Разработка политики безопасности организации в свете новейшей нормативной базы

 

Федеральное государственное бюджетное  образовательное  учреждение высшего  профессионального образования 

«Российская академия народного хозяйства

 и государственной  службы 

при Президенте Российской Федерации»

 

ОРЛОВСКИЙ ФИЛИАЛ

 

 

 

Факультет  «Государственное и  муниципальное управление»

Специальность/направление  подготовки  «Прикладная информатика (в менеджменте)»

Кафедра информатики и информационных технологий в менеджменте

 

 

 

 

КУРСОВАЯ РАБОТА (ПРОЕКТ)

по дисциплине:

Информационная безопасность

 

на тему:

«Разработка политики безопасности организации  в свете новейшей нормативной  базы»

                                                                             

                                                    Автор работы:

студент  4  курса

очной формы обучения

Токарев И.С.

подпись_________________________

 

Руководитель работы:

Доцент, канд. пед. наук

Митяев В.В.

Оценка_________________________

                                           Подпись ________________________

                                                                                                           «_____» ___________20____ г.

 

 

 

 

 

         Орел 2013 г.

 

 

 

Содержание

Введение………………………………………………………………..….3

1. Политика безопасности: основное содержание………………...…5
1. Новые нормативные требования, касающиеся политики безопасности организации………………………………...……5
2. ГОСТ 15408 – «Критерии оценки безопасности информационных технологий»…………………………………6
3. ISO 17799 – Неформальный подход к разработке политики безопасности…………………………………………….……….8
4. Пример структуры неформальной политики безопасности…………………………….………….…….…….12
2. Формализация положений политики безопасности……….……14
1. Средства управления и идентификация системы……………14
2. Функциональные средства………………………….…………15
3. Технические средства………………………………………….17
3. Разработка политики безопасности организации: средства автоматизации…………………………….…………….……………19
1. Особенности разработки политики безопасности …….……..19
2. Система COBRA………………………………………………..21
3. Кондор: ISO 17799……………………………………………..26
4. CC Toolbox: автоматизация разработки формальной   политики безопасности……………………………….….……29

Заключение……………………………………….….…….…………….31

Библиографический список………………………………….………..33

 

Введение

Политика безопасности — это совокупность норм и правил, которые определяют меры принятые в организации по обеспечению и сохранению безопасности информации, связанной с деятельностью организации. Только человек, который четко осознает цели организации и необходимые условия ее функционирования, может определить, какая информация должны быть защищена и насколько существенными могут быть последствия от несанкционированного распространения, искажения или уничтожения информации.

Политика безопасности, как правило, состоит из 2 частей: общих принципов и конкретных правил взаимодействия с информационными ресурсами и, в первую очередь, с базами данных для пользователей разных уровней. Политика безопасности — это в первую очередь некий компромисс между желаемым уровнем безопасности ресурсов, простота эксплуатации системы и стоимостью средств, выделяемых на ее использование.

Политика безопасности должна быть  задокументирована на нескольких уровнях управления. На уровне управления звена высшего руководства необходимо подготовить и утвердить документы, определяющие перечень решаемых задач, структуру, цели политики безопасности и лиц, несущих ответственность за реализацию политики. Основной документ необходимо  подробно описать администраторами безопасности информационных систем на основе принципов деятельности организации, соотношения важности  имеющихся ресурсов и целей. Подробные решения должны включать не менее подробные определения технических методов защиты информационных ресурсов, и конечно же инструкции, регламентирующие поведение сотрудников в конкретных ситуациях.

Современная  политика безопасности информации, прежде всего, определяет существование у организаций, развивающих средства защиты информации  и оказывающих услуги в этой отрасли, документа, в котором излагаются концептуальные и общеорганизационные вопросы информационной безопасности.

Как правило, в мировой практике такой документ называется политика безопасности организации, но в нашей стране до недавнего времени не было  четких требования к документу такого рода.

Актуальность разработки политики безопасности возникла с формированием новейшей нормативно-правовой базой в области информационной безопасности: ГОСТ 15408-02, ГОСТ 15.002-00, а также ожидаемой отечественной редакцией ISO 17799.

Объектом исследования является политика безопасности организации.

Цель  работы исследование и разработка политики безопасности организации с учетом новейших нормативных баз.

 

1. Политика безопасности: основное содержание

1.1. Новые нормативные требования, касающиеся политики безопасности организации

Общепринято понимать под политикой безопасности документ, в котором охватываются основные цели, задачи и направления, свои обязательства и важнейшие принципы деятельности предприятия в области защиты информации, официально сформулированные высшим руководством и принятые к обязательному выполнению на предприятии. До недавнего времени необходимость в разработке политики безопасности определялась пониманием руководства организации проблемы защиты ресурсов компьютерных систем и сетей организации. Надо сказать, что на российском рынке сложился рынок услуг по разработке документов такого рода, но отличающихся по структуре и содержанию.

Отношение к политике безопасности изменилось с появлением новой нормативно-правовой базой информационной безопасности, с одной стороны, и улучшение требований лицензионных органов и центров к предприятиям, выпускающим продукцию или оказывающих услуги в области информационной безопасности, – с другой.

Наиболее четко требования к документальному определению вопросов информационной безопасности указаны для компаний, выпускающих продукцию оборонного назначения, – в ГОСТ 15.002-2000, который предусматривает обязательную программу обеспечения безопасности в рамках политики качества. Этот документ должен включать набор процедур, деятельности и процессов обеспечения безопасности разработки средств защиты безопасности, согласуется с представителем заказчика и подлежит обязательному инспекционному контролю.

Однако определение и требования для надлежащего поддержания политики безопасности приведены в действующем с 2004 года ГОСТ 15408-02 и международном стандарте ISO 17799, российская редакция которого ожидается в ближайшем времени.

1.2. ГОСТ 15408 – «Критерии оценки безопасности информационных технологий».

В соответствии с ГОСТ 15408 «Критерии оценки безопасности информационных технологий» (COBIT), политика безопасности организации – это одно или несколько процедур, правил, практических приемов или руководящих принципов в области безопасности, используемых организацией в своей деятельности. Политика безопасности является одним из компонентов среды безопасности включающей в себя также законы, опыт, специальные навыки, знания и угрозы безопасности, присутствие которых в этой среде установлено или предполагается. Изложение политики безопасности организации включается в такие документы, как Профиль защиты и Задание по безопасности.

В дальнейшем положения политики безопасности используются при разработке целей безопасности для оценки объекта и его среды. Подчеркивается также необходимость создания механизмов для проверки соответствия объекта оценки политики безопасности.

Тем самым ПБ рассматривается в COBIT, в первую очередь в качестве базы для начальных условий разработки и оценки информационной системы. Однако определение ее крайне расплывчато, и, хотя ряд вопросов, подлежащих формализации в рамках ПБ, очерчен, конкретные особенности разработки этого документа не затрагиваются. Кроме того, COBIT не учитывает ряд вопросов, традиционно включаемых в понятие «политика безопасности»: это и вопросы управления персоналом, и физическая защита, и административные меры. Такой подход, обеспечивающий некоторую дополнительную гибкость, подчеркивается самими разработчиками COBIT.

Таким образом, сами по себе COBIT не содержат практических рекомендаций по разработке ПБ, а являются некоторым метастандартом, позволяющим формализовать отдельные аспекты ПБ.

Следует отметить, что некоторые организационные вопросы ИБ определены в документе «Общая методология оценки безопасности информационных технологий», разработанного в рамках международного проекта «Общих критериев» (Common Criteria for IT Security Evaluation), однако не имеющего пока нормативного аналога в нашей стране.

 

1.3. ISO 17799 – неформальный подход к разработке политики безопасности

Заявления руководства Государственной технической комиссии России по ряду заседаний ТК-362 о готовящейся версии международного стандарта ISO 17799 позволяет нам рассмотреть известный практический стандарт относительно трактовки политики безопасности.

Документ ISO 17799 состоит из двух частей. Первая – «Практические рекомендации» – определяет и рассматривает следующие аспекты информационной безопасности:

● политика безопасности;

● организация защиты;

● классификация и управление информационными ресурсами;

● управление персоналом;

● физическая безопасность;

● администрирование компьютерных систем и сетей;

● системы контроля доступа;

● разработка и сопровождение систем;

● планирование бесперебойной работы организации;

● проверка системы на соответствие требованиям информационной безопасности.

Вторая часть – «Спецификации системы» – учитывает те же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Очевидно, что положения стандарта ISO 17799 как нельзя более идеально дополняют COBIT. Предписываемая документом структура политики информационной безопасности показана на рис. 1.

 

 

 

 

Структура политики ИБ (ISO 17799)

Определение ИБ и перечень ее составляющих

Положение о целях управления

Краткое разъяснение политики безопасности, принципов ее построения и стандартов в этой области, обоснование соответствия политики требованиям, имеющим особое значение для организации.

 

Соответствие положений  политики местному и международному законодательству

Обучение персонала вопросам безопасности

Обнаружение и блокирование вредоносных  программ

Непрерывность ведения бизнеса

Последствия нарушения ПБ

 

Ответственность руководителей за обеспечение информационной безопасности

 

Перечень документов, которые должны быть изданы вместе с ПБ

 

Рисунок 1. – Структура компании ИБ

Обратим внимание на требования стандарта по инвентаризации информационной инфраструктуры, подлежащей защите. Помимо программного, аппаратного, информационно-коммуникационных ресурсов, сюда должны быть отнесены имеющиеся в организации нормативные документы, которые не должны вступать в противоречие с положениями политики безопасности. Обрабатываемая в защищенной системе информация подлежит классифицированию по уровню конфиденциальности или секретности.

Соблюдение законодательства также является одним из наиболее важных аспектов разработки политики безопасности, зачастую определяющим значительную часть используемых технологий защиты (классический пример для России – юридические ограничения на использование криптографических средств). Для того, чтобы избежать возможных осложнений, необходимо согласовать соответствующие вопросы с экспертом по правовому обеспечению информационной безопасности.

Подчеркнем также важную роль раздела, который определяет ответственность за обеспечение информационной безопасности. Хотя традиционно персональную ответственность за проведение мероприятий по обеспечению информационной безопасности несет руководитель организации, необходимо четкое распределение обязанностей и ответственности между отдельными должностными лицами. Каждый сотрудник должен четко понимать свои обязанности в области информационной безопасности и ответственность за несоблюдение.