Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Из каких этапов состоит построение политики безопасности для компьютерной системы

Обновлено: 07.01.2025

Б ольшинство крупных компаний в России не всегда готовы защитить свою безопасность в сфере информационного взаимодействия с другими организациями. Утечки информации, неосторожное поведение сотрудников, диффамация – все это подрывает конкурентоспособность компании. При разработке системы защиты необходимо опираться и на российские, и на международные стандарты. Это позволит и взаимодействовать с российскими государственными органами в соответствующем правовом поле, и успешно сотрудничать с зарубежными партнерами.

Нормативы, используемые для разработки информационной безопасности

Выбор нормативной базы, на которой строится разработка политики, зависит от того, в каком правовом поле и деловой среде преимущественно работает компания. Организации, привыкшие выстраивать свою деятельность на базе международных стандартов качества управления, ISO, будут готовы опираться в работе по подготовке политики информационной безопасности на такие нормативные акты, как ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335. Российские предприятия, обеспечивающие обработку персональных данных или работающие со сведениями, содержащими государственную тайну, должны работать и с нормативами ГОСТ Р ИСО/МЭК 15408.

Разработанные на их базе системные программы охраны обрабатываемых массивов сведений помогут создать единую концепцию защиты от внешних и внутренних посягательств, в которой будут задействованы все уровни иерархии предприятия – от руководства и топ-менеджеров до линейных сотрудников. Включение каждого подразделения в работу на основе общей системы позволит полностью избежать пробелов в сфере обороны или конкуренции отдельных звеньев системы. Политика должна состоять из совокупности административных, организационных и технических мер, за каждую из которых должно отвечать отдельное подразделение. Некоторые процессы включают в себя последовательную работу нескольких служб, от согласованности которых зависит защита компании на сложном и конкурентном рынке. Прорыв в системе безопасности может причинить ущерб интересам и юридического лица, и его собственников, и сотрудников, чья профессиональная репутация может оказаться под угрозой, а персональные данные станут достоянием третьих лиц.

Какой ущерб может причинить отсутствие политики безопасности

Российское законодательство выделяет несколько видов массивов защищаемой информации, доступ к работе с которой имеют предприятия различной формы собственности и государственные органы. Среди них:

  • коммерческая тайна, собственная и доверенная контрагентами;
  • банковская тайна, сведения о счетах и вкладах граждан и предприятий;
  • государственная тайна, доступ к которой могут получить многие участники тендеров на государственные закупки;
  • персональные данные сотрудников и иных лиц, обрабатываемые различными операторами, как входящими в реестр, так и не входящими.

Утечка этих сведений с использованием любых каналов незаконного перехвата информации приводит к следующим видам ущерба:

  • ухудшение деловой репутации компании;
  • негативное воздействие регулятора;
  • отзыв лицензии или иного допуска к сведениям, которые охраняются особым образом;
  • потеря клиентов, снижение интенсивности денежного потока;
  • потеря собственных разработок, маркетинговых исследований, приоритета при выпуске нового продукта;
  • утрата влияния на рынке, отдельных секторов рынка;
  • прямые иски о возмещении вреда, вызванного утратой коммерческой тайны контрагентов, или морального вреда.

Все эти риски в финансовом плане оцениваются очень высоко. Предприниматели должны приложить все силы к разработке и внедрению работающей системы защиты конфиденциальной информации, что в дальнейшем позволит защитить свои активы от серьезного ущерба.

Расходы на внедрение систем относятся, по правилам налогового учета, на снижение налога на прибыль, поэтому уровень затрат окажется разумным.

К чему приводит неосмотрительное отношение к персональным данным? Реальные кейсы.

Цели и задачи разработки политики информационной безопасности

Не все предприятия понимают необходимость системного отношения к защите своих бизнес-интересов от утечек информации. Антивирусной защиты и обязания сотрудников своевременно менять пароли и не выносить из офиса документы должно хватить, по мнению руководства компаний, для обеспечения своей информационной неприкосновенности. Это не так, деятельность любой организации может представлять интерес для конкурентов, которые смогут использовать самые современные и нетривиальные способы проникновения в охраняемые базы данных. Это приводит к необходимости отказаться от разрозненных мер и опоры на деятельность служб безопасности и разработать политику, в которой будут предложены системные меры защиты.

