2.6.1. Описание политики безопасности

Организация SANS выработала свой подход в понимании политики информационной безопасности и ее составляющих. В терминологии SANS политика информационной безопасности – многоуровневый документированный план обеспечения информационной безопасности компании:

• верхний уровень – политики;

• средний уровень – стандарты и руководства;

• низший уровень – процедуры.

Далее документы разбиваются на следующие основные категории: • утверждение руководства о поддержке политики информационной безопасности;• основные политики компании;• функциональные политики;• обязательные стандарты (базовые);• рекомендуемые руководства;• детализированные процедуры.

Стандарты детализируют различия по настройке безопасности в отдельных операционных системах, приложениях и базах данных. Руководства представляют из себя рекомендуемые, необязательные к выполнению действия по предупреждению проблем, связанных с различными аспектами информационной безопасности.Процедуры – детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять.При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип «знать только то, что необходимо для выполнения служебных обязанностей» и использовать разделение обязанностей на критичных системах.Различают следующие типы политик безопасности:•  направленные на решение конкретной проблемы – примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Интернета; •  программные – высокоуровневые политики, определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов; •  применяемые к конкретной среде – например, каждая операционная система требует отдельного стандарта по ее настройке. Рекомендуемые компоненты политики безопасности:• цель,• область действия,• утверждение политики,• история документа,• необходимость политики,• какие политики отменяет,• действия по выполнению политики,• ответственность,• исключения,• порядок и периодичность пересмотра.

Организация SANS разработала ряд шаблонов политик безопасности: • политика допустимого шифрования,• политика допустимого использования,• руководство по антивирусной защите,• политика аудита уязвимостей,• политика хранения электронной почты,• политика использования электронной почты компании,• политика использования паролей,• политика оценки рисков,• политика безопасности маршрутизатора,• политика обеспечения безопасности серверов,• политика виртуальных частных сетей,• политика беспроводного доступа в сеть компании,• политика автоматического перенаправления электронной почты компании,• политика классификации информации,• политика в отношении паролей для доступа к базам данных,• политика безопасности лаборатории демилитаризованной зоны,• политика безопасности внутренней лаборатории,• политика экстранет,• политика этики,• политика лаборатории антивирусной защиты.2.6.2. Пример политики аудита безопасности [11]Цель. Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых других компонент информационных систем компании. Аудит может быть проведен для:• гарантии целостности, конфиденциальности и доступности информационных ресурсов компании;• расследования возможных инцидентов в области безопасности компании;• мониторинга деятельности сотрудников и активности информационной системы в целом.

Область действия. Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки класса «отказ в обслуживании». Политика. Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения аудита безопасности (технические проекты, карта сети, положения и инструкции и пр.). Доступ к информационной системе включает:• доступ на уровне пользователя или системный доступ к любому оборудованию системы;• доступ к данным (в электронном виде, в виде бумажных копий и т. д.), которые создаются, передаются и хранятся в системе;• доступ в помещения (лаборатории, офисы, серверные и т. д.);• доступ к сетевому трафику.

Управление сетью. Если в компании доступ из корпоративной сети в Интернет обеспечивается сторонней организацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени. Уменьшение производительности и/или недоступность сервиса. Компания освобождает аудиторов от любой ответственности, связанной с уменьшением сетевой производительности или недоступностью сервисов, вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов. Контактные лица компании при проведении аудита. Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам, возникающим во время проведения аудита безопасности. Период сканирования. Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности. Процесс оценки рисков. Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании. Ответственность. К любому сотруднику компании, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.