Как сделать политику информационной безопасности

Добавил пользователь Дмитрий К.
Обновлено: 04.10.2024

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала:

- определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации

- изложение целей и принципов информационной безопасности, сформулированных руководством

- краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например, таких как:

* соответствие законодательным требованиям и договорным обязательствам;

* требования в отношении обучения вопросам безопасности;

* предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

* управление непрерывностью бизнеса;

* ответственность за нарушения политики безопасности.

- определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности

- ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме.

- непротиворечивой – разные документы не должны по разному описывать подходы к одному и тому же процессу обработки информации

- не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей

- не налагала невыполнимых обязанностей и требований.

В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.


© Все права защищены 2003-2022 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"

Оформили в виде статьи наш доклад на недавно прошедшем семинаре партнеров 1С на тему требований к информационной безопасности на проектах, с которыми всё чаще встречаемся мы и наши партнеры. В статье рассмотрено, почему этими вопросами стоит озаботиться уже сейчас. Куда бежать и что делать, если вы попали на проект с требованиями по информационной безопасности…

Подходы к организации информационной безопасности в корпоративных проектах

  • что из себя представляет ваша информационная система с точки зрения информационной безопасности;
  • какими мерами защиты вы закрываете те или иные угрозы в ней.

Проекты растут, требования к ним ужесточаются. В каждом проекте появляется служба Информационной Безопасности со своими требованиями, которые необходимо учитывать с самого начала.

При анализе рынка часто встречаем ситуацию возникновения перегрузки по ресурсам при росте объемного показателя по проектам, поэтому предлагаем заниматься этим направлением активнее! И мы готовы помогать вам в этом .

Во-вторых, всегда нужно помнить про три главных вопроса, касающихся современной информационной безопасности на предприятиях:

  1. Конфиденциальность – всё, что касается защиты информации от хищения, свободного неконтролируемого распространения, нерегламентированного её изменения;
  2. Целостность – вопросы защиты от повреждения информации и её носителей (например, защита от повреждения базы данных) или вопросы срабатывания средств защиты в безопасном контуре;
  3. Доступность информации – бэкапы, резервные копии, обеспечение бесперебойной работы 24/7.

Все эти аспекты важны при решении задачи в комплексе, не стоит забывать о них ни на одном этапе вашего проекта. А сейчас поговорим вот о чем.

ИТ-Экспертиза: Информационная безопасность

Часть 1. Бумажная безопасность

Что нужно понимать, когда вы работаете с безопасностью с точки зрения бумаги?

Автоматизированная Система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34).

Внимание : не только 1С! (но и ОС, СУБД, серверы и прочее)

Наш регулятор – ФСТЭК

ИТ-Экспертиза: Информационная безопасность

В о-вторых, в ажно понимать, что история с КИИ (Критической Информационной Инфраструктурой – 187-ФЗ) сейчас активно развивается. Маховик набирает обороты, и теперь уже не только ОПК попадает под пристальное внимание, но и операторы связи, и ключевые государственные информационные системы, и телекоммуникации в целом – список огромный!

Поэтому, когда начинаете работать с заказчиком, ВСЕГДА на всякий случай уточняйте, попадает он под действие 187-ФЗ или нет. И если попадает – будьте уверены, вас обязательно попросят (даже если это не отражено в контракте явно) подготовить какие-то классификации и документы по этой системе. Лучше погрузиться в эти вопросы на входе, чем позже в авральном порядке пытаться выполнить требования заказчика.

На картинке ниже представлена примерная таблица списка документов, их объема и обязательности наличия в комплекте по проекту с участием КИИ:

ИТ-Экспертиза: Информационная безопасность - КИИ

Каждый из обязательных документов требует внимательного к себе отношения.

Кратко по документам из списка выше:

В итоге получаем порядка 1000 страниц документации, которая обязательно нужна.

Где мы можем для себя использовать историю с бумажной безопасностью?

Во-первых, разделяйте понятие аттестация и сертификация.

Сертифицируются средства защиты информации, то есть программный продукт.

Аттестуется ваша система, то есть то что вы сделали, написали программный код и т.п.

Система , которую мы внедряем, чаще всего должна быть аттестована.

Аттестация системы защиты персональных данных – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов РФ в области защиты ПДн. Лицензируемый вид деятельности!

Средства защиты информации , которые мы применяем в системе должны быть сертифицированы!

У 1С есть специализированные версии платформы (на момент написания статьи):

Z -версия (Конфиденциальные данные, ПДн), версия платформы 8.3.17

S -версия (Секретно, Совершенно секретно), версия платформы 8.3.13

Во-вторых, с точки зрения решений на платформе 1С следует помнить следующее: бытует мнение, что 8.3.17z идентична 8.3.17. Это не так! Вернее, обычно это так, но есть нюансы, связанные с техническими условиями использования платформы.

Поясняем: ЗПК (защищенный программный комплекс) 1С:Предприятие 8 (платформа 1С) нужен прежде всего для выполнения требований регуляторов при работе с персональными данными. Основные варианты применения: государственные информационные системы до 1 класса включительно, информационные системы персональных данных всех уровней защищенности.

ЗПК может (и должен) применяться:

  • в организациях, являющихся оператором персональных данных (практически все организации на данный момент),
  • в организациях, оказывающих услуги по ведению ИСПДн нескольких операторов,
  • в организациях, работающих с государственными информационными системами.

В платформе 1С реализованы следующие доработки для соблюдения требований по информационной безопасности:

Кроме того, к информационным системам компании-заказчики могут предъявлять дополнительные требования. Например, ограничение доступа в интернет, требования к установленному на рабочих местах программному обеспечению, антивирусам, операционным системам, политикам безопасности и т.д. Эти требования выполняются комплексно - как с использованием наложенных средств защиты, так и с применением защищенной версии платформы 1С:Предприятия 8, и в идеале оба подхода должны использоваться совместно.

Аттестация – лицензируемый вид деятельности ! Если нет лицензии – не занимайтесь этими вопросами. Даже если впрямую это нигде не упоминается.

Деятельность по работе в области информационной безопасности имеет ряд ограничений и лицензий. Лицензия ФСТЭК (ТЗКИ):

  • защита конфиденциальных данных от возможных утечек посредством технических объектов (АС, помещений с размещенными АС, переговорных — защищаемых помещений);
  • защита конфиденциальных данных от НСД (несанкционированного доступа) и их искажения в АС;
  • отслеживание защищенности конфиденциальных данных АС и отдельных модулей;
  • аттестации с проведением испытаний по требованиям информационной защиты (АС, рабочих площадей, переговорных);
  • проектирование защищенных АС, самостоятельных модулей;
  • защита рабочих площадей с подключенными АС, переговорных;
  • установка, наладка, испытания и ремонт технических/программных средств информационной защиты и контроля.

Лайфхак! Если у вас есть лицензия ФСТЭК (ТЗКИ), то Z-платформа от 1С ЯВЛЯЕТСЯ средством информационной защиты программы. Её установка, настройка на серверах заказчика – лицензируемый вид деятельности. Пункт, которым часто можно защищать свои конкурсы! ( мы, конечно, ни на что не намекаем ;) )

Установил Z-платформу 1С – нужна лицензия ФСТЭК!
(иногда = способ защиты в конкурсе)

ИТ-Экспертиза: Информационная безопасность

Часть 2. Реальные инструменты информационной безопасности в проектах

Здесь рассмотрим реальные задачи информационной безопасности (ИБ) и способы их решения на проектах, с которыми сталкивались сами и которые неоднократно решали.

Во-первых – применение платформы 1С:Предприятие 8z. Ко всему сказанному выше добавляем рекомендацию хорошенько изучить формуляры и ТУ, помнить про ограничения.

Во-вторых, практически на каждом проекте – вопросы внешних провайдеров аутентификации. Например, технология OpenID. Или двухфакторная аутентификация, которая требует подключения SMS-шлюза. Часто в защищенных контурах этого всего нет и приходится интегрироваться с уже существующей допущенной туда системой.

В-третьих, работа с назначением прав. По нашему опыту, 90% решений на 1С управляют правами так: завел пользователя, поставил галочки по существующим в прикладном решении 1С ролям и всё. С точки зрения ИБ заказчика этого может быть недостаточно!

В-четвертых, логирование событий безопасности. Формально это требование закрывается средствами Журнала регистрации платформы 1С:Предприятие 8 + некоторыми событиями, которые можно взять из Технологического журнала (например, подключения к консоли кластера).

Но чаще просят экспортировать эти записи из форматов 1С во внешние информационные системы, типа Elastic – с точки зрения удобства и скорости последующего анализа службами ИБ. Будьте к этому готовы. Либо, как вариант, это снова придется разрабатывать внутри внедряемой системы – под запросы ИБ заказчика.

На одном из проектов по просьбе заказчика мы завели специальный регистр сведений, куда записывали протокол работы каждого пользователя в требуемом ИБ формате – например, фиксировали открытие формы платежки, даже если данные в базе оставались неизменными.

ИТ-Экспертиза: Информационная безопасность - САКУРА

  1. Скорее всего вы ответите, что будете организационными мерами это осуществлять. 50/50 что это удовлетворит ИБ.
  2. В случае, если ответ в п.1 ИБ не убедил – смотрите решения по контролю защищенности рабочих мест класса нашего комплекса САКУРА .

Даже если это не написано в техническом задании, либо описано кратко и мелкими буквами – это может вылиться в довольно объемные (неожиданные) работы.

Крайне желательно иметь хотя бы в минимальном наборе механизмы DevOps, проверки безопасности.

ИТ-Экспертиза: Информационная безопасность

Часть 3. Работа внутри команды

Работая с заказчиком, у которого сильные требования по ИБ, следует помнить, что вы тоже попадаете под наблюдение. Инструктируйте всех, кто работает в вашей команде с заказчиком и проводите регулярные тренинги по информационной безопасности!

Всегда выясняйте и учитывайте требования и организационные меры по ИБ конкретного заказчика.

Предполагайте, что всё что вы говорите и делаете – известно!

Например, ваша работа на сервере может быть записана службой ИБ (видео действий пользователя, журналы выполненных действий и команд)

Контролируйте каналы передачи информации:

Сейчас необходимая информация легко достаётся, когда знаешь где брать.

Будучи руководителем проекта, либо руководителем компании, помните – в случае инцидента по ИБ за своего сотрудника придется отвечать. Поэтому работайте со своими сотрудниками, объясняя им азы безопасности. Это действительно важно, хотя кажется очевидным.

ИТ-Экспертиза: Информационная безопасность - Инструктажи

Утечки могут происходить в совершенно неожиданные моменты. Например, был у нас реальный случай, когда тортик на дне рождения в офисе был подан на распечатке бюджета одного из предприятий a86;

ИТ-Экспертиза: Информационная безопасность

На что в первую очередь нужно обратить внимание при инструктаже персонала:

ИТ-Экспертиза: Информационная безопасность - Учебная атака

Протестировали одну проектную команду таким образом – им было разослано фальшивое письмо (содержание видно на картинке выше) с фишинговой ссылкой внутри. Типа ошиблись адресом a86;

Разослано было 275 таких писем.

С теми, кто ответил – дальше продолжалась живая коммуникация.

10 человек ввели логин и пароль.. .

И это в проекте, где присутствуют регулярные тренинги и инструктажи по информационной безопасности.

Если нет времени или квалификации проводить тренинги по ИБ самостоятельно – отправьте сотрудников на курсы. Есть платные, есть бесплатные. У нас неплохой уровень консалтинга по ИБ , например – обращайтесь, договоримся!

Поверьте, с каждым годом ситуация с ИБ будет становиться всё острее, а требования заказчиков – расти. И чем раньше вы начнете заниматься информационной безопасностью у себя и своих клиентов, тем лучше.

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

  • идентифицировать информационные активы, представляющие ценность;
  • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
  • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
  • провести анализ источников угроз;
  • проанализировать сами угрозы;
  • оценить возможный ущерб;
  • подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политики безопасности.

Политика безопасности — это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме того, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.

Основные направления разработки политики безопасности:

  • • определение объема и требуемого уровня защиты данных;
  • • определение ролей субъектов информационных отношений.

Результатом разработки политики безопасности является комплексный документ, представляющий собой систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Этот документ выступает методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

  • • основные положения информационной безопасности организации;
  • • область применения политики безопасности;
  • • цели и задачи обеспечения информационной безопасности организации;
  • • распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.

При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.

В состав автоматизированной информационной системы входят следующие компоненты:

  • аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры), кабели, линии связи и т.п.;
  • программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
  • данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
  • персонал — обслуживающий персонал и пользователи.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных.

Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

С позиции обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):

  • • специалист по информационной безопасности;
  • • владелец информации;
  • • поставщики аппаратного и программного обеспечения;
  • • менеджер отдела;
  • • операторы;
  • • аудиторы.

В зависимости от размеров организации, степени развитости ее информационной системы некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т.д.).

Владелец информации — лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случаев именно владелец информации может определить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Администратор сети — лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача — своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и характер ущерба, который будет нанесен организации при ее раскрытии.

Аудиторы — внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

Читайте также: