V tejto téme sa pokúsim na základe osobných skúseností a materiálov zo siete zostaviť manuál pre vypracovanie regulačnej dokumentácie v oblasti informačnej bezpečnosti pre komerčnú štruktúru.
Tu môžete nájsť odpovede na otázky:
- Prečo je potrebná politika informačnej bezpečnosti?
- ako to skladať;
- ako sa to používa.
Potreba politiky informačnej bezpečnosti
Táto časť popisuje potrebu implementácie politiky informačnej bezpečnosti a jej sprievodných dokumentov nie v krásnom jazyku učebníc a noriem, ale na príkladoch z vlastnej skúsenosti.Pochopenie cieľov a zámerov oddelenia informačnej bezpečnosti
Politika je v prvom rade nevyhnutná na to, aby sa do podnikania dostali ciele a zámery informačnej bezpečnosti spoločnosti. Podnik by mal pochopiť, že bezpečnostný dôstojník nie je len nástrojom na vyšetrovanie únikov dát, ale aj pomocníkom pri minimalizácii firemných rizík, a teda aj pri zvyšovaní ziskovosti firmy. Politické požiadavky sú základom implementácie záruk
Politika informačnej bezpečnosti je nevyhnutná na zdôvodnenie zavádzania ochranných opatrení v podniku. Politiku musí schváliť najvyšší správny orgán spoločnosti (generálny riaditeľ, predstavenstvo atď.)
Akékoľvek zabezpečenie je kompromisom medzi znížením rizika a používateľskou skúsenosťou. Keď bezpečnostná osoba povie, že proces by sa v žiadnom prípade nemal udiať kvôli objaveniu sa nejakých rizík, vždy dostane rozumnú otázku: „Ako by sa to malo stať? Bezpečnostný pracovník musí navrhnúť procesný model, v ktorom sa tieto riziká znížia do určitej miery, ktorá je pre podnik uspokojivá.
Zároveň akékoľvek uplatnenie akýchkoľvek ochranných opatrení týkajúcich sa interakcie užívateľa s informačným systémom spoločnosti vždy vyvoláva negatívnu reakciu užívateľa. Nechcú sa preškoľovať, čítať návody pre nich určené a pod. Používatelia veľmi často kladú rozumné otázky:
- prečo by som mal pracovať podľa vašej vymyslenej schémy a nie jednoduchým spôsobom, ktorý som vždy používal
- ktorý na toto všetko prišiel
Ak má spoločnosť politiku informačnej bezpečnosti, môžete dať stručnú a výstižnú odpoveď:
toto opatrenie bolo zavedené v súlade s požiadavkami politiky informačnej bezpečnosti spoločnosti, ktorú schválil najvyšší správny orgán spoločnosti
Spravidla potom, čo energia väčšiny používateľov príde nazmar. Zvyšok môže byť ponúknutý na spísanie správy tomuto najvyššiemu správnemu orgánu spoločnosti. Tu je zvyšok eliminovaný. Pretože aj keď tam nóta príde, vždy vieme vedeniu dokázať potrebu prijatých opatrení. Nejeme chlieb nadarmo, však? Pri tvorbe politiky je potrebné mať na pamäti dve veci.
- Cieľovou skupinou politiky informačnej bezpečnosti sú koncoví používatelia a vrcholový manažment spoločnosti, ktorí nerozumejú zložitým technickým výrazom, ale mali by byť oboznámení s ustanoveniami politiky.
- Netreba sa snažiť podstrčiť nepredstaviteľné, aby ste do tohto dokumentu zahrnuli všetko, čo je možné! Mali by existovať iba ciele IB, metódy na ich dosiahnutie a zodpovednosť! Žiadne technické detaily, ak si vyžadujú špecifické znalosti. Toto všetko sú materiály pre pokyny a predpisy.
Konečný dokument musí spĺňať tieto požiadavky:
- stručnosť - veľký objem dokumentu odstraší každého používateľa, nikto si váš dokument nikdy neprečíta (a viackrát použijete frázu: „ide o porušenie zásad bezpečnosti informácií, s ktorými ste boli oboznámení“)
- dostupnosť pre jednoduchého laika – koncový používateľ musí rozumieť tomu, ČO je v politike napísané (nikdy si neprečíta a nezapamätá slová a frázy „žurnál“, „model narušiteľa“, „incident informačnej bezpečnosti“, „informačná infraštruktúra“, „technogénny“ ", "antropogénny", "rizikový faktor" atď.)
V skutočnosti je všetko veľmi jednoduché: politika informačnej bezpečnosti by mala byť dokumentom prvej úrovne, mala by byť rozšírená a doplnená o ďalšie dokumenty (predpisy a pokyny), ktoré už budú niečo konkrétne popisovať.
Je možné urobiť analógiu so štátom: prvostupňovým dokumentom je ústava a doktríny, koncepcie, zákony a iné normatívne akty existujúce v štáte len dopĺňajú a upravujú vykonávanie jej ustanovení. Vzorová schéma je znázornená na obrázku.
Aby sme si nerozmazali kašu na tanieri, pozrime sa len na príklady politík informačnej bezpečnosti, ktoré možno nájsť na internete.
| Použiteľný počet strán* | Termíny načítané | Celkové skóre | |
|---|---|---|---|
| JSC "Gazprombank" | 11 | Veľmi vysoko | |
| JSC „Fond rozvoja podnikania „Damu“ | 14 | Vysoká | Zložitý dokument na premyslené čítanie, laik neprečíta a ak bude čítať, nepochopí a nezapamätá si |
| JSC NC KazMunayGas | 3 | Nízka | Ľahko zrozumiteľný dokument, ktorý nie je preťažený odbornými výrazmi |
| JSC "Rádiotechnický inštitút pomenovaný po akademikovi A. L. Mints" | 42 | Veľmi vysoko | Ťažký dokument na premyslené čítanie, laik neprečíta - priveľa strán |
* Užitočné nazývam počet strán bez obsahu, titulnej strany a iných strán, ktoré nenesú konkrétne informácie
Zhrnutie
Politika informačnej bezpečnosti by sa mala zmestiť na niekoľko strán, byť ľahko zrozumiteľná pre bežného človeka, mala by vo všeobecnosti popisovať ciele informačnej bezpečnosti, spôsoby ich dosahovania a zodpovednosť zamestnancov.
Implementácia a používanie politiky informačnej bezpečnosti
Po schválení politiky IS je potrebné:- oboznámiť všetkých existujúcich zamestnancov s politikou;
- oboznámiť všetkých nových zamestnancov s politikou (ako to urobiť je téma na samostatnú diskusiu, máme úvodný kurz pre nováčikov, kde hovorím s vysvetleniami);
- analyzovať existujúce obchodné procesy s cieľom identifikovať a minimalizovať riziká;
- podieľať sa na vytváraní nových obchodných procesov, aby neutekali po vlaku;
- vypracovať predpisy, postupy, pokyny a iné dokumenty, ktoré politiku dopĺňajú (pokyny na poskytovanie prístupu na internet, pokyny na zabezpečenie prístupu do miestností s obmedzeným prístupom, pokyny na prácu s podnikovými informačnými systémami a pod.);
- aspoň raz za štvrťrok preveriť politiku IS a ostatné dokumenty IS za účelom ich aktualizácie.
V prípade otázok a návrhov vitajte v komentároch a PM.
Otázka %username%
Čo sa týka politiky, úradom sa jednoducho nepáči, čo chcem. Hovoria mi: „Okrem mňa a teba a ešte 10 IT zamestnancov, ktorí sami všetko vedia a rozumejú, sú 2 stovky, ktorí tomu ničomu nerozumejú, polovica z nich sú dôchodcovia.“
Išiel som cestou stredne stručného popisu, napríklad pravidiel antivírusovej ochrany a nižšie píšem, že existuje politika antivírusovej ochrany atď. Nerozumiem však tomu, či používateľ podpíše politiku, ale opäť si potrebuje prečítať veľa ďalších dokumentov, zdá sa, že to znížilo politiku, ale zdá sa, že nie.
Tu by som išiel cestou procesnej analýzy.
Povedzme antivírusovú ochranu. Logicky by to malo byť takto.
Aké riziká pre nás predstavujú vírusy? Porušenie integrity (poškodenie) informácií, porušenie dostupnosti (odstávky serverov alebo PC) informácií. Pri správnej organizácii siete by používateľ nemal mať v systéme práva lokálneho správcu, to znamená, že by nemal mať práva na inštaláciu softvéru (a teda vírusov) do systému. Dôchodcovia tak odpadávajú, lebo tu nepodnikajú.
Kto môže zmierniť riziká spojené s vírusmi? Používatelia s právami správcu domény. Domain admin – citlivá rola, vydávaná zamestnancom IT oddelení a pod. V súlade s tým by mali nainštalovať antivírusy. Ukazuje sa, že sú zodpovedné aj za činnosť antivírusového systému. V súlade s tým musia podpísať pokyn o organizácii antivírusovej ochrany. V skutočnosti musí byť táto zodpovednosť uvedená v pokynoch. Napríklad bezpečnostný úradník riadi, správcovia vykonávajú.
Otázka %username%
Potom je na mieste otázka, čo by zodpovednosť za tvorbu a používanie vírusov nemala obsahovať v pokynoch Antivírusového SI (alebo existuje článok a nemôžete ho spomenúť)? Alebo že sú povinní nahlásiť vírus alebo nezvyčajné správanie počítača Help Desk alebo IT personálu?
Opäť by som sa pozrel zo strany rizikového manažmentu. Zaváňa to takpovediac GOST 18044-2007.
Vo vašom prípade „čudné správanie“ nie je nevyhnutne vírus. Môže to byť systémová brzda alebo gp atď. Nejde teda o incident, ale o udalosť informačnej bezpečnosti. Opäť platí, že podľa GOST môže každá osoba vyhlásiť udalosť, ale je možné pochopiť incident alebo nielen po analýze.
Táto vaša otázka sa teda už nepremieta do politiky informačnej bezpečnosti, ale do správy incidentov. Vo vašej politike by to malo byť uvedené spoločnosť musí mať systém riešenia incidentov.
To znamená, že ako vidíte, administratívne vykonávanie politiky je pridelené hlavne správcom a bezpečnostným strážcom. Používatelia zostávajú zvykom.
Preto musíte vypracovať nejaký „Postup používania CBT v spoločnosti“, kde musíte špecifikovať povinnosti používateľov. Tento dokument by mal korelovať s politikou informačnej bezpečnosti a mal by byť takpovediac vysvetlením pre používateľa.
V tomto dokumente môžete určiť, že používateľ je povinný upozorniť príslušný orgán na abnormálnu činnosť počítača. No, môžete tam pridať všetko ostatné vlastné.
Celkovo musíte používateľa oboznámiť s dvoma dokumentmi:
- politika informačnej bezpečnosti (aby rozumel tomu, čo sa robí a prečo, nerozkýval loď, nenadával pri zavádzaní nových riadiacich systémov atď.)
- tento "Postup pri používaní CBT v spoločnosti" (aby pochopil, čo presne robiť v konkrétnych situáciách)
Preto pri zavádzaní nového systému jednoducho niečo pridáte do „Objednávky“ a upozorníte na to zamestnancov zaslaním objednávky e-mailom (prípadne prostredníctvom EDMS).
