Политика информационной

безопасности
Термин “политика” произошёл от греч. politika – государственные или
общественные дела, polis – государство.

Рассмотрим несколько трактовок термина “политика”:

1. сфера деятельности, связанная с отношениями между социальными
группами, сутью которой является определение форм, задач,
содержания государства (Большой Энциклопедический словарь)
2. направление деятельности государства или каких-либо социальных
групп в какой-то области в определённый период (Новый словарь
русского языка, Т.Ф.Ефремова)
3. образ действий, направленных на достижение чего-либо, поведение,
которое определяет отношения с людьми (Новый словарь русского
языка, Т.Ф.Ефремова)
4. общее намерение и направление, официально выраженное
руководством
2
 Политика (англ. poliсу) – это расширенная формулировка принципа,
который отражает позицию руководства организации в отношении
определённой области управления. Это директивы высшего руководства
по созданию программы ОИБ, установке её целей и распределению
обязанностей.
Стандарт (англ. standard) – правило, указывающее конкретное
направление действий или ответную реакцию на данную ситуацию.
Стандарты должны помогать осуществлять политику организаций.
Базис (англ. baselines) – это зависящее от конкретной платформы
правило защиты, которое принято во всей отрасли как обеспечивающее
наиболее эффективный подход к реализации защиты.
Процедуры (англ. procedures) – это технологии или процессы, зависимые
и имеющие отношение к конкретным платформам, приложениям или
процессам.
Руководства (англ. guidelines) – рекомендации, которые учитываются при
осуществлении защиты.
3
Рассмотрим взаимосвязь понятий “политика”, “стандарт”, “процедура” и
“руководство” в области ОИБ:
 Итак, общий подход и официальные выраженные руководством
намерения в области ОИБ отражаются в разработанном, утверждённом
этим руководством и строго выполняемом на практике всеми
сотрудниками и бизнес-партнёрами документе, который называется
политикой ИБ (ПолИБ / англ. security policy).
Эта политика определяет стратегию и тактику построения в организации
системы защиты информации. ПолИБ организации – основа для
разработки целого ряда документов в области ОИБ: стандартов,
руководств, процедур и т.д.
Различают ПолИБ организации в целом (корпоративная ПолИБ) и её
подразделения (верхнего, или программного, уровня / англ. program
level).
ПолИБ сети (англ. network security policy) – документ, в рамках единой
информационной инфраструктуры и СОИБ организации формально
устанавливающий правила доступа к её компьютерной сети, на основе
которых пользователи этой сети накапливают, применяют и
распоряжаются её активами. 5
Частная ПолИБ, или ПолИБ по конкретным системам (англ. system-specific) –
ПолИБ, ориентированная на отдельную область ОИБ или технологию,
используемую в организации или в её подразделении. Это составляющая
корпоративной ПолИБ организации. Это документация, детализирующая
положения ПолИБ применительно к одной или нескольким областям ИБ,
видам и технологиям деятельности организации.

Частные ПолИБ наиболее часто разрабатываются для следующих областей и

технологий:
- физическая защита;
- организация режима секретности;
- ОИБ при процессе транспортировки носителей информации;
- обращение с информацией, которая является государственной тайной;
- публикация информации в открытых источниках;
- оценка рисков ИБ;
- доступ сторонних пользователей в ИС организации;
- управление паролями;
6
- разработка и лицензирование ПО и т.д.
 ПолИБ также разделяются на организационные (англ. organizational
security policy), выполняемые людьми, и технические (англ. technical
security policy), реализуемые с помощью оборудования и программ.
Организационные ПолИБ излагается в документах трёх уровней. Эти
ПолИБ мы рассматривали выше.
Техническая ПолИБ – совокупность законов, правил и практических
методов, регулирующих обработку чувствительной информации и
использование ресурсов ПО и аппаратным обеспечением ОС. После
определения технической ПолИБ возможны атаки с подменой ресурсов
(spoofing).

Итак, ПолИБ организации – документация, определяющая

высокоуровневые цели, содержание и основные направления, и
устанавливающая правила, процедуры, практические приёмы и
руководящие принципы ОИБ активов организации, которыми она
руководствуется в своей деятельности.
7
 Первостепенная цель разработки ПолИБ организации – обеспечение
решения вопросов ОИБ в пределах организации и вовлечение её в
высшего руководства в данный процесс.
В основе любой политики лежат модели доверия, или трастовые модели
(англ. trusted models).

Существует три основные трастовые модели:

- либеральная (доверять всем и всегда; любой пользователь и процесс в
системе имеют доступ к любым ресурсам);
- запретительная (никому никогда не доверять; модель
ограничивает/затрудняет выполнение основных функций почти всех
сотрудников);
- компромиссная (иногда доверять некоторым людям и периодически
пересматривать степень доверия; модель предполагает доступ ко всем
ресурсам по мере необходимости, при этом ведётся контроль).
8
 Некоторые причины разрабатывать ПолИБ организации:
- требование руководства в случае обнаружения проблем ИБ, которые снижают
эффективность бизнеса;
- требования законодательства и отраслевых стандартов в целях отнести какою-то
часть информации организации к категории коммерческой или служебной тайны,
чтобы защитить её юридически;
- требования клиентов и партнёров о подтверждении необходимого уровня ОИБ,
чтобы гарантировать конфиденциальность информации этих клиентов;
- необходимость сертификации по стандартам для подтверждения
определённого уровня ОИБ для защиты информации и бизнес-процессов;
- обеспечение конкурентоспособности за счёт увеличения результативности;
- уменьшение стоимости страхования (страхование – метод защиты информации
в рамках экономического обеспечения системы защиты информации с
материальной компенсацией в случае реализации угроз ИБ);
- создание корпоративной культуры ИБ и вовлечение сотрудников в процесс ОИБ,
поддержание высокого приоритета ИБ;
- демонстрации заинтересованности руководства в ОИБ, чтобы увеличить
приоритет безопасности в глазах сотрудников для серьёзного отношения к ПолИБ
 Перечень требований к ПолИБ:
1. ПолИБ должна быть утверждена высшим руководством и издана;
2. ПолИБ должна быть реализуема, а её реализация – контролируема;
3. ПолИБ должна быть краткой (не более 10 страниц), простой для понимания без
двусмысленности положений;
4. ПолИБ должна обеспечивать защиту и не снижать эффективность работы
сотрудников;
5. ПолИБ должна устанавливать ответственность руководства и излагать подход
организации к управлению ИБ;
6. ПолИБ должна регулярно анализироваться (оценка возможностей для улучшений
ПолИБ, подход к управлению ИБ при изменениях в организации, деловых
обстоятельствах, юридических условиях или в технической среде;
7. ПолИБ должна пересматриваться и модифицироваться в случае изменений в
текущем развитии организации;
8. должно быть назначено ответственное за ПолИБ должностное лицо;
9. с ПолИБ должны быть ознакомлены все сотрудники;
10. при распространении ПолИБ за пределы организации не должна разглашаться
конфиденциальная информация.
10
 Принципы, которыми нужно руководствоваться при использовании ПолИБ:
1. законность;
2. определённость сформулированных целей;
3. системность (принятие во внимание всех элементов, условий, факторов,
значимых для поддержания ИБ, а также объектов защиты и направления
нарушений ИБ, уязвимости систем и т.д.;
4. комплексный подход к разработке, при котором учитываются разные вопросы;
5. научная обоснованность и техническая выполнимость защитных мер;
6. многоуровневая оборона (англ. defence in depth) и разнообразие защитных
средств;
7. способность защитных мер к интеграции и согласованность применения
разных защитных мер;
8. эффективность и непрерывность защиты;
9. разумная достаточность, т.е. отсутствие лишних затрат для обеспечения
неуместной, слишком стойкой защиты;
10. своевременность, адекватность и пропорциональность защитных мер;
11
 (продолжение)
11. гибкость управления и применения защитных мер для изменения степени
защищённости в зависимости от ситуации;
12. наличие фильтрации для информационных потоков, чтобы избежать тайных
процессов;
13. усиление самого слабого звена;
14. простота и управляемость защитных средств;
15. невозможность перехода защитных средств в небезопасное состояние;
16. наблюдение и контроль защитных средств;
17. разделение и минимизация полномочий;
18. персональная и групповая ответственность в случае нарушения ИБ;
19. всеобщая поддержка защитных мер, которая предусматривает меры,
направленные на постоянное обучение сотрудников, их лояльность;
20. информированность, то есть возможность ознакомления сотрудниками с
положениями ПолИБ;
21. соблюдение этики и учёт прав и законных интересов сотрудников;
22. совершенствование защиты из-за постоянной переоценки защитных мер;
23. риск-ориентированный подход при разработке ПолИБ. 12
 Свойства эффективной ПолИБ:
1. определяет необходимый и достаточный набор требований к ОИБ, позволяющий
максимально уменьшить риски;
2. основана на анализе рисков ИБ;
3. оказывает наименьшее влияние на производительность труда;
4. учитывает особенности бизнес-процессов организации;
5. поддерживается руководством;
6. воспринимается и выполняется сотрудниками.
Рассмотрим содержание ПолИБ.
ПолИБ определяет, что должно быть защищено и какова ответственность в случае
несоблюдения её положений. ПолИБ содержит требования по ОИБ организации.
Защитные меры определяют, как защитить активы организации. Это перечень
рекомендаций и действий, предпринимаемых при каких-то обстоятельствах. Меры
выбираются так, чтобы устранить проблему “одной точки провала”.

13
 Корпоративная ПолИБ – это каркас, объединяющий все остальные
документы, регламентирующие обеспечение и управление ИБ.
Положения корпоративной ПолИБ:
1. определение ИБ в терминах деятельности организации, области
действия политики, целей, задач и принципов ОИБ организации;
2. изложение намерения ОИБ, направленного на достижение целей и
реализацию принципов ОИБ;
3. общие сведения об активах, подлежащих защите, их классификацию;
4. модели угроз и нарушителей ИБ, которым нужно противодействовать;
5. высокоуровневое изложение правил и требований по ОИБ;
6. санкции и последствий нарушений корпоративной ПолИБ;
7. определение общих ролей и обязанностей, связанных с ОИБ;
8. перечень частных ПолИБ, указание подразделений организации,
ответственных за их реализацию;
9. положения по контролю реализации корпоративной ПолИБ;
10. ответственность за реализацию и поддержку документа;
11. условия модификации документа. 14
 Типовые цели разработки корпоративной ПолИБ:

- обеспечение устойчивой работы организации за счёт устранения угроз

ИБ её активам, защита законных интересов владельца информации от
противоправных посягательств
- обеспечение такого уровня ИБ в конкретных областях действия,
который соответствует нормативным документам организации и
рассчитанного на основе риск-ориентированного подхода
- выработка планов восстановления после критических ситуаций
- достижение экономической целесообразности в выборе защитных
средств, т.е. разумные затраты на защитные средства
- реализация подотчётности анализа регистрационной информации и
всех действий пользователей с информационными ресурсами

15
 Внеплановый пересмотр политики ИБ проводится в случаях:
- существенных изменений в национальной законодательной базе в
области ИБ;
- внесения существенных изменений в интранет (внутренняя частная сеть
организации);
- возникновения инцидентов ИБ.

При внесении изменений в положения ПолИБ организации учитываются:

- результаты анализа функционирования СУИБ со стороны руководства;
- результаты аудита ИБ;
- рекомендации независимых экспертов.

Соблюдение ПолИБ выражается в соблюдении двух видов соответствий:

1. общее соответствие, обеспечивающее выполнение требований по
разработке ПолИБ и определению ответственности, возложенной на
организационные структуры поддержания ИБ;
2. использование только установленных дисциплинарных мер. 16
Теперь рассмотрим частную ПолИБ. Её содержание по перечню разделов
не отличается от таковых для корпоративной ПолИБ. Положения частной
ПолИБ не должны вступать в противоречия с корпоративной, они
формируются на основе принципов, требований и задач, определённых
в корпоративной ПолИБ. Кроме того, учитываются:
- детализация, уточнения и дополнительная классификация активов и
угроз ИБ;
- определение владельцев защищаемых активов;
- оценка рисков ИБ и возможные последствия реализации угроз ИБ.

17
 Частные ПолИБ определяют:
- цели и задачи ОИБ, на обеспечение которых направлена частная
ПолИБ;
- область действия, объекты защиты, угрозы и риски ИБ;
- сведения о виде деятельности, на ОИБ которой направлено действие
положений частной ПолИБ;
- субъекты, на которые распространяется действие политики;
- содержательную часть, т.е. требования и правила;
- обязанности по ОИБ в рамках области действия частной ПолИБ;
- состав ссылочных документов, т.е. тех, ознакомление с которыми
необходимого для понимания текста политики;
- положения по контролю реализации политики;
- ответственность за реализацию и поддержку политики;
- условия пересмотра политики.

18
 Рассмотрим ПолИБ по конкретному вопросу (проблеме, области).
Она распространяется на всю организацию.
Чтобы её сформулировать, нужно сначала описать проблему с учётом
принятой терминологии. Полезно указать цели или обоснование
политики. Затем нужно чётко изложить позицию организации по
данному вопросу. Далее уточняется, где, когда, как, к кому и какая
конкретно политика применяется, а также применение политики к
сотрудникам. Нужно распределить роли и ответственность между этими
сотрудниками. Можно описать неприемлемые нарушения и их
последствия. В конце должен быть раздел, посвящённый перечислению
контактных лиц.
В поддержку политики может быть написано руководство и описаны
процедуры.

19
 Жизненный цикл любой ПолИБ начинается с определения состава группы
разработки и функций каждого входящего в неё сотрудника. Далее определяется
способ выработки ПолИБ. Нельзя учитывать факторы, которые часто меняются, и
сводить ПолИБ к детальному плану реализации основных мер по защите активов. На
этом этапе нужно уточнить, что пользователи и клиенты ожидают от ОИБ. Только
после этого определяется содержание ПолИБ и начинается её написание.
Рассмотрим упрощённую схему разработки и реализации ПолИБ:

20
Итак, в жизненном цикле ПолИБ выделяются 4 стадии: разработка,
внедрение, применение и аннулирование.
 Теперь подробно разберём эти стадии.

Разработка. Сначала, как правило, разрабатывается корпоративная, а затем

частные ПолИБ. Для экономии времени и достижения высокой эффективности
политики можно воспользоваться уже существующими наработками.
Создание. Этот шаг включает в себя планирование, проведение исследований,
установление границы и области действия, распределение ролей и
ответственности, назначение людей, работающих над разработкой,
оценивается реальность реализации и формулирование самой ПолИБ.
Ревизия. На этом шаге оценивается ПолИБ независимой комиссией, даются
рекомендации по её изменению, после чего политика будет утверждена.
Должны учитываться технические и юридические аспекты ОИБ. Кроме того,
руководство тоже должно оценить ПолИБ.
Утверждение. Это простое одобрение руководством окончательной редакции
ПолИБ. Должны быть даны обоснованные разъяснения лицу, который должен
утвердить ПолИБ, рекомендации по изменению политики. Руководство
должно приложить усилия для расширения поддержки ПолИБ. Обязательно
должна быть поставлена подпись. 22
 Внедрение. На этом шаге организация сталкивается с наибольшими
трудностями. Могут возникать технические проблемы, сотрудники могут
быть недовольны некоторыми положениями политики. Поэтому можно
организовать группу по внедрению, которая будет работать по
установленному плану.
Коммуникации. На этом шаге нужно распространить ПолИБ внутри
организации и среди партнёров и клиентов. Нужно обязательно определить
степень и метод начального распространения политики, решить вопросы её
доставки в другие регионы и языковые проблемы, установить систему
надзора за распространением.
Соблюдение. Нужно провести работу с сотрудниками, разъяснить, как
исполнять ПолИБ, обеспечить её понимание сотрудниками, осуществлять
мониторинг, контроль над осуществлением политики, измерить влияние
политики на работу организации.
Исключения. Основная деятельность – разрешение ситуаций, когда
исполнение ПолИБ невозможно. Исключения из политики рассматриваются
и согласуются. Часто повторяющиеся исключения фиксируются. 23
 Применение. На этой стадии ПолИБ поддерживается в актуальном состоянии,
проверяется её соответствие всем установленным требованиям.
Информирование. На этом шаге нужно ознакомить сотрудников и
заинтересованных лиц с содержанием ПолИБ. Эта деятельность включает в себя
определение потребностей в информировании сотрудников, установление
эффективных методов информирования, разработка различных
информационных материалов, измерение уровня информированности
сотрудников.
Мониторинг. Нужно постоянно контролировать соблюдение положений и
требований ПолИБ и оценивать её эффективность. Основной метод контроля –
плановое проведение внешнего или внутреннего аудита ИБ.
Правоприменение. Этот раздел включает в себя ответную реакцию руководства
на действие или бездействие, в результате которых были обнаружены
нарушения ПолИБ. Определяются дисциплинарные меры, применяемые к
нарушителям.
Сопровождение. Нужно обеспечить широкое применение и поддержание
целостности ПолИБ. Нужно найти мотивы и события, побуждающие к
изменению политики, дать рекомендации и документировать изменения.
Аннулирование. Первая причина изъятия ПолИБ: она не в полной мере
отвечает всем потребностям организации, охвачены не все области,
которые должны быть регламентированы требованиями в политике.
Вторая причина: организация больше не использует технологию для
которой разрабатывалась ПолИБ, либо технологии существенно
изменились.

25
Спасибо за внимание!

26