Политика чистого стола в информационной безопасности

Обновлено: 09.01.2025

Эта статья - первая из цикла, посвященного обсуждению того, как информационная политика безопасности может использоваться для защиты ценных информационных активов организации. В нашем мире, где, по существу, происходит информационная и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в скорости появления с соответствующими заплатами, где постоянно растущее число различных операционных систем и приложений к ним вскорости превысит все уменьшающееся из-за этого количество волос на голове системного администратора (которые, надеюсь, еще не стали седыми), политика дает нам возможность изменить темп этой гонки, заставить игру идти по нашим собственным правилам.

Вступление

Много людей рассматривают политику, как вкусный, но необязательный десерт, который может быть по желанию добавлен к основным блюдам – межсетевым защитам, вирусным сканерам и VPN, слегка сдобренным IDS. Это неправильно. В этой статье я попытаюсь объяснить, почему, на мой взгляд, именно политика должна служить основой всесторонней стратегии информационной безопасности, и как политика может быть эффективной, практической частью ваших цифровых защитных систем.

Что такое - политика?

Самое близкое по смыслу определение слова 'политика', которое можно найти в словаре - это: "план или курс действий, как для правительств, политических партий, или структур бизнеса, предназначенный, чтобы определить или повлиять на решения, действия и другие вопросы" (American Heritage Dictionary of the English language)

В терминах же компьютерной безопасности политику можно определить как изданный документ (или свод документов), в котором рассмотрены вопросы философии, организации, стратегии, методов в отношении конфиденциальности, целостности и пригодности информации и информационных систем.

Таким образом, политика - набор механизмов, посредством которых ваши цели информационной безопасности могут быть определены и достигнуты. Давайте, кратко исследуем каждую из этих концепций. Для начала, рассмотрим цели информационной безопасности:

Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.

Целостность - поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

Эти цели характерны для любой системы безопасности.

Теперь обсудим механизмы, через которые эти цели могут быть достигнуты, а именно:

Философия

Это - подход к организации информационной безопасности, структура, руководящие принципы информационной стратегии безопасности. Философии безопасности можно представить, как большой купол, под которым находятся все другие механизмы безопасности. Философия должна объяснять во всех будущих ситуациях, почему вы делали именно то, что вы делали.

Стратегия

Стратегия – это план или проект в философии безопасности. Детализация этого плана показывает, как организация намеревается достигнуть целей, поставленных (явно или неявно) в пределах структуры философии.

Правила

Правила – они и в Африке правила. Они объясняют, что нам следует делать, а чего не следует делать никогда в нашей политике информационной безопасности.

Методы

Методы определяют, как организована наша политика. Они - практический гид того, что и как делать в каждом конкретном случае.

Преимущества политики: какую выгоду предлагает политика?

В предыдущем разделе мы кратко рассмотрели, что такое политика, и более подробно, что такое политика информационной безопасности. Но даже из этого краткого описания уже должно быть ясно, что, когда мы имеем в виду политику, мы подразумеваем серьезный бизнес. В сфере информационных технологий это обычно означает необходимость серьезных инвестиции – денежных, временных, человеческих ресурсов. В этой области невозможно скупиться на затраты, если мы планируем их возместить, эффективная политика никогда не бывает быстрой для установки. Здесь возникает вопрос, который для себя решают все, кто решил создать качественную политику информационной защиты: "Что она даст такого, чего бы не было у меня, ну скажем для примера, в Snort 1.7 для Bastion Linux?"

Вот - некоторые примеры того, что может быть достигнуто политикой защиты

Босс может сам контролировать это

Традиционно, если в организации нет четкой политики информационной безопасности, вся ответственность, как за принятие решений по безопасности, так и за все сбои и инциденты лежит на системных администраторах. Во многих организациях они не могут нормально уйти в отпуск или на больничный, потому, что оставшиеся сотрудники будут просто не в состоянии решить множество постоянно возникающих вопросов и проблем. С другой стороны, в большинстве стран принято, что всю ответственность за защиту активов компании несет руководство, а не какой-то никому не известный системный администратор. Директор или руководитель отдела, как правило, не является специалистом в области компьютерной безопасности и его попытки вмешиваться в техническую сторону вопроса будут всегда приводить к неприятным последствиям. Если же в организации разработана политика информационной безопасности, в которой четко прописаны обязанности и уровень доступа самых разных сотрудников, то руководство может легко, и что главное, с пользой для общего дела, контролировать выполнение этих правил. Вовлечение руководства компании в дело информационной безопасности приносит огромную вспомогательную выгоду - оно значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании.

Обеспечение подтверждения должного усердия в вопросе безопасности

В некоторых отраслях промышленности ваша компания может иметь юридические обязательства относительно целостности и конфиденциальности некоторой информации. В большинстве случаев единственный путь, по которому вы можете доказать должное усердие в этом отношении - издание политики безопасности. Поскольку политика отражает философию и стратегию управления, это – четкое и бесспорное доказательство намерений компании относительно качества информационной безопасности. Что интересно, ваших партнеров, как правило, интересуют именно эти «намерения», а не технические средства, которыми они могут быть достигнуты.

Иллюстрация обязательств по организации безопасности

Поскольку политика, как правило, публикуется, она может служить дополнительным доводом для потенциальных клиентов / инвесторов, специалисты другой компании могут сами оценить уровень компетентности ваших специалистов. Все большее число крупных российских, а тем более, иностранных, компаний требуют доказательства обеспечения достаточного уровня надежности и безопасности, в том числе и информационной, своих инвестиций и ресурсов. Без наличия в вашей организации профессиональной политики безопасности с вами в большинстве случаев просто не будут иметь никаких контактов.

Практические выгоды от политики безопасности

Кто-то может возразить, что приведенные выше параметры обеспечивают скорее маркетинговые и организационные преимущества. Хорошо, специально для них ниже рассмотрим практические выгоды.

Она формируют эталонный тест измерения прогресса в вопросах безопасности

Политика отражает философию и стратегию управления в отношении информационной безопасности. Также это - совершенный стандарт, которым может быть измерена целесообразность и окупаемость затрат на компьютерную защиту. Например, если вы хотите узнать, окупится ли установка, скажем, суперсовременной интеллектуальной межсетевой защиты марки «Ответь хакеру тем же», проверенное космонавтами на МКС, и стоимостью с небольшой Карибский островок, достаточно проверить, какой ущерб и затраты предусмотрены в политике.

Точно так же, для того чтобы определить, эффективно ли расходует бюджет организации новый менеджер IT безопасности, руководителю организации достаточно сравнить предлагаемые выгоды с данными, прописанными в политике безопасности. И еще, если политика правильно сформулирована и связана с трудовыми контрактами служащих, то любые нарушения, типа установки игрушек на рабочем месте или порно-серфинга в сети, могут быть наказаны согласно ранее оговоренным пунктам, подписанным служащими. Даже просто наличие подобного документа в компании значительно улучшает информационную безопасность и улучшает производительность труда сотрудников.

Она помогает гарантировать усердие и последовательность во всех филиалах

Самая большая проблема, с которой сталкиваются руководители службы информационной безопасности крупных корпораций – не новые типы вирусов, не неизвестные эксплоиты и даже не программы взлома и перехвата паролей. Нет, со всем этим можно бороться. Труднее всего гарантировать, что системный администратор в отдаленном филиале фирмы где-нибудь в Крыжополе вовремя появится на своем рабочем месте и установит свежие заплаты, допустим к IIS, а не пойдет на пляж или не засидится дома за телевизором во время матча чемпионата мира по футболу. А ведь от этого может зависеть не только безопасность офиса в Крыжополе, но и безопасность всей корпорации в целом. Хорошо осуществленная политика помогает гарантировать выполнение инструкций, путем создания единой директивы и ясного назначения обязанностей и, что одинаково важно, описания ответственности за последствия неудачи и неисполнение обязанностей.

Она служит гидом для информационной безопасности

Хорошо разработанная политика может стать Библией администратора. Печально, но далеко не каждый сотрудник, чей компьютер подключен в вашу корпоративную сеть, понимает угрозу TCP sequence number guessing атаки на OpenBSD. К счастью, ваша политика безопасности IP сети будет гарантировать, что машины всегда установлены в той части сети, которая предлагает уровень безопасности, соответствующей роли машины и предоставляемой информации.

Примеры и рекомендации удобных инструкций

В продолжении своего поста решил написать, как лучше всего создавать инструкции для пользователей и администраторов.