Должны одновременно решаться такие задачи, как:

  • выявление рисков, угрожающих всему периметру безопасности;
  • внедрение средств защиты;
  • расследование инцидентов информационной безопасности, зафиксированных случаев утечек;
  • выявление виновников и привлечение их к ответственности с целью сохранения финансовых средств предприятия.

Если руководство не готово само проявить инициативу в подготовке такой политики, задача довести ее необходимость до топ-менеджеров ложится на плечи служб безопасности и IT-обеспечения. Документ должен утверждаться на уровне Совета директоров, если он присутствует в компании, расходы на внедрение политики информационной безопасности необходимо согласовывать с акционерами или собственниками, чтобы избежать обвинений в нецелевом расходовании средств.

Разработка политики безопасности связана с внедрением самых современных программных продуктов, стоимость которых может быть относительно высока. Каждое должностное лицо должно понимать необходимость внедряемых методов, программных продуктов, стандартов и соотносить расходы на их внедрение с фактическим увеличением стоимости компании. Наличие сертификации и аттестации по стандартам ISO/IEC 27001-2005 при оценке компании независимыми оценочными агентствами положительно повлияет на ее капитализацию.

Внедрение любой защитной меры всегда становится компромиссом между снижением уровня риска и удобством работы конкретного сотрудника, но дополнительные преимущества переведут целесообразность внедрения политики информационной безопасности на существенно более высокий уровень.

Взаимодействие с пользователями

На этапе разработки системы мер и ее внедрения лица, которым будет поручена эта задача, столкнутся с негативной реакцией большинства сотрудников IT-служб и других работников компании, которым придется отказаться от удобных стандартов работы. Та же бухгалтерия, которая не сможет больше сводить баланс вечером в домашних условиях, сочтет действия разработчиков опасными. От IT-служб, объем работы которых неминуемо увеличится, можно будет услышать критические реплики следующих типов:

  • почему необходимо работать по нелогичной и ресурсозатратной схеме, а не по простой, быстрой и эффективной;
  • почему на ненужные действия тратится столько средств и ресурсов компании;
  • у нас нет ничего, что было бы интересно хакерам.

На все эти вопросы необходимо подготовить понятные и лаконичные ответы. Желательно, чтобы они были подкреплены утвержденной на высшем уровне политикой. Наличие при подготовке пояснительных записок и обоснований знаний о том, что конкуренты сталкивались с подобными ситуациями и в ряде случаев возбуждались даже уголовные дела, поможет сломить сопротивление. Оставшиеся имеют возможность готовить служебные записки на уровень высшего руководства.

Этапы разработки политики информационной безопасности

Не всегда компании готовы самостоятельно разработать политику информационной безопасности. Требуется привлечение экспертов, готовых предложить новейшие разработки. При этом эксперты должны ясно понимать, что их аудиторией являются Совет директоров и высший менеджмент компании, политика должна опираться на их интересы и полностью соответствовать им. Сопротивление может возникнуть на низовых уровнях, его нужно ожидать и подготовить достаточные меры, чтобы иметь возможность его сломить.

С учетом этих особенностей разработки сложного комплекса организационных и программно-технических мер процесс создания политики информационной безопасности будет состоять из следующих этапов:

  • проведение аудита состояния информационной безопасности с использованием собственных ресурсов и привлеченных экспертов;
  • анализ выявленных рисков, разработка, предложение и защита возможных сценариев построения систем обороны;
  • разработка стандартов системы информационной безопасности, согласование их со всеми причастными службами;
  • выбор оптимальных, экономически выгодных и внедряемых решений защиты информационной безопасности;
  • разработка нормативно-правовой документации по обеспечению информационной безопасности, начиная от политик верхнего уровня и заканчивая стандартами работы с базами данных и компьютерной техникой;
  • согласование и утверждение разработанных документов на уровнях советов директоров и исполнительного органа компании;
  • внедрение документов, их апробация;
  • сопровождение эффективной работы всех созданных секторов безопасности, доработка документов;
  • проверка качества работы систем безопасности, их аудит и совершенствование.

