Написание эффективной политики безопасности (Часть 1)

Published on Февраль 2, 2009 by   ·   Комментариев нет

Введение

Политики безопасности имеются во многих организациях, такие политики разрабатываются для управления ресурсами компании и помогают в поддержании безопасности и целостности авторизованных пользователей и ресурсов. В этом цикле статей мы рассмотрим как политика безопасности может быть использована в качестве жизнеспособного инструмента и как написать политику для решения текущих задач.

Во время консультаций во многих случаях я задаю вопрос: о чем говорит Ваша политика безопасности? Обычной реакцией на это является ошеломленный вид. У нас ее нет или есть, но мы скачали ее в Интернете, не могли бы Вы помочь привести ее в порядок? Я люблю ссылаться на политику безопасности при консультировании, поскольку важно указывать организации на технические средства, которые у них есть и которые пользователи видели.

Рекомендация состоит в том, что политика создается в соответствии и согласовании с бизнес-задачами, и что достигаются цели ИТ-руководства. Другой ключевой момент в том, что политика не может быть сама по себе, необходима сопроводительная документация, опирающаяся на руководства и инструкции. Этот документ будет определять поведение пользователей, поэтому необходимо составлять его аккуратно и не допускать неопределенности. Смысл политики не в том, чтобы приводить к обратному эффекту, а во влиянии на поведение пользователей, так, чтобы наблюдалась необходимая выгода.

Проблема

Большинство политик безопасности «беззубые», это означает, что если политика нарушена — никаких дисциплинарных действий не предпринимается. Прежде всего это происходит из-за отсутствия поддержки управления и по причине того, что политика не подписана как часть постановлений и условий осуществления работы. Вовлечение и высшего руководства и персонала является очень важным в поддержании документа выполненным.

Написание выполнимой политики также важно, поскольку многие политики трудно понять и интерпретировать. Решение — писать политику, имеющую хорошее основание, ясную, выполнимую и легко читаемую. Это административное средство часто создается в нереалистичной манере, преследующей идеалы, а не цели бизнес-подразделений.

Пользователь уже должен был прочесть множество документов; выделяя различные области бизнеса, эффективная политика может быть краткой и значащей. Жизненный цикл этого документа — от трех до пяти лет, и документ должен ежегодно пересматриваться, чтобы гарантировать последовательность и соответствие бизнес-стратегии.

Проблема в том, что не многие специалисты по безопасности имеют опыт в этой области и часто документ копируется из источника, который считается эталоном, это делается для устранения расхождений в соответствиях. Хотя охватываются многие из лучших методов, вы обнаружите, что когда дело доходит до реализации технических средств управления, реальным целям и практичности уделяется мало внимания.

Что такое политика?

Политика — это документ, который существенно влияет на действия людей, план или руководство, созданное для достижения определенного результата. Руководство (политика) — это не инструкция.

Полномочия

Политика должна иметь полное одобрение высшего руководства или владельцев бизнеса, без такой поддержки документ будет неприменим и останется лишь клочком бумаги. Ясная причина и эффект (последствия) должны быть документированы, чтобы все были осведомлены о последствиях игнорирования директивы.

Добавление требований без одобрения приведет к нехватке ресурсов отделов для средств управления. Средства управления стоят денег и поэтому одобрение политики руководством является крайне важным.

Структура

Имейте в виду, что вы будете совершенствовать политику со временем, с изменением бизнес-целей подтверждение политики требует пересмотра и поведение пользователей изменится. Наша главная задача — гарантировать, что группа будет огорожена от вреда, но защита информационных ресурсов компании важна.

Не забывайте про бюджет компаний, это также позволит организации планировать средства управления, которые будут осуществлены и на этапах, где такие средства внедрены. Если политика советует поведенческим требованиям и отсутствуют средства управления, позволяющие применить политику, пользователь избегает применения политики.

Не пытайтесь преуменьшать все случайности, это четкое руководство, которое должно быть прочитано как краткий обзор или что должно или не должно быть сделано. Вам может показаться, что необходима большая детализация. (Вместо усложнения текста вынесите детали в приложение).

Всеобъемлющая политика безопасности потребует вовлечения всех бизнес-подразделений, тщательная координация этой политики приведет к снижению риска. Подобным образом, слияние с другими организациями может их выявить, поскольку добавляются новые неисследованные области.

Всегда применяйте правило наименьших привилегий. Это уменьшит площадь для атак, чем она меньше, тем меньше риск.

Опишите директивы и обязательные части политики. Если это не достаточно четко, пользователи могут посчитать эти части необязательными, в то время как они таковыми не являются. Выделение цветом или курсивом необязательных деталей может быть полезным.

Некоторые политики могут иметь разделы, которые исключают определенных пользователей; эти исключения должны быть в приложении, а не в самом документе, поскольку это может внести путаницу.

Дополнение: Разделите политику так, чтобы различные ее части относились к различным отделам, в более ограничивающей манере. Хотя это сильно усложняет политику, общая политика может быть слишком свободной и увеличивать риск. По этой причине лучшим вариантом будет большая детализация в каждом отделе и информирование лишь глав подразделений, кадровая служба может помочь в отслеживании элементов политики. Различные отделы будут иметь различные положения о безопасности, вот почему этот подход может работать в Вашей организации.

Сделайте элементы политики достижимыми, если они нереальны, то вся политика может быть проигнорирована, или воспринята пользователями менее серьезно.

Политика должна распространять законные и выполняемые положения, это усиливает элементы и придает документу более авторитетный вид; использование ссылок на публикации будет полезным, это даст пользователям возможность обратиться к юридической документации.

К кому должна применяться политика?

Политика безопасности должна применяться к любому пользователю средств компании. Сюда относятся консультанты и иностранные юридические лица, вне зависимости от их местонахождения. Не охваченные политикой пользователи могут привести к подверганию риску, поэтому важным является то, что перед получением доступа к средствам, пользователи читают и соглашаются с политикой.

Технические средства

Существуют сотни технических средств, антивирусов, средств резервного копирования, контентной фильтрации, брандмауэров, средств шифрования, инструментов борьбы с вредоносными программами и т.д Эти технические средства могут быть упомянуты в политике безопасности и должны быть описаны как средства, которые обеспечивают защиту средств компании. Вмешательство, удаление или изменение таких средств должно быть запрещено и политика, осуществляющая это важна. При аудите большой корпорации один из моих сотрудников обнаружил, что нарушение было вызвано вмешательством в технические средства. Политика не упоминала ничего о технических средствах и о том, как пользователь должен взаимодействовать с ними, и поэтому никаких действий не предпринималось.

Управление, защита и обработка данных

Политика должна описывать, как пользователь обращается с данными компании, это включает безопасное хранение данных, безопасная передача данных и безопасная обработка данных.

Отчетность

Отчетность о технических средствах также важна, поскольку позволяет удостовериться в том, что пользователи информированы о нарушениях и организация осведомлена о рисках и воздействиях. Незнание того, что пользователи подвергают компанию опасности — это то же самое, что отсутствие политики.

Резюме

В данной статье мы рассмотрели важные факторы, которые должны быть рассмотрены при написании эффективной политики безопасности. В конце данной серии специалист по безопасности сможет сопоставлять информацию и писать свои собственные политики безопасности. Профессиональная помощь всегда доступна, но, будем надеяться, эта статья определит области, которые Вы как специалист по безопасности должны рассматривать.

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]