Štítky: Pridajte štítky
Politika bezpečnosti informácií (príklad)
Zhrnutie zásad
Informácie musia byť vždy chránené, bez ohľadu na ich formu a spôsob ich šírenia, prenosu a uchovávania.
Úvod
Informácie môžu existovať v mnohých rôznych formách. Môžu byť vytlačené alebo napísané na papieri, uložené elektronicky, prenesené poštou alebo pomocou elektronických zariadení, zobrazené na páskach alebo prenesené ústne v priebehu komunikácie.
Informačná bezpečnosť je ochrana informácií pred rôznymi hrozbami, navrhnutá tak, aby zabezpečila kontinuitu podnikania, minimalizovala obchodné riziko a maximalizovala návratnosť investícií a zabezpečila obchodné príležitosti.
Rozsah
Táto politika posilňuje celkovú bezpečnostnú politiku organizácie.
Táto politika sa vzťahuje na všetkých zamestnancov organizácie.
Ciele informačnej bezpečnosti
1. Pochopenie a zvládnutie strategických a operačných rizík informačnej bezpečnosti tak, aby boli prijateľné pre organizáciu.
2. Ochrana dôvernosti informácií o zákazníkoch, vývoja produktov a marketingových plánov.
3. Zachovanie celistvosti účtovných materiálov.
4. Súlad zdieľaných webových služieb a intranetov s príslušnými štandardmi dostupnosti.
Princípy informačnej bezpečnosti
1. Táto organizácia podporuje akceptovanie rizík a prekonáva riziká, ktoré nemôžu prekonať organizácie s konzervatívnym manažmentom za predpokladu, že riziká sú pochopené, monitorované a v prípade potreby spracované na získanie informácií. Podrobný popis prístupov používaných na hodnotenie a liečbu rizík možno nájsť v politike ISMS.
2. Všetci zamestnanci si musia byť vedomí a zodpovedať sa za informačnú bezpečnosť vo vzťahu k svojim pracovným povinnostiam.
3. Malo by sa vynaložiť úsilie na financovanie kontrol informačnej bezpečnosti a procesov projektového riadenia.
4. Pri celkovom riadení informačných systémov by sa mal brať do úvahy potenciál podvodu a zneužitia informačných systémov.
5. Mali by byť dostupné správy o stave informačnej bezpečnosti.
6. Monitorujte riziká informačnej bezpečnosti a podniknite kroky, keď zmeny prinášajú neočakávané riziká.
7. Kritériá pre klasifikáciu rizika a akceptovateľnosť rizika možno nájsť v politike ISMS.
8. Nemali by byť povolené situácie, ktoré môžu viesť organizáciu k porušovaniu zákonov a zavedených noriem.
Oblasti zodpovednosti
1. Senior Even Leadership Group je zodpovedný za zabezpečenie toho, aby sa informácie v celej organizácii primerane spracovávali.
2. Každý vyšší manažér je zodpovedný za to, že zamestnanci pracujúci pod jeho dohľadom zachovávajú informačnú bezpečnosť v súlade s normami organizácie.
3. Vedúci bezpečnostného oddelenia radí tímu vrcholového manažmentu, poskytuje odbornú pomoc zamestnancom organizácie a zabezpečuje dostupnosť správ o stave informačnej bezpečnosti.
4. Každý v organizácii je zodpovedný za informačnú bezpečnosť v rámci svojich pracovných povinností.
Kľúčové poznatky
1. Incidenty informačnej bezpečnosti by nemali viesť k veľkým neočakávaným nákladom alebo veľkému narušeniu služieb a obchodných operácií.
2. Straty spôsobené podvodom musia byť známe a musia byť v prijateľných medziach.
3. Otázky bezpečnosti informácií by nemali nepriaznivo ovplyvniť akceptovanie produktov a služieb zákazníkom
Súvisiace zásady
Nasledujúce podrobné pravidlá obsahujú princípy a odporúčania pre špecifické aspekty informačnej bezpečnosti:
1. Politika systému riadenia informačnej bezpečnosti (ISMS);
2. Politika kontroly prístupu;
3. Politika čistého stola a čistej obrazovky;
4. Neoprávnená softvérová politika;
5. Zásady týkajúce sa prijímania softvérových súborov z alebo prostredníctvom externých sietí;
6. Politika mobilného kódu;
7. Zálohovacia politika;
8. Zásady týkajúce sa výmeny informácií medzi organizáciami;
9. Zásady týkajúce sa prijateľného používania elektronických komunikačných prostriedkov;
10. Zásady uchovávania záznamov;
11. Zásady používania sieťových služieb;
12. Politiky týkajúce sa mobilných počítačov a komunikácie;
13. Zásady práce na diaľku;
14. Zásady používania kryptografickej kontroly;
15. Zásady súladu;
16. Zásady licencovania softvéru;
17. Zásady odstraňovania softvéru;
18. Zásady ochrany údajov a súkromia.
Všetky tieto zásady posilňujú:
· identifikácia rizika poskytnutím rámca kontrol, ktoré možno použiť na odhalenie nedostatkov v návrhu a implementácii systému;
· ošetrenie rizika pomocou pri určovaní spôsobov liečby špecifických zraniteľností a hrozieb.