Всем, кому интересно, прошу под хабракат.

Принцип Keep It Simple Stupid хорошо известен в программировании, но почему-то его редко используют для написания инструкций и руководящих документов, предпочитая растекаться мыслею по древу. В 70% ситуаций эта документация необходима только для того, что бы отмахаться от наших бодрых регуляторов, но при этом забывают, что с этой документацией придётся работать, причём не всегда технически подкованным и грамотным в области информационной безопасности людям.

Для начала напишу несколько правил, которые помогут создать рабочий и удобный документ:

1. Старайтесь разделять инструкцию для пользователей от инструкции для администраторов и офицеров безопасности. причём первые не должны содержать ссылок на вторые (они могут содержать отсылки друг к другу).
2. Делайте пошаговые инструкции, вида «взял и сделал». То есть инструкции должны описывать алгоритм действий того, на кого она направлена.
3. Каждый пункт описывайте, как отдельное действие с обязательным указанием ответственного и контактами, если они необходимы.
4. Для большей наглядности можете дополнительно нарисовать в инструкцию блок-схему действий. Это поможет пользователю наглядно понять и оценить действия, так же и вам доступно объяснить алгоритм при обучении.
5. Психологический момент — инструкция будет плохо выполняться и работать, если пользователям понятно и доступно не объяснят алгоритм на пальцах и примерах. Поэтому — НЕ ЗАБЫВАЙТЕ ПРО ОБУЧЕНИЕ!

Пример инструкции для пользователей

Ниже приведен пример инструкции по заведению аккаунта пользователя в корпоративной сети.

Clear screen/clear desk

Специфика российских организаций, работающих с советских времен и таких же умудренных опытом сотрудников такова, что у них, как правило, стол завален бумагами. Компьютер порой не выключается и не блокируется, даже когда уходят домой. Недавно лично видел, проходя поздно вечером мимо одного муниципального предприятия, как за открытыми жалюзи в закрытом на замок здании горел монитор с открытым на нём вордовским документом.
Пользователи порой не догадываются о возможных непреднамеренных утечках информации. Пускай она не конфиденциальна, возможно она только для внутреннего пользования. Но это даёт понимание, что в этой организации не заботятся о своей безопасности и могут так поступить с конфиденциалкой. А так же возможно там будет информация, ещё не отнесенная к закрытой, но уже существующая во внутреннем обороте организации.

Хорошим примером из лучших практик здесь является политики чистого стола и чистого экрана. Их можно описать так же, как я приводил пример ранее, но это будет выглядеть немного глупо, так как действия там простейшие. Лучше просто сделать набором правил:

На этом завершаю примеры и рекомендации. Серию подобных постов я продолжу, если будет интерес.

P.S. В посте приведены скрины реально внедренных и работающих инструкции и политик. Все совпадения с существующими организациями случайны. Все названия отделов и бюро изменены.

Физическая безопасность

Никогда не оставляйте конфиденциальную информацию в конференц-залах или общих помещениях для встреч.

Когда вы покидаете общую зону собрания или конференц-зал, обязательно сотрите все белые доски перед тем, как уйти, и никогда не выбрасывайте конфиденциальную информацию в мусор в общих зонах встреч. Утилизируйте его в соответствии с политикой безопасности нашей организации. Всегда собирайте оставшиеся бумажные копии презентаций или графиков, чтобы они не попали в недружественные руки.

Защитите свое рабочее место от угроз физической безопасности.

Будьте осторожны с различными методами физической безопасности, которые преступники используют изнутри при нападении на организации. Например, преступник может использовать просроченный пропуск, чтобы обмануть охранника или получить доступ к запертой комнате. В крупных организациях наглый преступник может попытаться слиться с толпой, возвращающейся с обеда, и получить несанкционированный доступ в здание. Это называется «опозданием». Убирайте документы, содержащие конфиденциальную информацию, когда вы покидаете рабочее место. Используйте политику «чистого стола», чтобы гарантировать, что ничего, что может причинить вред, если подвергнуть его воздействию, не осталось под открытым небом. Выходите из системы, когда делаете перерыв или уезжаете на день.

Ни в коем случае не оставляйте распечатки конфиденциальных или конфиденциальных документов на рабочем месте. Заблокируйте эти данные, чтобы защитить их.

Когда вы покидаете свое рабочее место незащищенным и без присмотра, злоумышленник или злоумышленник может получить доступ к вашему столу и увидеть конфиденциальные документы, о которых вы оставили лежать. Чтобы сделать снимок документа, сделать его фотокопию или сразу украсть, требуется всего несколько секунд, что может поставить под угрозу безопасность организации. Используйте концепцию «чистого стола», не оставляя конфиденциальные документы открытыми на вашем столе. Запирайте свои конфиденциальные документы в картотеке или сейфе всякий раз, когда вы покидаете это место. Всегда следуйте политике контроля документов вашей организации для всех печатных материалов.

Никогда не оставляйте конфиденциальные документы на принтере или факсимильном аппарате.

Печатные копии документов, которые не используются и больше не нужно хранить, следует при необходимости измельчить в соответствии с политикой хранения записей организации. Практикуйте концепцию «чистого стола» и никогда не оставляйте документы на столе без присмотра. Храните их в надежном запирающемся ящике стола картотеки.

Заблокируйте ценную информацию, чтобы помешать злоумышленникам.

Когда вы находитесь вдали от рабочего места, заблокируйте конфиденциальную информацию на своем столе или в картотеке и используйте защищенную паролем хранитель экрана.

Никогда не переносите конфиденциальную информацию в общие зоны встреч.

Общие зоны для встреч могут быть уязвимы для внутренних угроз. Не приносите конфиденциальную информацию в общие зоны для встреч, например в конференц-залы. Приносите только те данные, которые вам нужны для каждой встречи, чтобы снизить вероятность подверженности риску. После встречи соберите оставленные документы для надлежащей утилизации.

Придерживайтесь политики чистого стола.

Чем больше у вас вещей на столе, тем больше вероятность того, что у вас есть важные или конфиденциальные данные, которые не хранятся должным образом. Убедитесь, что ваш стол убирается в конце каждого дня, чтобы обеспечить безопасность конфиденциальных документов.

Если вы думаете, что за вами следят, немедленно обратитесь за помощью.

Преступники могут довольно долго преследовать предполагаемую жертву, прежде чем нанести удар. Если вы чувствуете, что за вами следят, вам следует войти в первое открытое общественное заведение, которое вы пройдете. Если темно, держитесь как можно ближе к свету, пока не войдете. Сообщите сотруднику, менеджеру или владельцу заведения, что за вами следят, и попросите их позвонить в местные органы власти. После этого полиция сможет определить, представлял ли человек, преследующий вас, угрозу. Не уходите, пока не убедитесь, что вы в безопасности. Если вас остановила полицейская машина без опознавательных знаков, попросите представиться и показать удостоверение, прежде чем открывать окно или дверь.

Храните компьютеры и устройства в безопасных местах, чтобы не повредить их погодными условиями и влагой.

Убедитесь, что ваш домашний компьютер находится в прохладной и сухой части дома. В идеале ваш компьютер должен быть приподнят над полом, чтобы избежать скопления пыли и грязи внутри него.

Зоны, для доступа к которым требуется значок или ключ-карта, ограничены. Всегда надежно закрывайте за собой дверь.

Любая область, для доступа к которой требуется уровень допуска, например значок или ключ-карта, должна быть защищена от вторжения. Вы всегда должны быть уверены, что надежно закрываете за собой дверь, даже если вы собираетесь входить и выходить быстро. За то время, пока вы входите и выходите, кто-то другой может сделать то же самое.

Не открывайте окна и не подпирайте открытые внешние двери без специального разрешения.

Оставление дверей или окон открытыми может дать злоумышленникам доступ к ценным физическим и информационным активам и может создать угрозу безопасности сотрудников. Закройте и заприте открытые двери и окна, затем сообщите подробности руководству или отделу безопасности.

Не говорите о конфиденциальной информации публично.

Когда вы находитесь на публике и говорите по мобильному телефону, вас может подслушивать любой. Не обсуждайте конфиденциальную информацию, например информацию о рабочем месте или информацию, позволяющую установить личность, пока вы находитесь на публике. Кто-то может собрать от вас достаточно информации, чтобы войти в одну из ваших учетных записей или даже украсть вашу личность.