Все эти этапы требуют внимательного отношения к любой процедуре, внедрение которой должно производиться с учетом мнения всех подразделений, согласования всех требуемых документов, в противном случае неизбежно возникновение конфликта интересов различных департаментов. Его наличие существенно затруднит работу компании.

Структура политики информационной безопасности

Процесс подготовки и согласования политики может занять до полугода, начиная от момента начала аудита, завершая этапом аттестации и сертификации системы. Разработанная и утвержденная документация должна включать в себя следующие разделы:

  • перечисление объектов, в отношении которых устанавливается режим информационной безопасности, их ранжирование по значимости и требуемой степени защиты;
  • описание функций каждого подразделения, ответственного за обработку данных и их защиту, описание самих функций системы информационной безопасности;
  • описания технологий, применяемых для обеспечения сохранности информации;
  • перечень действующих и потенциальных угроз информационной безопасности, описание степени их серьезности и реализуемости;
  • модель вероятных проникновений сквозь контуры информационной безопасности;
  • описание внешних и внутренних субъектов, которые могут стать источниками потенциальной угрозы;
  • описание общих принципов и стандартов подходов к защите информационной безопасности, основанных на использовании разработок ISO/IEC 27001-2005 и действующего в этой сфере российского ГОСТа;
  • описание применяемых административных мер, документов, стандартов;
  • описание понятия инцидента информационной безопасности, процедур уведомления о его возникновении;
  • описание применяемых организационных мер, действий сотрудников компании по обеспечению информационной безопасности;
  • описание систем доступа ко всем информационным ресурсам организации, ранжирование систем доступа применительно к аппаратному обеспечению программных средств, базам данных. Доступ к информации должен быть ранжирован в зависимости от ранга сотрудника, его соответствия требованиям служб безопасности, важности охраняемых данных. Надо исключить несанкционированный доступ к базам данных неуполномоченных лиц;
  • описание выбранной политики защиты от вирусных атак, программ-вредителей, возможных действий хакеров;
  • описание системы резервного копирования важных данных, ее периодичности, моделей хранения – на дисках, на посторонних серверах;
  • описание того, в каком порядке будут проводиться аварийные и восстановительные работы при повреждении аппаратной части в случае пожара, проблем с электросвязью или по иным причинам, повлекшим за собой гибель компьютеров, носителей информации или самих баз данных;
  • описание порядка тестирования, согласования, аттестации (при наличии предусмотренной стандартами ISO/IEC 27001-2005 необходимости) и сертификации уполномоченными органами созданной системы на соответствие выбранным стандартам. Без соблюдения этих процедурных моментов не обойтись, так как аттестация созданных систем информационной безопасности по требованиям сохранности данных не только по ISO/IEC 27001-2005, но и ГОСТу, позволяет получить возможность работы с данными ограниченного доступа. От наличия сертификации часто зависит получение лицензии на обработку этих данных. Процесс сертификации дает возможность и работы в российском правовом поле, и взаимодействия с иностранными компаниями, заинтересованными в защищенности передаваемых ими российским партнерам сведений, являющихся коммерческой тайной;
  • описание системы расследования инцидентов информационной безопасности, производимого собственными силами или с привлечением компетентных организаций или правоохранительных органов;
  • план мероприятий по постоянному поддержанию готовности системы к работе, ее обновлению при изменении правил сертификации или степени значимости угроз.

Большинство из предложенных разделов должны иметь общий характер и отсылать к отдельным стандартам и регламентам. Документ должен быть понятен всем пользователям, работающим в компании, термины, понятные только узким специалистам, должны остаться в предназначенной для их внимания документации.

Несмотря на сложность и большой объем затронутых тем, нужно соблюдать следующие требования:

  • лаконичность – документ на 150-200 страниц, составлять которые так любят корпоративные департаменты, прочитан не будет, а значит, не будет и выполняться;
  • предоставление рекомендаций максимально простым и понятным языком – все шаги должны быть расписаны на уровне понимания простого администратора.

Все регламенты, содержащие последовательность процессов, уровни ответственности, графические схемы нужно вынести в приложения.