Politika bezpečnosti informácií spoločnosti
· 1. Všeobecné ustanovenia
o 1.1. Účel a účel týchto Zásad
o 1.2. Rozsah týchto zásad
o 2.1. Zodpovednosť za informačné aktíva
o 2.2. Kontrola prístupu k informačným systémom
§ 2.2.1. Všeobecné ustanovenia
§ 2.2.2. Prístup tretích strán do systémov Spoločnosti
§ 2.2.3. Vzdialený prístup
§ 2.2.4. Prístup na internet
o 2.3. Ochrana zariadenia
§ 2.3.1. Hardvér
§ 2.3.2. softvér
o 2.5. Hlásenie, odozva a hlásenie incidentov v oblasti bezpečnosti informácií
o 2.6. Priestory s technickými prostriedkami informačnej bezpečnosti
o 2.7. Správa siete
o 2.7.1. Ochrana údajov a bezpečnosť
o 2.8. Vývoj systému a riadenie zmien
Všeobecné ustanovenia
Informácie sú cenným a životne dôležitým zdrojom YOUR_COPANIA (ďalej len Spoločnosť). Táto politika informačnej bezpečnosti zabezpečuje prijatie nevyhnutných opatrení na ochranu majetku pred náhodnou alebo úmyselnou úpravou, zverejnením alebo zničením, ako aj na zachovanie dôvernosti, integrity a dostupnosti informácií, na zabezpečenie procesu automatizovaného spracovania údajov v spoločnosť.
Za dodržiavanie informačnej bezpečnosti je zodpovedný každý zamestnanec Spoločnosti, pričom prvoradou úlohou je zabezpečiť bezpečnosť všetkých aktív Spoločnosti. To znamená, že informácie musia byť chránené nie menej spoľahlivo ako akékoľvek iné hlavné aktívum Spoločnosti. Hlavné ciele spoločnosti nie je možné dosiahnuť bez včasného a úplného poskytovania informácií zamestnancom, ktoré potrebujú na plnenie svojich povinností.
V týchto zásadách sa pojem „zamestnanec“ vzťahuje na všetkých zamestnancov spoločnosti. Ustanovenia tejto politiky sa vzťahujú na osoby pracujúce v Spoločnosti na základe občianskoprávnych zmlúv, vrátane tých, ktorí sú dočasne pridelení, ak je to uvedené v takejto dohode.
V tejto téme sa pokúsim na základe osobných skúseností a materiálov zo siete zostaviť manuál pre vypracovanie regulačnej dokumentácie v oblasti informačnej bezpečnosti pre komerčnú štruktúru.
Tu môžete nájsť odpovede na otázky:
- Prečo je potrebná politika informačnej bezpečnosti?
- ako to skladať;
- ako sa to používa.
Potreba politiky informačnej bezpečnosti
Táto časť popisuje potrebu implementácie politiky informačnej bezpečnosti a jej sprievodných dokumentov nie v krásnom jazyku učebníc a noriem, ale na príkladoch z vlastnej skúsenosti.Pochopenie cieľov a zámerov oddelenia informačnej bezpečnosti
Politika je v prvom rade nevyhnutná na to, aby sa do podnikania dostali ciele a zámery informačnej bezpečnosti spoločnosti. Podnik by mal pochopiť, že bezpečnostný dôstojník nie je len nástrojom na vyšetrovanie únikov dát, ale aj pomocníkom pri minimalizácii firemných rizík, a teda aj pri zvyšovaní ziskovosti firmy. Politické požiadavky sú základom implementácie záruk
Politika informačnej bezpečnosti je nevyhnutná na zdôvodnenie zavádzania ochranných opatrení v podniku. Politiku musí schváliť najvyšší správny orgán spoločnosti (generálny riaditeľ, predstavenstvo atď.)Akékoľvek zabezpečenie je kompromisom medzi znížením rizika a používateľskou skúsenosťou. Keď bezpečnostná osoba povie, že proces by sa v žiadnom prípade nemal udiať kvôli objaveniu sa nejakých rizík, vždy dostane rozumnú otázku: „Ako by sa to malo stať? Bezpečnostný pracovník musí navrhnúť procesný model, v ktorom sa tieto riziká znížia do určitej miery, ktorá je pre podnik uspokojivá.
Zároveň akékoľvek uplatnenie akýchkoľvek ochranných opatrení týkajúcich sa interakcie užívateľa s informačným systémom spoločnosti vždy vyvoláva negatívnu reakciu užívateľa. Nechcú sa preškoľovať, čítať návody pre nich určené a pod. Používatelia veľmi často kladú rozumné otázky:
- prečo by som mal pracovať podľa vašej vymyslenej schémy a nie jednoduchým spôsobom, ktorý som vždy používal
- ktorý na toto všetko prišiel
Ak má spoločnosť politiku informačnej bezpečnosti, môžete dať stručnú a výstižnú odpoveď:
toto opatrenie bolo zavedené v súlade s požiadavkami politiky informačnej bezpečnosti spoločnosti, ktorú schválil najvyšší správny orgán spoločnosti
Spravidla potom, čo energia väčšiny používateľov príde nazmar. Zvyšok môže byť ponúknutý na spísanie správy tomuto najvyššiemu správnemu orgánu spoločnosti. Tu je zvyšok eliminovaný. Pretože aj keď tam nóta príde, vždy vieme vedeniu dokázať potrebu prijatých opatrení. Nejeme chlieb nadarmo, však? Pri tvorbe politiky je potrebné mať na pamäti dve veci.
- Cieľovou skupinou politiky informačnej bezpečnosti sú koncoví používatelia a vrcholový manažment spoločnosti, ktorí nerozumejú zložitým technickým výrazom, ale mali by byť oboznámení s ustanoveniami politiky.
- Netreba sa snažiť podstrčiť nepredstaviteľné, aby ste do tohto dokumentu zahrnuli všetko, čo je možné! Mali by existovať iba ciele IB, metódy na ich dosiahnutie a zodpovednosť! Žiadne technické detaily, ak si vyžadujú špecifické znalosti. Toto všetko sú materiály pre pokyny a predpisy.
Konečný dokument musí spĺňať tieto požiadavky:
- stručnosť - veľký objem dokumentu odstraší každého používateľa, nikto si váš dokument nikdy neprečíta (a viackrát použijete frázu: „ide o porušenie zásad bezpečnosti informácií, s ktorými ste boli oboznámení“)
- dostupnosť pre jednoduchého laika – koncový používateľ musí rozumieť tomu, ČO je v politike napísané (nikdy si neprečíta a nezapamätá slová a frázy „žurnál“, „model narušiteľa“, „incident informačnej bezpečnosti“, „informačná infraštruktúra“, „technogénny“ ", "antropogénny", "rizikový faktor" atď.)
V skutočnosti je všetko veľmi jednoduché: politika informačnej bezpečnosti by mala byť dokumentom prvej úrovne, mala by byť rozšírená a doplnená o ďalšie dokumenty (predpisy a pokyny), ktoré už budú niečo konkrétne popisovať.
Je možné urobiť analógiu so štátom: prvostupňovým dokumentom je ústava a doktríny, koncepcie, zákony a iné normatívne akty existujúce v štáte len dopĺňajú a upravujú vykonávanie jej ustanovení. Vzorová schéma je znázornená na obrázku.
Aby sme si nerozmazali kašu na tanieri, pozrime sa len na príklady politík informačnej bezpečnosti, ktoré možno nájsť na internete.
| Použiteľný počet strán* | Termíny načítané | Celkové skóre | |
|---|---|---|---|
| JSC "Gazprombank" | 11 | Veľmi vysoko | |
| JSC „Fond rozvoja podnikania „Damu“ | 14 | Vysoká | Zložitý dokument na premyslené čítanie, laik neprečíta a ak bude čítať, nepochopí a nezapamätá si |
| JSC NC KazMunayGas | 3 | Nízka | Ľahko zrozumiteľný dokument, ktorý nie je preťažený odbornými výrazmi |
| JSC "Rádiotechnický inštitút pomenovaný po akademikovi A. L. Mints" | 42 | Veľmi vysoko | Ťažký dokument na premyslené čítanie, laik neprečíta - priveľa strán |
* Užitočné nazývam počet strán bez obsahu, titulnej strany a iných strán, ktoré nenesú konkrétne informácie
Zhrnutie
Politika informačnej bezpečnosti by sa mala zmestiť na niekoľko strán, byť ľahko zrozumiteľná pre bežného človeka, mala by vo všeobecnosti popisovať ciele informačnej bezpečnosti, spôsoby ich dosahovania a zodpovednosť zamestnancov.
Implementácia a používanie politiky informačnej bezpečnosti
Po schválení politiky IS je potrebné:- oboznámiť všetkých existujúcich zamestnancov s politikou;
- oboznámiť všetkých nových zamestnancov s politikou (ako to urobiť je téma na samostatnú diskusiu, máme úvodný kurz pre nováčikov, kde hovorím s vysvetleniami);
- analyzovať existujúce obchodné procesy s cieľom identifikovať a minimalizovať riziká;
- podieľať sa na vytváraní nových obchodných procesov, aby neutekali po vlaku;
- vypracovať predpisy, postupy, pokyny a iné dokumenty, ktoré politiku dopĺňajú (pokyny na poskytovanie prístupu na internet, pokyny na zabezpečenie prístupu do miestností s obmedzeným prístupom, pokyny na prácu s podnikovými informačnými systémami a pod.);
- aspoň raz za štvrťrok preveriť politiku IS a ostatné dokumenty IS za účelom ich aktualizácie.
V prípade otázok a návrhov vitajte v komentároch a PM.
Otázka %username%
Čo sa týka politiky, úradom sa jednoducho nepáči, čo chcem. Hovoria mi: „Okrem mňa a teba a ešte 10 IT zamestnancov, ktorí sami všetko vedia a rozumejú, sú 2 stovky, ktorí tomu ničomu nerozumejú, polovica z nich sú dôchodcovia.“
Išiel som cestou stredne stručného popisu, napríklad pravidiel antivírusovej ochrany a nižšie píšem, že existuje politika antivírusovej ochrany atď. Nerozumiem však tomu, či používateľ podpíše politiku, ale opäť si potrebuje prečítať veľa ďalších dokumentov, zdá sa, že to znížilo politiku, ale zdá sa, že nie.
Tu by som išiel cestou procesnej analýzy.
Povedzme antivírusovú ochranu. Logicky by to malo byť takto.
Aké riziká pre nás predstavujú vírusy? Porušenie integrity (poškodenie) informácií, porušenie dostupnosti (odstávky serverov alebo PC) informácií. Pri správnej organizácii siete by používateľ nemal mať v systéme práva lokálneho správcu, to znamená, že by nemal mať práva na inštaláciu softvéru (a teda vírusov) do systému. Dôchodcovia tak odpadávajú, lebo tu nepodnikajú.
Kto môže zmierniť riziká spojené s vírusmi? Používatelia s právami správcu domény. Domain admin – citlivá rola, vydávaná zamestnancom IT oddelení a pod. V súlade s tým by mali nainštalovať antivírusy. Ukazuje sa, že sú zodpovedné aj za činnosť antivírusového systému. V súlade s tým musia podpísať pokyn o organizácii antivírusovej ochrany. V skutočnosti musí byť táto zodpovednosť uvedená v pokynoch. Napríklad bezpečnostný úradník riadi, správcovia vykonávajú.
Otázka %username%
Potom je na mieste otázka, čo by zodpovednosť za tvorbu a používanie vírusov nemala obsahovať v pokynoch Antivírusového SI (alebo existuje článok a nemôžete ho spomenúť)? Alebo že sú povinní nahlásiť vírus alebo nezvyčajné správanie počítača Help Desk alebo IT personálu?
Opäť by som sa pozrel zo strany rizikového manažmentu. Zaváňa to takpovediac GOST 18044-2007.
Vo vašom prípade „čudné správanie“ nie je nevyhnutne vírus. Môže to byť systémová brzda alebo gp atď. Nejde teda o incident, ale o udalosť informačnej bezpečnosti. Opäť platí, že podľa GOST môže každá osoba vyhlásiť udalosť, ale je možné pochopiť incident alebo nielen po analýze.
Táto vaša otázka sa teda už nepremieta do politiky informačnej bezpečnosti, ale do správy incidentov. Vo vašej politike by to malo byť uvedené spoločnosť musí mať systém riešenia incidentov.
To znamená, že ako vidíte, administratívne vykonávanie politiky je pridelené hlavne správcom a bezpečnostným strážcom. Používatelia zostávajú zvykom.
Preto musíte vypracovať nejaký „Postup používania CBT v spoločnosti“, kde musíte špecifikovať povinnosti používateľov. Tento dokument by mal korelovať s politikou informačnej bezpečnosti a mal by byť takpovediac vysvetlením pre používateľa.
V tomto dokumente môžete určiť, že používateľ je povinný upozorniť príslušný orgán na abnormálnu činnosť počítača. No, môžete tam pridať všetko ostatné vlastné.
Celkovo musíte používateľa oboznámiť s dvoma dokumentmi:
- politika informačnej bezpečnosti (aby rozumel tomu, čo sa robí a prečo, nerozkýval loď, nenadával pri zavádzaní nových riadiacich systémov atď.)
- tento "Postup pri používaní CBT v spoločnosti" (aby pochopil, čo presne robiť v konkrétnych situáciách)
Preto pri zavádzaní nového systému jednoducho niečo pridáte do „Objednávky“ a upozorníte na to zamestnancov zaslaním objednávky e-mailom (prípadne prostredníctvom EDMS).
Značky:
- Informačná bezpečnosť
- Riadenie rizík
- bezpečnostná politika
Softvér TSF mimo jadra pozostáva z dôveryhodných aplikácií, ktoré sa používajú na implementáciu bezpečnostných funkcií. Všimnite si, že zdieľané knižnice, vrátane modulov PAM v niektorých prípadoch, používajú dôveryhodné aplikácie. Neexistuje však žiadna inštancia, kde by sa samotná zdieľaná knižnica považovala za dôveryhodný objekt. Dôveryhodné príkazy možno zoskupiť nasledovne.
- Inicializácia systému
- Identifikácia a autentifikácia
- Sieťové aplikácie
- dávkové spracovanie
- Správa systému
- Audit na úrovni používateľa
- Kryptografická podpora
- Podpora virtuálnych strojov
Komponenty vykonávania jadra možno rozdeliť do troch častí: hlavné jadro, vlákna jadra a moduly jadra v závislosti od toho, ako budú spustené.
- Jadro obsahuje kód, ktorý sa vykonáva na poskytovanie služby, ako je obsluha systémového volania používateľa alebo obsluha mimoriadnej udalosti alebo prerušenia. Väčšina kompilovaného kódu jadra patrí do tejto kategórie.
- Vlákna jadra. Na vykonanie určitých rutinných úloh, ako je vyprázdnenie vyrovnávacej pamäte disku alebo uvoľnenie pamäte výmenou nepoužitých rámcov stránok, jadro vytvára interné procesy alebo vlákna. Vlákna sú naplánované rovnako ako bežné procesy, ale v neprivilegovanom režime nemajú kontext. Vlákna jadra vykonávajú určité funkcie jazyka C jadra. Vlákna jadra sa nachádzajú v priestore jadra a bežia iba v privilegovanom režime.
- Modul jadra a modul jadra ovládača zariadenia sú časti kódu, ktoré je možné podľa potreby načítať a uvoľniť do jadra a z neho. Rozširujú funkčnosť jadra bez potreby reštartu systému. Po načítaní môže objektový kód modulu jadra pristupovať k ďalšiemu kódu a údajom jadra rovnakým spôsobom ako staticky prepojený objektový kód jadra.
Jadro pozostáva z logických podsystémov, ktoré poskytujú rôzne funkcie. Aj keď je jadro jediným spustiteľným programom, rôzne služby, ktoré poskytuje, možno oddeliť a spojiť do rôznych logických komponentov. Tieto komponenty vzájomne spolupracujú, aby poskytovali špecifické funkcie. Jadro pozostáva z nasledujúcich logických podsystémov:
- Súborový subsystém a I/O subsystém: Tento podsystém implementuje funkcie súvisiace s objektmi súborového systému. Medzi implementované funkcie patria tie, ktoré umožňujú procesu vytvárať, udržiavať, interagovať s a odstraňovať objekty systému súborov. Tieto objekty zahŕňajú bežné súbory, adresáre, symbolické odkazy, pevné odkazy, súbory špecifické pre zariadenie, pomenované kanály a zásuvky.
- Procesný subsystém: Tento podsystém implementuje funkcie súvisiace s riadením procesov a riadením vlákien. Implementované funkcie umožňujú vytváranie, plánovanie, spúšťanie a mazanie procesov a predmetov vlákien.
- Pamäťový subsystém: Tento podsystém implementuje funkcie súvisiace so správou prostriedkov systémovej pamäte. Medzi implementované funkcie patria tie, ktoré vytvárajú a spravujú virtuálnu pamäť, vrátane správy stránkovacích algoritmov a tabuliek stránok.
- Sieťový subsystém: Tento podsystém implementuje zásuvky pre UNIX a internetové domény, ako aj algoritmy používané na plánovanie sieťových paketov.
- Subsystém IPC: Tento podsystém implementuje funkcie súvisiace s mechanizmami IPC. Medzi implementované funkcie patria tie, ktoré uľahčujú riadenú výmenu informácií medzi procesmi tým, že im umožňujú zdieľať dáta a synchronizovať ich vykonávanie pri interakcii so zdieľaným zdrojom.
- Subsystém modulu jadra: Tento subsystém implementuje infraštruktúru na podporu načítateľných modulov. Medzi implementované funkcie patrí načítanie, inicializácia a uvoľnenie modulov jadra.
- Linuxové bezpečnostné rozšírenia: Rozšírenia zabezpečenia Linuxu implementujú rôzne aspekty zabezpečenia, ktoré sú poskytované v celom jadre, vrátane rámca Linux Security Module (LSM). Rámec LSM slúži ako základ pre moduly, ktoré vám umožňujú implementovať rôzne bezpečnostné politiky vrátane SELinuxu. SELinux je dôležitý logický subsystém. Tento subsystém implementuje funkcie povinného riadenia prístupu na dosiahnutie prístupu medzi všetkými subjektmi a objektmi.
- Subsystém ovládača zariadenia: Tento podsystém implementuje podporu pre rôzne hardvérové a softvérové zariadenia prostredníctvom spoločného, na zariadení nezávislého rozhrania.
- Subsystém auditu: Tento podsystém implementuje funkcie súvisiace so zaznamenávaním udalostí kritických z hľadiska bezpečnosti v systéme. Medzi implementované funkcie patria tie, ktoré zachytávajú každé systémové volanie na zaznamenávanie udalostí kritických z hľadiska bezpečnosti, a tie, ktoré implementujú zhromažďovanie a zaznamenávanie riadiacich údajov.
- Subsystém KVM: Tento podsystém implementuje údržbu životného cyklu virtuálneho počítača. Vykonáva kompletizáciu výpisov, ktorá sa používa pri výpisoch vyžadujúcich len drobné kontroly. Pre akékoľvek ďalšie dokončenie inštrukcie KVM vyvolá komponent užívateľského priestoru QEMU.
- Crypto API: Tento subsystém poskytuje internú kryptografickú knižnicu jadra pre všetky komponenty jadra. Pre volajúcich poskytuje kryptografické primitívy.
Jadro je hlavnou súčasťou operačného systému. Priamo interaguje s hardvérom, implementuje zdieľanie zdrojov, poskytuje zdieľané služby pre aplikácie a bráni aplikáciám v priamom prístupe k hardvérovo závislým funkciám. Medzi služby poskytované jadrom patria:
1. Riadenie vykonávania procesov vrátane operácií ich vytvárania, ukončenia alebo pozastavenia a medziprocesová výmena údajov. Zahŕňajú:
- Ekvivalentné plánovanie procesov spustených na CPU.
- Oddelenie procesov v CPU pomocou režimu zdieľania času.
- Vykonávanie procesu v CPU.
- Po uplynutí jeho časového kvanta pozastavte jadro.
- Pridelenie času jadra na vykonanie iného procesu.
- Preplánovanie času jadra na vykonanie pozastaveného procesu.
- Spravujte metadáta súvisiace s bezpečnosťou procesov, ako sú UID, GID, štítky SELinux, ID funkcií.
- Povolenie udelené jadrom procesom zdieľať časť ich adresného priestoru za určitých podmienok; pri tom však jadro chráni vlastný adresný priestor procesu pred vonkajšími zásahmi.
- Ak má systém málo voľnej pamäte, jadro uvoľní pamäť dočasným zápisom procesu do pamäte druhej úrovne alebo do odkladacieho oddielu.
- Konzistentná interakcia s hardvérom stroja na vytvorenie mapovania virtuálnych adries na fyzické adresy, čím sa vytvorí mapovanie medzi adresami generovanými kompilátorom a fyzickými adresami.
- Nastavte limity prostriedkov nakonfigurovaných emulačnou aplikáciou pre tento virtuálny počítač.
- Spustenie programového kódu virtuálneho počítača na spustenie.
- Spracovanie vypnutia virtuálnych strojov buď ukončením inštrukcie alebo oneskorením dokončenia inštrukcie na emuláciu užívateľského priestoru.
- Pridelenie sekundárnej pamäte pre efektívne ukladanie a získavanie užívateľských dát.
- Pridelenie externej pamäte pre používateľské súbory.
- Využite nevyužitý úložný priestor.
- Organizácia štruktúry súborového systému (pomocou jasných princípov štruktúrovania).
- Ochrana používateľských súborov pred neoprávneným prístupom.
- Organizácia riadeného prístupu procesov k periférnym zariadeniam, ako sú terminály, páskové jednotky, diskové jednotky a sieťové zariadenia.
- Organizácia vzájomného prístupu k údajom pre subjekty a objekty, poskytovanie riadeného prístupu na základe politiky DAC a akejkoľvek inej politiky implementovanej načítaným LSM.
Politika informačnej bezpečnosti - súbor zákonov, opatrení, pravidiel, požiadaviek, obmedzení, pokynov, nariadení, odporúčaní a pod., upravujúcich postup pri spracúvaní informácií a zameraných na ochranu informácií pred určitými druhmi hrozieb.
Politika informačnej bezpečnosti je základným dokumentom pre zabezpečenie celého cyklu informačnej bezpečnosti v spoločnosti. Vrcholový manažment spoločnosti by sa preto mal zaujímať o znalosť a dôsledné dodržiavanie jej hlavných bodov všetkými zamestnancami spoločnosti. Všetci zamestnanci oddelení zodpovední za režim informačnej bezpečnosti spoločnosti musia byť oboznámení s politikou informačnej bezpečnosti proti podpisu. Tí budú totiž zodpovední za overenie dodržiavania požiadaviek politiky informačnej bezpečnosti a znalosti jej hlavných bodov zo strany personálu spoločnosti v časti, ktorá sa ich týka. Mal by sa tiež definovať proces vykonávania takýchto inšpekcií, zodpovednosti úradníkov vykonávajúcich takéto inšpekcie a harmonogram inšpekcií.
Politiku informačnej bezpečnosti možno vypracovať tak pre samostatnú zložku informačného systému, ako aj pre informačný systém ako celok. Politika informačnej bezpečnosti by mala zohľadňovať tieto vlastnosti informačného systému: technológiu spracovania informácií, výpočtové prostredie, fyzické prostredie, používateľské prostredie, pravidlá kontroly prístupu atď.
Politika informačnej bezpečnosti by mala zabezpečiť integrované používanie právnych, morálnych a etických noriem, organizačných a technických opatrení, softvéru, hardvéru a softvéru a hardvéru na zabezpečenie informačnej bezpečnosti, ako aj určovať pravidlá a postupy ich používania. Politika informačnej bezpečnosti by mala vychádzať z nasledujúcich princípov: kontinuita ochrany, dostatočnosť opatrení a prostriedkov ochrany, ich súlad s pravdepodobnosťou ohrozenia, hospodárnosť, flexibilita štruktúry, jednoduchosť riadenia a používania atď.
Bezpečnostná politika je súbor preventívnych opatrení na ochranu dôverných údajov a informačných procesov v podniku. Bezpečnostná politika zahŕňa požiadavky na personál, manažérov a technické služby. Hlavné smery rozvoja bezpečnostnej politiky:
- určenie, ktoré údaje a ako vážne je potrebné ich chrániť,
- určenie, kto a akú škodu môže spôsobiť spoločnosti po informačnej stránke,
- výpočet rizík a určenie schémy na ich zníženie na prijateľnú hodnotu.
Na hodnotenie súčasnej situácie v oblasti informačnej bezpečnosti v podniku existujú dva systémy. Dostali obrazné pomenovania „výskum zdola nahor“ a „výskum zhora nadol“. Prvá metóda je pomerne jednoduchá, vyžaduje oveľa menej kapitálových investícií, ale má aj menej možností. Vychádza zo známej schémy: "Si votrelec. Čo robíš?". To znamená, že služba informačnej bezpečnosti sa ich snaží na základe údajov o všetkých známych typoch útokov uviesť do praxe, aby preverila, či je takýto útok možný od skutočného útočníka.
Metóda „zhora nadol“ je naopak podrobným rozborom celej existujúcej schémy uchovávania a spracovania informácií. Prvým krokom v tejto metóde je ako vždy určiť, ktoré informačné objekty a toky je potrebné chrániť. Nasleduje štúdia súčasného stavu systému informačnej bezpečnosti s cieľom zistiť, ktorý z klasických spôsobov ochrany informácií je už implementovaný, v akom rozsahu a na akej úrovni. V tretej fáze sú všetky informačné objekty zaradené do tried v súlade s ich dôvernosťou, požiadavkami na dostupnosť a integritu (nemennosť).
Nasleduje vysvetlenie toho, aké vážne škody môže spoločnosti spôsobiť zverejnenie alebo iný útok na každý konkrétny informačný objekt. Tento krok sa nazýva „výpočet rizika“. V prvej aproximácii je riziko súčinom „možnej škody z útoku“ a „pravdepodobnosti takéhoto útoku“.
Politika informačnej bezpečnosti by mala obsahovať klauzuly obsahujúce informácie z nasledujúcich sekcií:
koncepcia informačnej bezpečnosti;- určenie komponentov a zdrojov informačného systému, ktoré sa môžu stať zdrojmi narušenia informačnej bezpečnosti, a stupeň ich kritickosti;
- porovnanie hrozieb s predmetmi ochrany;
- posúdenie rizík;
- posúdenie výšky možných strát spojených s realizáciou hrozieb;
- odhadnúť náklady na vybudovanie systému informačnej bezpečnosti;
- stanovenie požiadaviek na spôsoby a prostriedky zabezpečenia informačnej bezpečnosti;
- výber základných riešení informačnej bezpečnosti;
- organizovanie reštaurátorských prác a zabezpečenie nepretržitej prevádzky informačného systému;
- pravidlá kontroly prístupu.
Politika informačnej bezpečnosti podniku je veľmi dôležitá na zabezpečenie komplexnej bezpečnosti podniku. Môže byť implementovaný v hardvéri a softvéri pomocou riešení DLP.
Súvisiace publikácie
|
29. apríla 2014 Mnoho spoločností nakupuje mobilné zariadenia na vlastné náklady pre zamestnancov, ktorí často chodia na služobné cesty. Za týchto podmienok má IT služba naliehavú potrebu kontrolovať zariadenia, ktoré majú prístup k podnikovým dátam, ale sú mimo perimetra podnikovej siete. |
|
Osobný účet poistenca
Automatický identifikačný systém Spoločné používanie AIS s elektronickým mapovým systémom
Wargame: Red Dragon sa nespúšťa?
Smutný escobar „Tvár súdneho systému Ukrajiny“
ROME Total War - ako odomknúť všetky frakcie?