Необхідно розробити процес перевірки, визначити обов'язку і задати дати перевірок для дотримання вимог документа про політику безпеки.

10.3. Приклад політики безпеки

Нижче представлений витяг з еталонної політики безпеки Підприємства, яка включає наступні розділи:

1. Загальні положення

2. Політика управління паролями

3. Ідентифікація користувачів

4. Повноваження користувачів

5. Захист інформаційних ресурсів ІС від комп'ютерних вірусів

6. Правила установки і контролю мережних з'єднань

7. Правила політики безпеки по роботі з системою електронної пошти

8. Правила забезпечення безпеки інформаційних ресурсів

9. У прикладі представлено перші два розділи Політики безпеки.

Загальні положення

Забезпечення інформаційної безпеки є необхідною умовою для здійснення діяльності Підприємства. Порушення інформаційної безпеки може привести до серйозних наслідків, включаючи втрату довіри з боку клієнтів і зниження конкурентоспроможності.

Основою заходів по забезпеченню режиму інформаційної безпеки адміністративного рівня, тобто заходів, що робляться керівництвом організації, є політика безпеки. Під політикою безпеки розуміється сукупність документованих управлінських рішень, направлених на захист інформації і асоційованих з нею ресурсів. Політика безпеки Підприємства визначає основні напрями і вимоги по забезпеченню інформаційної безпеки Підприємства.

Забезпечення безпеки інформації включає будь-яку діяльність, направлену на захист інформації і/або підтримуючої інфраструктури. Справжня політика інформаційної безпеки охоплює всі автоматизовані і телекомунікаційні системи, власником і користувачем яких є Підприємство. Положення цього документа відносяться до всього штатного персоналу, тимчасових службовців і інших співробітників Підприємства, а також клієнтів Підприємства і третіх осіб, що мають доступ до автоматизованих і телекомунікаційних систем Підприємства.

Політика управління паролями

Користувачі повинні вибирати нестандартні паролі. Це означає, що паролі не повинні бути пов'язані із заняттями або особистим життям користувачів. Наприклад, не можна використовувати як пароль номер власного автомобіля, ім'я дружини або частину адреси. Це також означає, що пароль не повинен бути просто словом із словника. Так, не повинні використовуватися як паролі імена власні, географічні назви, технічні терміни і сленг. Якщо є відповідні системні програмні засоби для здійснення контролю надійності що призначаються користувачам паролів, то необхідно використовувати ці засоби для того, щоб заборонити користувачам вибір легко вгадуваних паролів.

Користувачі можуть вибрати паролі, що легко запам'ятовуються, які в теж час є важко вгадуваними для третіх осіб, якщо буде виконано хоч би одна з наступних умов:

- Декілька слів написано злито (такі паролі відомі під назвою «passphrases»);

- При наборі слова на клавіатурі використані клавіші, зміщені щодо потрібних, на один ряд вгору, вниз, управо або вліво;

- Слово набране із зсувом на певну кількість букв вгору або вниз за абеткою;

- Комбінація цифр і звичайного слова;

- Навмисно неправильне написання слова (але не звичайна в даному слові орфографічна помилка).

Рекомендується, щоб в паролі були не тільки букви, але і інші символи, тобто цифри (0-9) і знаки пунктуації. Використання символів, що управляють, і інших знаків, що не відображаються, не рекомендується, оскільки через це можуть виникнути проблеми при передачі даних по мережі, несподівано активізуватися певні системні утиліти або виникнути інші побічні ефекти.

Всі паролі повинні полягати не менше чим з шести символів. Довжина паролів винна завжди автоматично перевірятися в той момент, коли користувачі створюють або вибирають паролі.

Користувачі не повинні створювати паролі, які ідентичні або в значній мірі повторюють раніше використовувані ними паролі. Якщо є відповідні системні програмні засоби, необхідно заборонити користувачам, повторно використовувати свої попередні паролі.

Паролі не повинні зберігатися в доступній для читання формі в командних файлах, сценаріях автоматичної реєстрації, програмних макросах, функціональних клавішах терміналу, на комп'ютерах з неконтрольованим доступом, а також в інших місцях, де не уповноважені особи можуть дістати до них доступ. Наприклад, ні в яких застосуваннях користувачі не повинні вибирати таку опцію конфігурації, як автоматичне збереження пароля.

Не можна записувати паролі і залишати ці записи в місцях, де до них можуть дістати доступ не уповноважені особи. Пароль повинен бути негайно змінений, якщо є підстави вважати, що цей пароль став відомий кому-небудь ще, окрім самого користувача. 

Практичне завдання

1. Розробити політику безпеки організації у відповідності з рекомендаціями стандарту ISO/IEC 17799.

2. Обґрунтувати запропоновану політику безпеки.

3. Оформити протокол за результатами виконання роботи. 

Контрольні запитання

1. Охарактеризувати спрямованість стандарту ISO/IEC 17799.

2. В чому полягає зміст інформаційної безпеки?

3. Описати структуру стандарту ISO/IEC 17799.

4. Які засоби контролю використовуються при управлінні безпекою?

5. Які групи вимог до системи безпеки організації визначаються стандартом ISO/IEC 17799?

6. Які аспекти розглядаються при оцінці ризиків безпеки?

7. Які умови необхідно виконати для успішної реалізації системи інформаційної безпеки?

8. Яку інформацію повинен містити документ про політику інформаційної безпеки?

9. Описати структуру документу про політику інформаційної безпеки організації?