Возможно, имеет смысл подготовить трехуровневую систему документа:

  1. Сама политика.
  2. Положение о подразделениях и положение об информации, составляющей коммерческую тайну.
  3. Регламенты и методики.

В качестве примера, как не всегда стоит готовить документы, может быть взята регламентационная документация АО «РТИ». Сотрудниками радиоинститута был подготовлен документ, состоящий из 45 страниц, насыщенных специальными терминами. Специфика его работы предполагает повышенное внимание к информационной безопасности, но не для всех это приемлемо. Изложение теоретических принципов и подходов не будет насущной необходимостью, но отнимет время на согласование и понимание. В противовес ему, аналогичный документ в ПО «Газпромбанк» занимает всего 11 страниц, простым и ясным языком там изложены все нормы, необходимые для понимания принципа работы политики информационной безопасности.

Помимо документального нужно учитывать и производственный, и территориальный, и кадровый факторы, каждый из которых определит специфику защитных мер. Создание системы и политики безопасности требует от разработчиков максимального учета особенностей работы каждого юридического лица, графиков, территорий, ресурсов. Ее создание должно гарантировать максимально высокую степень защиты, при этом оно и последующее поддержание работоспособности системы не должны повлечь за собой высоких финансовых затрат. Общая производительность труда не должна страдать от излишнего количества регламентов. Кроме этого, сертификация, аттестация и внедрение новых программных продуктов требуют существенного пересмотра бюджета, поэтому, если принято решение о разработке и внедрении системы мер и документов, необходимы своевременная подготовка сметы и бюджета и их согласование на уровне высшего руководства.

Традиционно в крупных компаниях планирование бюджета производится на уровне квартала и года, и согласовывать бюджет на внедрение политики необходимо исходя из того, что на это потребуется не менее двух кварталов.

Разработка современных программных продуктов, например DLP-систем и SIEM-систем, закрывающих все информационные каналы от несанкционированного съема данных, их внедрение и адаптация к потребностям каждого конкретного предприятия требуют не только финансовых, но и временных ресурсов. Поэтому от подразделений, отвечающих за подготовку политики, зависит своевременное планирование средств и согласование их привлечения.

Системная работа в области информационной безопасности, таким образом, требует внимания не только специальных подразделений, но и финансовых, и бухгалтерских служб, и руководства компании. При этом о целях разработки этой системы уведомляются все сотрудники, которые должны быть лично заинтересованы в успешности ее реализации. Помочь в этом могут системы мотивации, при использовании которых ключевые показатели эффективности труда будут связаны с соблюдением требований политики, ее успешным внедрением. Таким образом, в процесс оказываются вовлеченными еще и кадровые службы предприятия.

Задача в условиях крупного предприятия реализовать все этапы процесса внедрения политики информационной безопасности (от начальных моментов согласования до внедрения, сертификации и аттестации) становится крайне сложной. Но целесообразность этого решения должна помочь превозмочь все преграды.

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».

Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.

Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.

На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

  • идентифицировать информационные активы, представляющие ценность;
  • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
  • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
  • провести анализ источников угроз;
  • проанализировать сами угрозы;
  • оценить возможный ущерб;
  • подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Аудит - это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.
Событие безопасности - в Windows XP событием называется любое значительное изменение состояния системы или программы, о котором следует уведомить пользователей, а также событием называется запись в журнале. Служба журнала событий записывает события приложений, системные события и события безопасности в окне просмотра событий

Прикрепленные файлы: 1 файл

Практическая №2.docx

Итак, существуют две модели доступа:

  • Классическая: локальные пользователи проходят проверку подлинности со своей учетной записью.
  • Только гости: локальные пользователи проходят проверку подлинности с учетной записью «Гость».

По умолчанию используется модель «Только гости» в Windows XP Professional.

  • Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.
  • Действие параметра не распространяется на интерактивный вход в сеть, выполняемый в удаленном режиме с использованием таких служб, как Telnet или службы терминалов.
  • Если компьютер не присоединен к домену, данный параметр также определяет внешний вид вкладок Доступ и Безопасность проводника Windows: они настраиваются в соответствии с выбранной моделью доступа и безопасности.
  • В случае гостевой модели любой пользователь, имеющий доступ к данному компьютеру через сеть (в том числе анонимный пользователь Интернета), получит доступ и к общим ресурсам этого компьютера. Следует обезопасить компьютер от несанкционированного доступа с помощью брандмауэра Windows или другого подобного устройства. Точно так же в случае классической модели локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь сможет с помощью такой учетной записи получить доступ к общим системным ресурсам.

Данная политика неприменима на компьютерах Windows 2000.

4.Средства определения политики аудита.

Панель управления > Администрирование > Локальная политика безопасности > Локальные политики > Политика аудита.

А.) Установить регистрацию в журнале аудита успешных и неудачных попыток для следующих политик аудита:

«Аудит входа в систему»

2).Изменения политики.

«Аудит изменения политики»

3).Использование привилегий.

«Аудит использования привилегий»

4).Событий входа в систему.

«Аудит событий входа в систему»

5).Управления учетными записями.

«Аудит управления учетными записями»

Б).Какие ещё параметры политики аудита могут быть определены?

  • Аудит доступа к объектам
  • Аудит системных событий
  • Аудит доступа к службе каталогов
  • Аудит отслеживания процессов

В).Где расположен журнал аудита событий безопасности?

Панель управления > Администрирование >Просмотр событий > Безопасность.

Г).В чем заключается смысл параметров политики аудита?

Параметры политики аудита позволяют вести «Журнал аудита событий безопасности» в соответствии с потребностями пользователя ПК.

5).Просмотр журнала аудита событий безопасности.

Выбираем нужный нам Аудит. Например на 08.12.2011.

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

- - Доступ к объектам

- - Управление учетными записями

- - Доступ к службе каталогов

Код входа: (0x0,0x169E

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

- - Доступ к объектам

- + Управление учетными записями

- + Доступ к службе каталогов

Код входа: (0x0,0x169EC)

Тип события: Аудит успехов

Источник события: Security

Категория события: Изменение политики

Код события: 612

Изменение политики аудита:

- - Доступ к объектам

- - Управление учетными записями

- - Доступ к службе каталогов

Код входа: (0x0,0x169EC)

6).Средства определения политики ограничений использования программ.

А).Создание правила для сертификата.

Б).Создание правила для хеша.

В).Создание правила для зоны Интернет.

Это правило применяется к программам, установленным с помощью установщика Windows.

Г).Создание правила для пути.

7).Контрольные вопросы.

В чем уязвимость с точки зрения безопасности информации принимаемая по умолчанию реакция системы на превышения размера журнала аудита?

Какое из дополнительных правил ограниченного использования программ кажется Вам наиболее эффективным и почему?

Из каких этапов состоит построение политики безопасности для компьютерной системы?

  • определение, какие данные и насколько серьезно необходимо защищать,
  • определение кто и какой ущерб может нанести фирме в информационном аспекте,
  • вычисление рисков и определение схемы уменьшения их до приемлемой величины.

К чему может привести ошибочное определение политики безопасности (приведите пример)?

К потере или повреждению данных и(или) системы.

Почему, на ваш взгляд, многие системные администраторы пренебрегают использованием большинства из рассмотренных в данной лабораторной работе параметров политики безопасности?

Из-за недостатка времени и потому, что на большинстве компьютеров они не нужны.

Ответы на вопросы

Какие события безопасности должны фиксироваться в журнале аудита?

В Журнале событий фиксируются следующие виды событий:

Количество событий, которые записываются в журнал, очень велико, поэтому анализ журнала событий может быть довольно трудоемкой задачей. Для этого разработаны специальные утилиты, помогающие выявлять подозрительные события. Кроме того, можно фильтровать журнал по задаваемым критериям.

