Рис. 3.10. Процессы управления ресурсами информационной системы
В модели CobiT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, сгруппированным определенным образом (рис. 3.11).
Рис. 3.11. Объекты контроля и управления информационными технологиями
Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например стиль, удобство интерфейсов. Характеристики доставки информации получателю – показатели, в обобщенном виде входящие в показатели доступности и частично – в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.
Во-вторых, доверие к технологии – группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.
В-третьих, показатели информационной безопасности – конфиденциальность, целостность и доступность обрабатываемой в системе информации.
3.5. Общие рекомендации по созданию политик безопасности
Обобщая изложенное выше, отметим, что в современных стандартах управления информационной безопасностью (см. табл. 3.4) вопросам разработки политик безопасности уделяется достаточное внимание (см. табл. 3.5).
Таблица 3.4. Новые стандарты в области защиты информации
BS 7799 – British Standards Institute
NFPA – National Fire Protection Association
AICPA – Association of Independent Auditors
FIPS – Federal Information Processing Standards
ISO – International Standards Organization
SunTone – Sun Microsystems E-commerce Certification
FIDNet – PDD-63 Guidelines
Таблица 3.5. Роль политик безопасности в новых стандартах безопасности
Например, в стандарте ISO 17799 (BS 7799-1) рекомендуется управление информационной безопасностью компании осуществлять на основе политик безопасности (рис. 3.12).
Рис. 3.12. Роль политики безопасности согласно стандарту ISO 17799 Для детализации требований к политикам безопасности можно воспользоваться специальными справочниками. Вид подобного справочника согласно рекомендациям стандарта ISO 17799 представлен на рис. 3.13.
Рис. 3.13. Справочник «\'ONLINE\' SECURITY POLICIES AND SUPPORT»
Демонстрационные версии (Evaluation version) Information Security Police SOS – Interactive «\'ONLINE\' SECURITY POLICIES AND SUPPORT» Security Professionals Guide можно загрузить с сайта www.rusecure.com. Явным достоинством справочника является гипертекстовая структура и удобная навигация. Еще один аналогичный продукт – «ISO 17799\'TOOLKIT POLICY TEMPLATES» – представляет электронную версию документа с примерными текстами политик безопасности в соответствии с рекомендациями стандарта ISO 17799. Содержание документа представлено ниже.
Contents
INTRODUCTION
Chapter 01 Classifying Information and Data SECTION 01 SETTING CLASSIFICATION STANDARDS
Chapter 02 Controlling Access to Information and Systems SECTION 01 CONTROLLING ACCESS TO INFORMATION AND SYSTEMS
Chapter 03 Processing Information and Documents
SECTION 01 NETWORKS
SECTION 02 SYSTEM OPERATIONS AND ADMINISTRATION
SECTION 04 TELEPHONES & FAX
SECTION 05 DATA MANAGEMENT
SECTION 06 BACKUP, RECOVERY AND ARCHIVING
SECTION 07 DOCUMENT HANDLING
SECTION 08 SECURING DATA
SECTION 09 OTHER INFORMATION HANDLING AND PROCESSINGChapter 04 Purchasing and Maintaining commercial Software
SECTION 01 PURCHASING AND INSTALLING SOFTWARE
SECTION 02 SOFTWARE MAINTENANCE & UPGRADE
SECTION 03 OTHER SOFTWARE ISSUESChapter 05 Securing Hardware, Peripherals and Other Equipment
SECTION 01 PURCHASING AND INSTALLING HARDWARE
SECTION 02 CABLING, UPS, PRINTERS AND MODEMS
SECTION 03 CONSUMABLES
SECTION 04 WORKING OFF PREMISES OR USING OUTSOURCED PROCESSING
SECTION 05 USING SECURE STORAGE
SECTION 06 DOCUMENTING HARDWARE
SECTION 07 OTHER HARDWARE ISSUESChapter 06 Combating Cyber Crime SECTION 01 COMBATING CYBER CRIME
Chapter 07 Controlling e?Commerce Information Security SECTION 01 ECOMMERCE ISSUES
Chapter 08 Developing and Maintaining In?House Software
SECTION 01 CONTROLLING SOFTWARE CODE
SECTION 02 SOFTWARE DEVELOPMENT
SECTION 03 TESTING & TRAINING
SECTION 04 DOCUMENTATION
SECTION 05 OTHER SOFTWARE DEVELOPMENTChapter 09 Dealing with Premises related Considerations
SECTION 01 PREMISES SECURITY
SECTION 02 DATA STORES
SECTION 03 OTHER PREMISES ISSUESChapter 10 Addressing Personnel Issues relating to Security
SECTION 01 CONTRACTUAL DOCUMENTATION
SECTION 02 CONFIDENTIAL PERSONNEL DATA
SECTION 03 PERSONNEL INFORMATION SECURITY RESPONSIBILITIES
SECTION 04 HR MANAGEMENT
SECTION 05 STAFF LEAVING EMPLOYMENT
SECTION 06 HR ISSUES OTHERChapter 11 Delivering Training and Staff Awareness
SECTION 01 AWARENESS
SECTION 02 TRAININGChapter 12 Complying with Legal and Policy Requirements
SECTION 01 COMPLYING WITH LEGAL OBLIGATIONS
SECTION 02 COMPLYING WITH POLICIES
SECTION 03 AVOIDING LITIGATION
SECTION 04 OTHER LEGAL ISSUESChapter 13 Detecting and Responding to IS Incidents
SECTION 01 REPORTING INFORMATION SECURITY INCIDENTS
SECTION 02 INVESTIGATING INFORMATION SECURITY INCIDENTS
SECTION 03 CORRECTIVE ACTIVITY
SECTION 04 OTHER INFORMATION SECURITY INCIDENT ISSUESChapter 14 Planning for Business Continuity SECTION 01 BUSINESS CONTINUITY MANAGEMENT (BCP)
3.6. Проблемы разработки политик безопасности
Сегодня отечественные предприятия остро нуждаются в политиках безопасности. Например, 44 % предприятий финансового и государственного сектора вынуждены пересматривать политики безопасности два или более раз в год. К тому же здесь часто возникают проблемы, которые заключаются в том, что высокоуровневые политики безопасности, как правило, далеки от практики и никак не связаны с низкоуровневыми техническими политиками безопасности. В свою очередь технические политики безопасности не учитывают цели и задачи организации режима информационной безопасности компании в должной мере. При этом одни технические политики безопасности задают требуемые настройки маршрутизаторов и межсетевых экранов, другие определяют правила создания паролей и порядок использования Интернета, но, как правило, они рассматриваются разрозненно и не позволяют отладить целостную интегрированную систему управления политиками безопасности. В результате если спросить у ИТ-специалистов, что такое управление политиками безопасности, то можно получить более десяти различных ответов: управление правилами и конфигурациями, управление паролями, управление уязвимостями, управление критичными обновлениями, управление пользователями и пр. В действительности, эти определения, а также многие другие верны. Именно поэтому создание, внедрение и отслеживание политик безопасности – одна из самых важных и трудных задач для специалистов в области информационных технологий и защиты информации (см. рис 3.14-3.16).
Рис. 3.14. Пример создания политики безопасности для маршрутизатора Cisco
Среди наиболее общих проблем разработки требуемых политик безопасности следует отметить:
• сложности с поиском шаблонов или примеров подходящих по содержанию политик безопасности;
• недостаток собственных ресурсов или времени на разработку политик безопасности;
Рис. 3.15. Пример доработки шаблона политики безопасности
• сложности с обновлением политик безопасности, особенно в территориально распределенных компаниях, где часто мониторинг соответствия версий политик безопасности на конечных местах не осуществляется;
• слишком дорогие или не достигающие поставленной цели обучение, тестирование и аттестация знаний персонала по безопасности;
• сложности с обучением пользователей требованиям политик безопасности, отслеживанием компетентности сотрудников; потребность в использовании учебных средств с Web-интерфейсом для снижения издержек на поездки сотрудников в центральный офис для обучения и тестирования (аттестации);
• сложности с доведением политик безопасности до конечных пользователей;
• нехватка сотрудников, ответственных за управление политиками безопасности.
Рис. 3.16. Пример трансляции текста политики в технические спецификации
Для решения этих и других проблем можно воспользоваться специальными системами управления политиками безопасности. К основным задачам названных систем относятся:
• эффективное создание текстовых политик безопасности и управление ими;
• осуществление программы ознакомления сотрудников с политиками информационной безопасности, проверка знаний и понимания названных политик;