Избегайте размещения дорогих предметов, например компьютеров, в поле зрения окон.

Наличие ценных предметов рядом с окнами облегчает вору их быстрый захват и может сделать вас мишенью. Все окна, выходящие на улицу, должны быть закрыты жалюзи или шторами, а ценные вещи не должны приближаться к этим окнам. Убедитесь, что ваши окна всегда закрыты и заперты, когда вас нет рядом.

Не сообщайте деликатную или конфиденциальную информацию по телефону публично.

Если вам нужно сообщить кому-либо по телефону какую-либо конфиденциальную или конфиденциальную информацию, сначала убедитесь, что вас не могут подслушать. Никогда не обсуждайте конфиденциальные данные организации или личную конфиденциальную информацию в общественных местах.

Знайте, где поблизости находятся огнетушители, и умейте ими пользоваться.

При обнаружении пожара сначала включите сигнал тревоги, чтобы уведомить руководство и персонал о риске для безопасности и начать процедуры эвакуации. Если это безопасно, воспользуйтесь огнетушителем, следуя предписанным процедурам, чтобы попытаться потушить огонь.

Используйте свой компьютер, полагая, что все могут видеть, что вы делаете. Возможно, вас проверит на предмет приемлемого использования оборудования.

Большинству из нас знакома идея о том, что файлы cookie помогают идентифицировать нас рекламодателям и владельцам веб-сайтов при посещении веб-сайтов. Однако тип вашего компьютера, модель, операционная система и даже версия используемого вами веб-браузера также известны каждому посещаемому вами сайту. Эти объединенные данные приводят к другому методу идентификации вас и типов информации, к которой вы получаете доступ. Посещайте только те веб-сайты, в которых у вас есть законная потребность, когда вы выполняете работу для своей организации.

Никогда не устанавливайте собственный Wi-Fi роутер на рабочем месте.

Хотя персональный маршрутизатор Wi-Fi может показаться удобным, он может представлять серьезную угрозу безопасности в бизнес-среде. Вместо того, чтобы пытаться установить собственный персональный маршрутизатор Wi-Fi, спросите в службе поддержки, нужен ли вам доступ к Wi-Fi. Организации проектируют и настраивают свою беспроводную среду в соответствии с конкретными бизнес-потребностями и придерживаются политики безопасности.

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Режим коммерческой тайны: заставь NDA работать

Самый охраняемый коммерческий секрет в мире — формула рецепта “Coca-Cola” в США. Компании удается хранить его более 100 лет. Можно ли достичь такого результата охраны коммерческой тайны (КТ) в Украине. Как не переживать, что сотрудник передаст базу клиентов конкурентам, разгласит коммерческую информацию, или нарушит подписанный NDА.

Команда Icon Partners рекомендует эффективный механизм решения этой проблемы — введение режима коммерческой тайны в компании.

Одна из провальных попыток похищения коммерческой тайны “Coca-Cola” закончилась громким разбирательством в 2006 году. Трое сотрудников похитили и предложили прямому конкуренту “Pepsi” — рассказать о разработке дизайна и рецепте новой колы с ванильным вкусом за 1,5 миллиона долларов. Они получили от 2 до 8 лет лишения свободы.

В этот же день акции “Coca-Cola” на бирже упали — яркий пример, как сильно влияет КТ на репутацию компании. США защищают коммерческую тайну кодексом “Uniform Trade Secret”.

В Украине несколько способов сделать так, чтобы NDA работал и еще больше, чтобы не работал. Распространенное заблуждение — компании достаточно подписать с сотрудниками соглашение о неразглашении коммерческой тайны и спать спокойно, не беспокоясь о возможной утечке информации.

В судебном реестре зафиксирован лишь один кейс, когда удалось защитить конфиденциальную информацию (не забывайте, что любая коммерческая тайна является конфиденциальной информацией, но не любая конфиденциальная информация может быть коммерческой тайной) с помощью NDA — решение от 20.05.2020 по делу № 757/17647/19-ц. На личных страницах в Facebook и LinkedІn ответчик рассказал, что клиенты владеют компанией на Кипре. Кроме увольнения, ему пришлось выплатить штраф 10.000$. Однако случай сложно считать показательным — адвокат ответчика не явился, и решение никто не обжаловал.

Противоположных ситуаций гораздо больше. В 2019 году владелец “BINARY STYDIO LLC” подал иск в Запорожский суд о взыскании 20.000$ США за разглашение коммерческой тайны бывшим работником. В удовлетворении требований истцу отказали, поскольку он неправильно подал электронные доказательства и осуществлял давление на оппонента. Ответчик объяснялся на английском языке, которым плохо владеет, и допускал ошибки, переписывая текст с листа владельца компании (например, «Explоnation of facts» вместо правильного «Explanation of facts»).

Чтобы NDA работал, рекомендуем не просто прописывать условия на “бумажках”, но и прибегать к реальным мерам. Наглядным является украинский кейс ООО “Эргон-Электрик” против ООО “ТВК Вектор-ВС”. Истец провел экспертизы по нарушению положения, с помощью киберполиции изъял носители, которые доказывали вину оппонента. Антимонопольный комитет оштрафовал ответчика на 365.000 тысяч гривен.

Чтобы иметь доказательства в суде, нужно следовать следующим рекомендациям.
Закон о коммерческой тайне в Украине отсутствует, есть отдельные статьи в Гражданском и Хозяйственном кодексе. Но это не значит, что предприниматели уязвимы. Список локальных актов, которые “must have” в национальном бизнесе:

Указ руководителя — он приказывает тимлидам/начальникам отделов сообщить подчиненным о введении режима КТ.
Перечень информации, которая является коммерческой тайной.Сложно защищать нечто абстрактное. Члены команды должны понимать, что именно не предназначено для огласки.
Положение о коммерческой тайне, где детально описывают, как составить пароль, что и кому нельзя пересылать и тд.
Договор-обязательство, который подтверждает, что человек ознакомился с положением и обязуется его выполнять.
Non-disclosure Agreement (NDA) — договор о неразглашении информации устанавливает ответственность сотрудника за разглашение КТ и обязательства по ее охране.
Если компания хочет ввести гриф секретности, необходимо добавить соответствующую инструкцию учета документации.

Суд берет во внимание не наличие локальных актов, а реализацию на практике. Ориентируются компании на международный стандарт информационной безопасности ISO/IEC 27001.
Для сохранения коммерческой тайны и конфиденциальной информации рекомендуем использовать “политику чистого экрана” и “политику чистого стола”:

Сотрудникам строго запрещено оставлять документы без присмотра на рабочем столе.
Ноутбуки, планшеты, телефоны обязательно должны иметь надежный пароль. Важно проводить обучения, объяснять даже такие банальные вещи как пароль. Например, на сайте NordPass топ-список самых предсказуемых и взламываемых паролей: qwerty; 12345; 123456789; дата рождения и тд.

Как доказать владение и использование КТ в определенный момент, если вы всегда держали ее в секрете? Распространенная рекомендация — предоставлять шкаф с ключом, чтобы ограничить доступ посторонних. В 21 веке советуем цифровые сейфы, популярные в Европе.

WIPO PROOF — нотариальная услуга всемирной организации права интеллектуальной собственности. Отпечаток даты и времени создают на специальном цифровом файле — токене. Токены «WIPO PROOF» хранятся на серверах в Швейцарии с высоким уровнем безопасности. Появились в мае 2020 года и признаются в ста странах. Еще один популярный способ — i-DEPOT, разработанный в Бенилюксе. Сейф не подлежит никаким территориальным ограничениям. Стоимость — €37 за 5 лет или €53 за 10 лет.

Помните, для бизнеса нет ничего дороже информационных активов. Пока вы думаете, охранять информацию или нет, другие игроки рынка переманивают ваши кадры, используют сведения и зарабатывают на этом деньги. Сегодня под строжайшим секретом содержат: список книг-бестселлеров “New York Time”, соус биг-мак меню McDonald's, алгоритм поиска Google — перечислять можно бесконечно.
Многомиллиардные корпорации начинали с маленькой идеи, но грамотных решений: выстроили надежную защиту и создали условия для сохранности своих технологий и подходов.

Как я писал политику безопасности

Так получилось, что за последние несколько лет мне довелось несколько раз написать «с нуля» и внедрить в разных компаниях политику информационной безопасности, а также понаблюдать, как это делают коллеги по цеху. В предлагаемой заметке делается попытка обобщить полученный опыт и упомянуть про грабли, оставившие наиболее заметный след на лбу автора. Сразу оговоримся, что далее речь пойдет не о рекомендациях по защите от вирусов или выбору стойкого пароля, а в основном о логике, структуре и назначении подобных документов.

А зачем, собственно?

Варианты ответа могут встречаться разные: выполнение распоряжения мудрого руководства, формальное соответствие каким-либо внешним требованиям, желание внедрить загадочные «лучшие практики» или просто давно назревшая потребность формализовать принятые в компании правила безопасности (а не объяснять их на словах каждый раз).

Будем считать, что политика безопасности – это фиксирование внутренних договоренностей между фунциями ИТ, ИБ и ключевыми пользователями от бизнеса о том, что и как необходимо защищать. Под этой простой формулировкой скрывается несколько важных тем, в том числе – расстановка приоритетов, планирование ресурсов, согласие по поводу практических методов реализации и механизмов контроля (не)сделанного. Напомню, что нам нужно не только написать красивую и правильную политику, но и добиться её внедрения на практике.

Другими словами, политика безопасности устанавливает «единые правила игры», является ориентиром для всех вовлеченных товарищей, при этом закрывает ряд формальных требований законодательства и любых внешних проверяющих, а также радует руководство очевидными доказательствами бурной деятельности подразделения по ИБ.

Во время разработки политики безопасности крайне важно представлять себе целевую аудиторию. Маловероятно, что у нас получится написать документ, одинаково пригодный для зампреда правления, начальника отдела системного администрирования и рядового сотрудника склада.

Обычно для руководства готовится презентация (если нужно предложить план действий, варианты решения проблемы или проинформировать о результате), поэтому структура такого документа ничем не отличается от материалов других функциональных подразделений. Когда речь идет о правилах безопасности для пользователей, то это либо памятка на страничку с полем для подписи после ознакомления, либо материалы для системы дистанционного обучения с красивыми картинками.

Целевая аудитория политики безопасности – это руководители и специалисты ИТ-службы, отдела по защите информации, проектного офиса, ключевые пользователи и все прочие обитатели офиса, так или иначе связанные с разработкой, внедрением и поддержкой ИТ-систем. Также не стоит забывать о подрядчиках и консультантах, выполняющих схожие функции по заказу нашей организации.

Точное понимание целевой аудитории дает отличный фильтр, влияющий на то, какое требование включить в политику безопасности, а какое – отбросить; какую формулировку использовать, чтобы впоследствии заставить это требование работать. Проиллюстрируем это на классическом примере с парольной политикой, попутно проигнорировав возможные возражения по поводу качества требуемого пароля:

Пароль должен содержать не менее 6 символов, в том числе как минимум одну заглавную букву и одну цифру.

Необходимо реализовать проверку, что выбранный пользователем пароль содержит не менее 6 символов, в том числе как минимум одну заглавную букву и одну цифру.

Первое утверждение отлично подойдет для правил по безопасности для пользователей, и то скорее в справочном (а не директивном) порядке, а вот второе прекрасно может быть реализовано как техническое требование безопасности к ИТ-системе.

Прежде чем спорить

Термины и определения – один из самых важных разделов нашей будущей политики. Хорошие определения нужны для того, чтобы дать читателю (и по совместителю – исполнителю) четкое представление о предмете и сделать более понятными все выдвигаемые в тексте требования.

Определения проще всего взять из законодательства, стандартов или Википедии, но не факт, что они будут легко читаться и отвечать особенностям той организации, для которой мы разрабатываем политику безопасности. Поэтому для ключевых терминов может оказаться проще и лучше написать определения самостоятельно, сверяясь с упомянутыми выше источниками.

Практика показывает, что после нескольких итераций разработки политики глоссарий содержит примерно 30-40 жизненно необходимых терминов, включая как и узкоспециальные понятия (двухфакторная аутентификация, например), так и более универсальные сущности (сервер, мобильный компьютер, и т.п.), если они не были определены ранее в других политиках или общем глоссарии организации.

