How to become an author
Search
Write a publication
Pull to refresh

Политика информационной безопасности — опыт разработки и рекомендации

Reading time7 min
Views161K
Information Security*
imageВ данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.

Здесь вы сможете найти ответы на вопросы:
  • для чего нужна политика информационной безопасности;
  • как ее составить;
  • как ее использовать.



Необходимость наличия политики ИБ

В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.

Понимание целей и задач подразделения информационной безопасности

imageПрежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.
Требования политики — основание для внедрения защитных мер

Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)

imageЛюбая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.

При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:
  • почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
  • кто это все придумал

Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток.
При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании

Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?

Рекомендации по разработке политики ИБ

При разработке политики следует помнить о двух моментах.
  • Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
  • Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.


Конечный документ должен удовлетворять следующим требованиям:
  • лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
  • доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)

Каким образом этого добиться?

На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.

image

Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.

Анализ политик ИБ существующих компаний

ОАО «Газпромбанк» — www.gazprombank.ru/upload/iblock/ee7/infibez.pdf
АО «Фонд развития предпринимательства „Даму“ — www.damu.kz/content/files/PolitikaInformatsionnoyBezopasnosti.pdf
АО НК „КазМунайГаз“ — www.kmg.kz/upload/company/Politika_informacionnoi_bezopasnosti.pdf
ОАО „Радиотехнический институт имени академика А. Л. Минца“ — www.rti-mints.ru/uploads/files/static/8/politika_informacionnoy_bezopasnosti_rti.pdf

  Полезное количество страниц* Загруженность терминами Общая оценка
ОАО „Газпромбанк“ 11 Очень высокая Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО „Фонд развития предпринимательства “Даму» 14 Высокая Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО НК «КазМунайГаз» 3 Низкая Простой для понимания документ, не перегруженный техническими терминами
ОАО «Радиотехнический институт имени академика А. Л. Минца» 42 Очень высокая Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц

* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации

Резюме
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.

Внедрение и использование политики ИБ

После утверждения политики ИБ необходимо:
  • ознакомить с политикой всех уже работающих сотрудников;
  • ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
  • проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
  • принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
  • разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
  • не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.


По вопросам и предложениям добро пожаловать в комментарии и личку.

UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).

Вопрос %username%

Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.

Ответ bugaga0112358

Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.

Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.

Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.

Вопрос %username%

Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?

Ответ bugaga0112358

Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.

Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.

Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.

То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.

Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.

В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.

Итого, у вас появляется необходимость ознакомить юзера с двумя документами:
  • политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
  • этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)


Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
Tags:
Hubs:
+2
Comments13
20
Karma
0
Rating
Александр @bugaga0112358

Безопасник-практик

Send message

Articles

Show the best of all time
Unlock dark mode

Your account

Sections

Information

Services

Support
© 2006–2024, Habr