Для начала определим понятие политики безопасности:
Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
Разработка политики информационной безопасности - вопрос отнюдь не тривиальный. От тщательности ее проработки будет зависеть действенность всех остальных уровней обеспечения информационной безопасности - процедурного и программно-технического. Сложность разработки данного документа определяется проблематичностью использования чужого опыта, поскольку политика безопасности основывается на производственных ресурсах и функциональных зависимостях данного предприятия. Кроме того, Россия как государство не имеет подобного типового документа. Наиболее близким по идее можно назвать "Доктрину информационной безопасности РФ", однако, на мой взгляд, она носит слишком общий характер.
В связи с этим для разработки политики информационной безопасности целесообразно использовать зарубежный опыт. Наиболее детально этот аспект проработан в [6]
В общем случае она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривалось присутствие нескольких административных ролей: администратор, аудитор и оператор системы защиты. Такое ролевое управление информационной безопасностью — скорее дань традиции и теоретически позволяет избежать «сговора» администратора и злоумышленника из числа пользователей. Для того, чтобы включить данный функционал продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности.
Политика безопасности зависит:
• от конкретной технологии обработки информации;
• от используемых технических и программных средств;
• от расположения организации;
Данный документ устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Таким образом, политика выполняет две основные функции:
• определяет безопасность внутри организации;
• определяет место каждого служащего в системе безопасности.
Здесь определяются способы развертывания системы безопасности. Сюда входит правильная настройка компьютерных систем и сетей в соответствии с требованиями физической безопасности, определение надлежащих механизмов, используемых для защиты информации и систем.
Однако технические аспекты - это не единственное, что определяется политикой. Она ясно устанавливает порядок осуществления служащими своих обязанностей, связанных с вопросами безопасности, например, для администраторов. Она определяет поведение пользователей при использовании компьютерных систем, размещенных в организации.
И, наконец, устанавливает порядок реагирования в случае каких-либо непредвиденных обстоятельств. Если происходит инцидент, связанный с нарушением безопасности, или система дает сбой в работе, политики и процедуры устанавливают порядок действий и выполняемые задачи, направленные на устранение последствий этого инцидента.
Правила достаточно серьезны и являются необходимой частью действующей в организации программы безопасности. Таким образом, очень важно, чтобы все службы работали во взаимодействии для построения надежной системы безопасности. Политика показывает основные направления деятельности работников компании в этой совместной работе. Политики и процедуры определяют задачи и цели программы безопасности. Когда эти задачи и цели должным образом поддерживаются служащими, это обеспечивает базу для коллективной работы в сфере безопасности.

Параграф. 2.1. Структура ПБ

Существует большое количество типов политик и процедур, которые определяют функционирование системы безопасности в организации. В следующих разделах мы рассмотри основные концепции, полезные и широко используемые на практике. Все эти концепции можно скомбинировать для лучшего использования в вашей организации. Три раздела каждой политики являются общепринятыми.
• Цель. Каждая политика и процедура имеют четко определенную цель, которая ясно описывает, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.
• Область. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим.
• Ответственность. В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур. Этот человек должен быть надлежащим образом обучен и знать все требования политики.

Существует так же список необходимых документов обязательных к включению в политику безопасности. На данном этапе мы можем включить следующие документы:
-Перечень защищаемых объектов.
• Перечень используемого программного, его версии и список исправлений
• Перечень аппаратного обеспечения и версии системного ПО
• Конфигурация активного сетевого оборудования.
• Конфигурация программного обеспечения.
-Перечень защищаемых ресурсов
• Перечень типов информационных ресурсов и их пользователей.
• Перечень кандидатов на присвоение грифа секретности.
• Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.
-Перечень лиц имеющих доступ к защищаемым объектам.
• Отдел
• Должность
• Права субъекта в системе.
-Перечень используемого прикладного программного обеспечения и его настроек.
• Наименование
• Производитель
• Адрес и телефон службы поддержки, их сайта
• Ссылка на лицензионный договор
• Перечень установленных исправлений и обновлений
• Ссылка на хранилище резервных копий.
-Набор должностных инструкций.
• администратора безопасности;
• системного администратора;
• системного оператора;
• пользователя системы;
• инструкция по оперативному восстановлению системы.

Читайте также:

      
  • Азино777 компьютерная версия определить волатильность позволительно за величине можно
    •   
  • Как создать ярлык exe файла
    •   
  • Act 39 ошибка nod32
    •   
  • Найти вручную файлы для пропатчивания
    •   
  • Отличие nvme от m2
  • Контакты
  • Политика конфиденциальности