Закон и порядок

Разобравшись с терминами и определениями, самое время посмотреть на структуру содержательной части документа. Общепринятым подходом является брать состав разделов международного стандарта ISO 27002 (или соответствующего ему ГОСТа) или базироваться на любом другом источнике, комплексно описывающем основные принципы защиты информации. Понятно, что и структура, и содержание разделов могут сильно отличаться в зависимости от профиля деятельности нашей организации.

В качестве примера перечислим минимальный набор тем, которые имеет смысл отразить в разрабатываемой политике:

Организационная структура ИБ и объекты защиты (кто, что и почему защищает – про риски, классификацию активов, распределение ролей и обязанностей).
Контроль доступа (по сути, правила взаимодействия участников процесса и объектов защиты).
Управление изменениями (про то, как наши системы должны безопасно и контролируемо переходить из одного состояния в другое).
Мониторинг и аудит (способы оценки и подтверждения текущего состояния защищенности).

Ну и еще одна важная со смысловой точки зрения деталь – политика безопасности может являться описательной («as is», фиксируется текущее состояние) или директивной («to be», что должно быть сделано). Директивный вариант представляется более понятным для чтения и логичным для последующего применения, так как обычно «уже сделано» гораздо меньше, чем «будет сделано».

А судьи кто?

Хорошо, если в организации есть отдел ведения нормативно-справочной информации или другие ребята, помогающие в нелегком деле разработке нормативных документов. Если же их нет, хорошо бы не забыть о едином хранилище для черновиков и уже утвержденных политик, порядке присвоения версий и, конечно же, типовом шаблоне для документа. Все это поначалу может показаться немного лишним, но при разработке последующих версий политики окажет неоценимую помощь.

Рекомендуется дать избранным коллегам ссылку на черновик документа и предложить задать вопросы про итогам прочтения, чтобы получить непосредственную обратную связь. Если свеженаписанная политика будет с пониманием воспринята, например, упертым сисадмином Сергеем, ветераном режимно-секретного отдела Игорем Степановичем и гордым обладателем сертификата PMI Иваном, то можно считать, что самая строгая проверка качества документа пройдена.

И еще один момент. Как только основная работа над политикой будет закончена, нас ждет проверка орфографии и правил пунктуации. Наверняка в организации найдется хотя бы один сотрудник, который знает их лучше вас и не упустит шанс с удовольствием рассказать всем о найденных в тексте ошибках.

Согласие и примирение

Как известно, процесс согласования любого нормативного документа – отдельная песня, начиная со словесных баталий за отдельные неудобные формулировки и заканчивая квестом по кабинетам с целью получения необходимого набора подписей. Отметим, что косвенным образом трудоемкость этого этапа влияет на частоту обновления политики безопасности и, следовательно, на практическую пользу написанного текста. Так как никому не хочется лишний раз участвовать в этом действии, документ зачастую устаревает раньше, чем его успевают полностью согласовать и утвердить.

Чтобы сократить бессмысленные телодвижения на этом этапе и упростить процедуру согласования политики безопасности, была предложена и затем успешно обкатана примерно следующая схема:

К разработке документа в качестве консультантов привлекаются ключевые сотрудники подразделений, через которые будет проходить согласование. Это подчеркивает ощущение их вовлеченности в процесс и уменьшает риск отказа от исполнения уже принятой политики.
На уровне руководства обычным бумажным образом проводится договоренность о том, что согласование политик ИТ и ИБ будет осуществляться в электронном виде и фактом утверждения документа является публикация очередной версии политики на корпоративном портале. Бумажные версии при необходимости подписываются в фоновом режиме.
Процесс согласования переводится в режим «если нет замечаний к определенной дате, то считаем согласованным», а полученные с опозданием возражения и поправки включаются в следующую версию документа. Попутно такой подход неплохо дисциплинирует всех участников процесса.

Успешность внедрения

При разработке политики безопасности мы всегда должны держать в голове необходимость её последующего внедрения. Можно предложить следующие критерии успеха:

Целевая аудитория знакома с текстом документа и понимает изложенные в политике требования.
Большая часть требований политики выполняется на практике, а для невыполненных требований внедрена процедура обработки исключений.
Существует возможность объективно и независимо проверить предыдущие два утверждения.

Про грабли (вместо заключения)

Еще раз кратко перечислим типовые проблемы, с которыми можно столкнуться при написании политики безопасности:

Читайте также: