ПОЛИТИКА

БЕЗОПАСНОСТИ

Общие положения.
Виды и типы политик безопасности.
Обязанности и ответственность должностных лиц.
Разработка политики безопасности, последовательность
действий.

1
 Политика безопасности
Политика безопасности организации: Одно или несколько правил, процедур,
практических приемов или руководящих принципов в области безопасности,
которыми руководствуется организация в своей деятельности.

Политика безопасности:
Принятая организованная совокупность мероприятий, регламентирующих
правовые аспекты обработки защищаемой информации, разрабатываемая с
учетом действующего законодательства, руководящих и нормативных материалов,
положений, инструкций, правил и т.п. в области обращения, хранения и
распределения защищаемой информации.
Политика безопасности (security policy) - это формальное описание правил,
которые должны соблюдать пользователи данной организации, которым
предоставлен доступ к информационным ценностям организации и ее
информационным технологиям.

В широком смысле, ПБ - система документированных управленческих решений

по обеспечению ИБ организации.
В узком смысле ПБ - локальный нормативный документ, определяющий
требования безопасности, систему мер, либо порядок действий, а также
ответственность сотрудников организации и механизмы контроля для
определенной области обеспечения ИБ. 2
 Типы политик безопасности

1) Глобальная политика безопасности

предприятия
2) Локальные политики безопасности
• ПБ по отношению к сети Internet
• ПБ локальной сети
• ПБ электронной почты
• ПБ допуска в помещения
• ПБ физической защиты и т.д.
3
Положение об информационной политике для всех подразделений организации.

Должно содержать, как минимум, следующие принципы:

• определение информационной безопасности, ее целей и сферы применения,
а также ее значимости как механизма, обеспечивающего совместное
использование информации;

• заверение руководства о его намерении поддерживать цели и задачи

информационной безопасности;

• разъяснение специфических направлений политики безопасности, принципов,

стандартов и соответствия требованиям, включая:

a. соответствие нормативно-правовым и контрактным требованиям;

b. требования по обучению в области обеспечения безопасности;
c. предотвращение воздействия вирусов и мероприятия по их обнаружению;
d. политику планирования бесперебойной работы.

• определение общей и особой ответственности для всех аспектов

информационной безопасности;

• разъяснение процедуры сообщения о подозрительных инцидентах,

затрагивающих проблемы безопасности. 4
Выработка официальной политики предприятия в области
информационной безопасности

1. Краткий обзор
1.1. Организационные вопросы
1.2. Кто делает политику?
1.3. Кого затрагивает политика?
1.4. Распределение ответственности
2.2. Оценка рисков
2.1. Общие положения
2.2. Идентификация активов
2.3. Идентификация угроз
3. Политические вопросы
3.1. Кто имеет право использовать ресурсы?
3.2. Как правильно использовать ресурсы?
3.3. Кто наделен правом давать привилегии и разрешать использование?
3.4. Кто может иметь административные привилегии?
3.5. Каковы права и обязанности пользователей?

5
 3.5. Каковы права и обязанности пользователей?

Каковы общие рамки использования ресурсов? Существуют ли ограничения на

ресурсы и каковы они?

Что является злоупотреблением с точки зрения производительности системы?

Разрешается ли пользователям совместное использование учетные записи?

Как "секретные" пользователи должны охранять свои пароли?

Как часто пользователи должны менять пароли?

Как обеспечивается резервное копирование — централизованно или

индивидуально?

Как реагировать на случаи просмотра конфиденциальной информации?

Как соблюдается конфиденциальность почты?

Какова политика в отношении неправильно адресованной почты или отправлений

по спискам рассылки или в адрес дискуссионных групп?
6
Какова политика по вопросам электронных коммуникаций (подделка почты и т.п.)?
 Политика защиты права сотрудников на тайну.

Критерии оценки

Согласуется ли политика с существующим законодательством и с обязанностями

по отношению к третьим сторонам?

Не ущемляются ли без нужды интересы работников, работодателей или третьих

сторон?

Реалистична ли политика и вероятно ли ее проведение в жизнь?

Затрагивает ли политика все виды передачи и хранения информации,

используемые в организации?

Объявлена ли политика заранее и получила ли она одобрение всех

заинтересованных сторон?

7
 Пример Политики Безопасности ЛВС
1.1 Цель
Информация, используемая в ЛВС Агентства XYZ, является
критической для выполнения организацией своих задач. Размер и
сложность ЛВС в пределах XYZ увеличилась и теперь она
обрабатывает критическую информацию. Из-за этого должны быть
реализованы определенные меры и процедуры безопасности для
защиты информации, обрабатываемой в ЛВС XYZ. ЛВС XYZ
обеспечивает разделение информации и программ между большим
числом пользователей. Эта среда увеличивает риск безопасности и
требует более сильных механизмов защиты, чем те, что были бы
необходимы при работе на отдельно стоящих ПК. Эти усиленные
требования к защите в вычислительной среде XYZ послужили
причиной появления этой политики, которая касается
использования ЛВС в XYZ.

Эта политика имеет две цели.

Первая - подчеркнуть для всех служащих XYZ важность
безопасности в среде ЛВС XYZ и явно указать их роли при
поддержании этой безопасности.
Вторая - установить определенные обязанности по обеспечению
безопасности данных и информации, и самой ЛВС XYZ. 8
1.2.3.6. Каковы права и обязанности администраторов безопасности по
отношению к другим пользователям?
Может ли администратор отслеживать или читать пользовательские файлы при
каких-либо обстоятельствах?
Какие обязательства администратор при этом берет на себя?
Имеют ли право администраторы исследовать сетевой трафик?

1.2.3.7. Как работать с конфиденциальной информацией?

1.2.4. Что делать, когда политику безопасности нарушают?
1.2.4.1. Выработка ответа на нарушение политики
1.2.4.2. Что делать, когда местные пользователи нарушают политику
безопасности сторонней организации?
1.2.4.3. Спецификация контактов с внешними организациями и определение
ответственных
1.2.4.4. Каковы обязанности по отношению к соседям и другим
пользователям Интернет?
1.2.4.5. Процедурные вопросы реагирования на нарушения
1.2.5. Пресекать или следить? ("защититься и продолжить" или "выследить и осудить" )
1.2.6. Толкование политики безопасности
1.2.7. Гласность политики безопасности

9
 Пример Политики Безопасности ЛВС
1.2. Степень детализации

Все автоматизированные информационные ценности и службы,

которые используются локальной вычислительной сетью (ЛВС) XYZ,
охватываются этой политикой. Она одинаково применима к серверам
ЛВС, периферийному оборудованию, автоматизированным рабочим
местам и персональным компьютерам (ПК) в пределах среды ЛВС
XYZ. Ресурсы ЛВС XYZ включают данные, информацию, программное
обеспечение, аппаратные средства, средства обслуживания и
телекоммуникации. Политика применима ко всем лицам, имеющим
отношение к XYZ ЛВС, включая всех служащих XYZ, поставщиков и
работающих по контракту, которые используют XYZ ЛВС.

10
 Пример Политики Безопасности ЛВС
1.3. Цели
Цели ПБ состоят в том, чтобы гарантировать целостность, доступность и
конфиденциальность данных, которые должны быть достаточно полными, точными,
и своевременными, чтобы удовлетворять потребности XYZ, не жертвуя при этом
основными принципами, описанными в этой политике.
Определяются следующие цели:

• Гарантировать, что в среде ЛВС XYZ обеспечивается соответствующая

безопасность, соответствующая критичности информации и т.д..;
• Гарантировать, что безопасность является рентабельной и основана на
соотношении стоимости и риска, или необходимо удовлетворяет
соответствующим руководящим требованиям;
• Гарантировать, что обеспечена соответствующая поддержка защиты данных в
каждой функциональной области;
• Гарантировать индивидуальную подотчетность для данных, информации, и
других компьютерных ресурсов, к которым осуществляется доступ;
• Гарантировать проверяемость среды ЛВС XYZ;
• Гарантировать, что служащие будут обеспечены достаточно полными
руководствами по распределению обязанностей относительно поддержания
безопасности при работе в автоматизированной информационной системе;
• Гарантировать, что для всех критических функций XYZ ЛВС имеются
соответствующие планы обеспечения непрерывной работы, или планы
восстановления при стихийных бедствиях;
• Гарантировать что все соответствующие законы, указы и др. обязательные
регламентирующие документы учтены и их твердо придерживаются. 11
 Пример Политики Безопасности ЛВС
1.4. Ответственность
Следующие группы сотрудников несут ответственность за внедрение и
достижение целей безопасности, сформулированных в этой политике. Детальные
обязанности представлены в Обязанностях по Обеспечению Защиты ЛВС XYZ.
1. Функциональное руководство (ФР) - те служащие, кто несет ответственность
согласно своим функциональным обязанностям (не в области компьютерной
безопасности) внутри XYZ. Функциональное Руководство отвечает за
информирование сотрудников относительно этой политики, гарантию того, что
каждый сотрудник имеет ее копию, и взаимодействие со всеми служащими по
проблемам безопасности.
2. Администраторы ЛВС (АД) - служащие, кто участвуют в ежедневном управлении и
поддержании работоспособности ЛВС XYZ. Они отвечают за обеспечение
непрерывного функционирования ЛВС. Администраторы ЛВС отвечают за
осуществление соответствующих мер защиты в ЛВС в соответствии с политикой
безопасности ЛВС XYZ .
3. Местные Администраторы (МА) - служащие, которые являются ответственными за
предоставление конечным пользователям доступа к необходимым ресурсам ЛВС,
которые разамещены на серверах, входящих в их зону ответственности. Местные
администраторы отвечают за обеспечение защиты своих серверов - в
соответствии с политикой безопасности ЛВС XYZ.
4. Конечные пользователи (П) - являются любыми служащими, которые имеют доступ
к ЛВС XYZ. Они отвечают за использование ЛВС в соответствии с политикой
безопасности ЛВС. Все пользователи данных отвечают за соблюдение
специфических политик безопасности, установленных теми лицами, кто несет
основную ответственностью за защиту тех или иных данных, и за доклад 12
руководству о любом подозрении на нарушение защиты.
 Пример Политики Безопасности ЛВС

2. ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС

ОП1. Каждый персональный компьютер должен иметь “владельца” или “
системного администратора “, который является ответственным за
работоспособность и безопасность компьютера, и за соблюдение всех
политик и процедур, связанных с использованием данного компьютера.
Основной пользователь компьютера может выполнять эту роль. Эти
пользователи должны быть обучены и обеспечены соответствующими
руководствами так, чтобы они могли корректно соблюдать все политики
и процедуры.

ОП2. Чтобы предотвратить неавторизованный доступ к данным ЛВС,

программному обеспечению, и другим ресурсам, находящимся на
сервере ЛВС, все механизмы защиты сервера ЛВС должны находиться
под монопольным управлением местного администратора и местного
персонала Администраторов ЛВС.

ОП3. Чтобы предотвратить распространение злонамеренного программного

обеспечения и помочь выполнению лицензионных соглашений о
программах, пользователи должны гарантировать, что их программное
обеспечение должным образом лицензировано и является безопасным.

13
ОП4. За все изменения(замены) программного обеспечения и создание
резервных копий данных на серверах отвечают Администраторы ЛВС.
 Пример Политики Безопасности ЛВС
2. ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС

ОП5. Каждому пользователю должен быть назначен уникальный

ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ и начальный пароль (или другая
информация для идентификации и аутентификации), только после того,
как закончено оформление надлежащей документации. Пользователи не
должны совместно использовать назначенные им ИДЕНТИФИКАТОРЫ
ПОЛЬЗОВАТЕЛЯ.
ОП6. Пользователи должны аутентифицироваться в ЛВС перед обращением
к ресурсам ЛВС.
ОП7. ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ должен удаляться после
продолжительного периода неиспользования.
ОП8. Использование аппаратных средств ЛВС типа
мониторов/регистраторов трафика и маршрутизаторов должно быть
авторизовано и проводиться под контролем Администраторов ЛВС.

14
 Пример Политики Безопасности ЛВС

2. ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС

ОП9. Каждая организация должна обеспечить обязательное периодическое
обучение в области компьютерной безопасности и правил работы на
компьютере, и принимать зачеты по правильности работы на
компьютере всех служащих, кто участвует в управлении,
использовании, или функционировании каждой компьютерной
системы, которая находится в зоне ответственности этой
организации”.

• Служащие, ответственные за управление, функционирование и

использование ЛВС XYZ должны пройти курс обучения в области
компьютерной безопасности и правил работы на компьютере.
• Обучение компьютерной безопасности должно проводиться в
рамках существующих программ обучения, таких как программы
ввода в строй для новых служащих, и курсов обучения, связанных с
использованием информационных технологий.

ОП10. Отчеты о безопасности должны готовиться и рассматриваться

ежедневно.

15
 Пример Политики Безопасности ЛВС

2.1 ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ

2.1.1 Пользователи
П1. Отвечают за понимание и соблюдение соответствующих законов, политик
и процедур руководящих органов, политик и процедур XYZ и других
применимых политик безопасности и связанных с ними последствий для
ЛВС XYZ.

П2. Отвечают за использование доступных механизмов безопасности для

защиты конфиденциальности и целостности их собственной
информации, когда это требуется.
П2.1. Следуют местным процедурами защиты критических данных, а
также процедурам безопасности самой ЛВС XYZ. Используют
механизмы защиты файлов для поддержания соответствующего
управления доступом к файлам.

П2.2. Выбирает и использует хорошие пароли. Использует FIPS 112,

Использование Паролей как руководство при выборе хороших
паролей. Не записывает паролей, и не раскрывает их другим. Не
использует совместно идентификаторы пользователей.

16
 Пример Политики Безопасности ЛВС

2.1 ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ

2.1.1 Пользователи

П3. Отвечает за помощь другим пользователям, кто будет не в состоянии

должным образом использовать доступные механизмы защиты.
Помогает защитить собственность других лиц. Уведомляет их
относительно незащищенности их ресурсов (например, файлов,
идентификаторов).

П4. Отвечает за уведомление местного администратора или члена

руководства о нарушении защиты или обнаруженном отказе.

П5. Отвечает за не использование слабых мест АС.

П5.1. Не осуществляет намеренного изменения, уничтожения, чтения, или
передачи информации неавторизованным способом: не мешает
специально получить другим пользователям авторизованный
доступ к ресурсам ЛВС и информации в ней.
П5.2. Предоставляет правильную информацию для идентификации и
аутентификации, когда это требуется, и не пытается угадать
подобную информацию для других пользователей.
17
 Пример Политики Безопасности ЛВС

2.1 ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ

2.1.1 Пользователи
П6. Отвечает за гарантию выполнения резервного копирования данных и
программного обеспечения находящегося на жестком диске их
собственного автоматизированного рабочего места.
П7. Отвечает за понимание принципов работы злонамеренного
программного обеспечения, методов , с помощью которых оно вносится
и распространяется, и уязвимых мест, которые используются
злонамеренным программным обеспечением и неавторизованными
пользователями.
П8. Отвечает за знание и использование соответствующих политик и
процедур для предотвращения, обнаружения, и удаления
злонамеренного программного обеспечения.
П9. Отвечает за знание того, на что нужно обращать внимание при работе в
определенных системах и конкретных программах, чтобы обнаружить
признаки их необычной работы, и что нужно сделать или с кем связаться
для получения дополнительной информации.
П10. Отвечает за использование программно-аппаратных средств защиты,
которые доступны для защиты системы от злонамеренного
программного обеспечения.
П11. Отвечает за знание и использование процедур по обеспечению
непрерывной работы для сдерживания и восстановления 18 при
потенциальных инцидентах.
 Пример Политики Безопасности ЛВС

2.1 ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ

2.1.2 Функциональное руководство
Функциональное руководство (и управляющие более высокого уровня) отвечают за
разработку и выполнение эффективных политик безопасности, которые отражают специфические
цели ЛВС XYZ. Они полностью отвечают за обеспечение того, что защита информации и линий
связи является и остается важной и критической целью в повседневной деятельности. В
частности функциональное руководство отвечает за следующее:

ФМ1. Отвечает за проведение эффективного управления риском для того, чтобы обеспечить
основу для формулирования разумной политики. Управление риском требует
идентификации ценностей, которые нужно защитить, определения уязвимых мест, анализа
риска их использования и реализации рентабельных средств защиты.
ФМ2. Отвечает за гарантию того, чтобы каждый пользователь получил, как минимум, копию
политики безопасности и местного руководства (если таковые есть в наличии ) до внесения
его в списки пользователей АС.
ФМ3. Отвечает за осуществление программы обучения основам безопасности для пользователей,
чтобы можно было гарантировать знание ими местной политики безопасности и правил
работы на компьютере.
ФМ4. Отвечает за гарантию того, что весь персонал в пределах операционной единицы
организации знает эту политику и отвечает за включение ее в инструктажи по компьютерной
безопасности и программы обучения .
ФМ5. Отвечает за информирование местного администратора и администраторов ЛВС об
изменениях в статусе любого служащего, который использует ЛВС XYZ. Это изменение
статуса может включать переход из организации в организацию в одном ведомстве, переход
из отдела в отдел, или окончание службы в XYZ.
ФМ6. Отвечает за гарантию того, что пользователи понимают природу злонамеренного
программного обеспечения, понимают, как оно вообще распространяется, и 19какие
программно-аппаратные средства защиты должны использоваться против него.
 Пример Политики Безопасности ЛВС

2.1 ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ

2.1.3 Администраторы Локальной Вычислительной Сети (ЛВС)
Предполагается, что администраторы ЛВС (или назначенный для этого персонал)
претворяет (в части их касающейся) местные политики безопасности, так как это
связано с применением программно-аппаратных средств защиты, архивированием
критических программ и данных, управлением доступом и защитой оборудования ЛВС.
В частности, администраторы ЛВС отвечают за следующее:

ОУ1. Отвечают за корректное применение доступных механизмов защиты для

осуществления местных политик безопасности.
ОУ2. Отвечает за уведомление руководства о работоспособности существующих
политик и любых технических соображениях, которые могли бы улучшить их
эффективность.
ОУ3. Отвечает за защищенность среды ЛВС внутри организации и интерфейсов с
глобальными сетями.
ОУ4. Отвечает за оперативное и эффективное улаживание происшествий с
компьютерной безопасностью.
ОУ4.1. Уведомляет местных администраторов о проникновении злоумышленника в
ЛВС , помогает другим местным администраторам улаживать происшествия с
безопасностью.
ОУ4.2. Сотрудничает с местными администраторами при выявлении нарушителя и
помогает им это сделать.
ОУ5. Отвечает за использование надежных и доступных средств аудирования для
20
облегчения обнаружения нарушений безопасности.
 Пример Политики Безопасности ЛВС

2.1 ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ

2.1.3 Администраторы Локальной Вычислительной Сети (ЛВС)
ОУ6. Отвечает за проведение своевременных проверок системных журналов серверов ЛВС.
ОУ7. Отвечает за отслеживание информации о политиках безопасности и приемах обеспечения
безопасности в других организациях и, когда это необходимо, информирование местных
пользователей и уведомление руководства об изменениях или новых разработках.
ОУ8. Отвечает за крайнюю осторожность и корректность при применении им своих
экстраординарных полномочий и привилегий. Безопасность пользователей должна всегда
стоять на первом месте.
ОУ9. Отвечает за разработку соответствующих процедур и издание инструкций по
предотвращению, обнаружению, и удалению злонамеренного программного обеспечения,
соответствующих руководящим принципам, содержащимся в этом документе.
ОУ10. Отвечает за своевременное создание резервных копий всех данных и программного
обеспечения на серверах ЛВС.
ОУ11. Отвечает за выявление и рекомендацию пакетов программ для обнаружения и удаления
злонамеренного программного обеспечения.
ОУ12. Отвечает за разработку процедур, позволяющих пользователям сообщать о компьютерных
вирусах и других инцидентах и отвечает за уведомление потенциально затрагиваемых лиц
о возможной угрозе им.
ОУ13. Отвечает за скорое уведомление соответствующей группы улаживания происшествий с
компьютерной безопасностью обо всех инцидентах, включая выявление злонамеренного
программного обеспечения.
ОУ14. Отвечает за оказание помощи при определении источника злонамеренного программного
обеспечения и зоны его распространения.
ОУ15. Отвечает за обеспечение помощи в удалении злонамеренного программного обеспечения.
ОУ16. Отвечает за проведение периодического анализа для того, чтобы гарантировать, что
соблюдаются надлежащие процедуры безопасности, включая те, которые предназначены
21
для защиты от злонамеренного программного обеспечения.
 Пример Политики Безопасности ЛВС

2.1 ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ

2.1.4 Местные Администраторы
Ожидается, что местные администраторы (или назначенный персонал) будут использовать
доступные службы и механизмы защиты ЛВС на сервере, за который они отвечают, чтобы
поддерживать и претворять в жизнь применимые политики и процедуры безопасности. В
частности, местные администраторы отвечают за следующее:

МA1. Отвечают за управление привилегиями доступа всех пользователей к данным, программам и

функциям.
МA2. Отвечают за контроль за всеми связанными с защитой событиями и за расследование
любых реальных или подозреваемых нарушений там, где это уместно. В соответствующих
случаях отвечают за уведомление и координацию действий с Администраторами ЛВС по
контролю или расследованию событий, связанных с нарушением безопасности.
МA3. Отвечает за поддержание и защиту программного обеспечения и соответствующих файлов
на сервере ЛВС, используя доступные механизмы и процедуры защиты.
МA4. Отвечает за сканирование сервера ЛВС антивирусным программным обеспечением через
регулярные интервалы времени для гарантии того, что никакому вирусу не удалось
разместиться на сервере ЛВС.
МA5. Отвечает за назначение уникального ИП и начального пароля (или другой
идентификационной и аутентификационной информации) каждому пользователю только
после того, как будет оформлена надлежащая документация.
МA6. Отвечает за быстрое уведомление соответствующего персонала группы улаживания
происшествий с компьютерной безопасностью обо всех инцидентах, включая
злонамеренное программное обеспечение;
МA6.1. Уведомляет Администраторов ЛВС о проникновении в ЛВС, помогает другим местным
администраторам улаживать нарушение безопасности.
МА6.2. Сотрудничает с другими местными администраторами и Администраторами ЛВС в поиске
нарушителя и помогает им это сделать. 22
МA7. Отвечает за обеспечение помощи при выявлении источника злонамеренного программного
обеспечения и зоны его распространения.
 Модель, используемая при разработке ПБ.
Основана на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799).

23