• создание политики безопасности, взаимно увязанной с бизнес– и ИТ-стратегиями.

В этом случае рекомендуемая структура руководящих документов по обеспечению информационной безопасности компании может быть представлена следующим образом (см. рис. 2.2).

После создания корпоративной политики создается серия стандартов. Под стандартами IBM понимает документы, описывающие порядок применения корпоративной политики безопасности в терминах аутентификации, авторизации, идентификации, контроля доступа и т. д. Стандарты могут требовать частых изменений, так как на них оказывают влияние текущие угрозы и уязвимости информационных технологий.

В представлении IBM политики и стандарты безопасности создаются для:

• разработки правил и норм безопасности уровня компании;

• анализа информационных рисков и способов их уменьшения;

• формализации способов защиты, которые должны быть реализованы;

• определения ожиданий со стороны компании и сотрудников;

• четкого определения процедур безопасности, которым нужно следовать;

• обеспечения юридической поддержки в случае возникновения проблем в области безопасности.

Стандарты реализуются с помощью практик и/или процедур. Практики являются реализацией стандартов в операционных системах, приложениях и информационных системах. В них детализируются сервисы, устанавливаемые на операционных системах, порядок создания учетных записей и т. д. Процедуры документируют процессы запроса и подтверждения доступа к определенным сервисам, например VPN.

Рассмотрим особенности предлагаемого подхода IBM (рис. 2.3) на следующем примере:

• проблемная ситуация – сотрудники загружают программное обеспечение из сети Интернет, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности работы сотрудников компании;

• в политику безопасности добавляется строка – «информационные ресурсы компании могут быть использованы только для выполнения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудникам компании;

• создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспечение разрешены для использования сотрудниками;

• практика безопасности описывает, как настроить операционную систему в соответствии с требованиями стандарта безопасности;

• процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или установку дополнительного программного обеспечения сотрудниками;

2.1.2. Пример стандарта безопасности для ОС семейства UNIX

Цель и область действия стандарта: документ определяет требования по защите компьютеров, работающих под управлением ОС семейства UNIX.

Аудитория: персонал служб информационных технологий и информационной безопасности.

Полномочия: отдел информационной безопасности наделяется всеми полномочиями для разрешения возможных проблем, связанных с безопасностью серверов информационной системы компании, и несет за это ответственность. Департамент управления информационными рисками утверждает все отклонения от требований данного стандарта.

Срок действия: с 1 января до 31 декабря … года.

Исключения: все отклонения от выполнения данного стандарта должны получить подтверждение в отделе информационной безопасности.

Поддержка: по всем вопросам, связанным с этим стандартом, обращаться в отдел информационной безопасности.

Пересмотр стандарта: стандарт пересматривается ежегодно.

СТАНДАРТ БЕЗОПАСНОСТИ ОС СЕМЕЙСТВА UNIX УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП

Настройки по умолчанию. Операционная система и права доступа к файлам должны быть настроены в режиме защищенной конфигурации при использовании umask по умолчанию, что гарантирует надлежащие разрешения доступа. Все пароли, установленные вендорами по умолчанию, должны быть изменены перед промышленной эксплуатацией системы.

Администрирование учетных записей пользователей и групп: