Практика компании IBM в области защиты информации

В компании IBM считается что, разработка корпоративных руководящих документов в области безопасности должна начинаться с создания политики информационной безопасности ком­пании. При этом рекомендуется использовать международный стан­дарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса уп­равления информационными рис­ками (рис. 8.1). Считается, что разра­ботка политики безопасности от­носится к стратегическим задачам ТОР-менеджмента компании, кото­рый способен адекватно оценить стоимость информационных акти­вов компании и принять обоснован­ные решения по защите информа­ции с учетом целей и задач бизнеса [12].

Рис. 8.1. Процесс разработки политики безопасности компании

Компания IBM выделяет следу­ющие основные этапы разработки политики безопасности:

1. Определение информацион­ных рисков компании, способных нанести максимальный ущерб для разработки в дальнейшем проце­дур и мер по предупреждению их возникновения,

2. Разработка политики безопас­ности, которая описывает меры защиты информационных актинов, адекватных целям и задачам бизнеса.

3. Выработка планов действий в чрезвычайных ситуациях и в слу­чаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности.

4. Оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточ­ных рисков.

Структура документов безопасности

По мнению специалистов IBM, политика без­опасности компании должна со­держать явный ответ на вопрос: «Что требуется защитить?». Толь­ко после этого можно приступать к созданию эффективной политики информационной безопаснос­ти. При этом политика безопасности является первым стратегичес­ким документом, который необхо­димо создать, и содержит мини­мум технических деталей, являясь настолько статичным (неизменяемым) актом, насколько это воз­можно. Предполагается, что политика безопасности компании будет содержать:

§ определение информационной безопасности с описанием пози­ции и намерений руководства компании по ее обеспечению;

§ описание требований по без­опасности, которые включают:

§ соответствие требованиям законодательства и контрактных обязательств;

§ обучение вопросам информационной безопасности;

§ предупреждение и обнаруже­ние вирусных атак;

§ планирование непрерывности бизнеса;

§ определение ролей и обязанно­стей по различным аспектам общей программы информа­ционной безопасности;

§ описание требований и про­цесса отчетности по инциден­там, связанным с информаци­онной безопасностью;

§ описание процесса поддержки политики безопасности,

Специалисты по информационной безопасности компании IBM выделяют следу­ющие основные этапы разработки политики безопасности компании:

§ анализ бизнес-стратегии компании и связанные с этим требования по информационной безопас­ности;

§ анализ ИТ-стратегии, текущие проблемы информационной безопасности и требования по ин­формационной безопасности, которые появятся в будущем;

§ создание политики безопасности, взаимно увязанной с бизнес - и ИТ-стратегиями.

Рекомендуемая структура руко­водящих документов по обеспече­нию информационной безопаснос­ти компании представлена на рис. 8.2.

 Рис. 8.2. Структура руководящих документов безопасности

После корпоративной политики создаётся серия стандартов, под которыми в компании IBM понимают документы, описывающие порядок применения корпоративной политики безопас­ности в терминах аутентификации, авторизации, идентификации, конт­роля доступа и т. д. Стандарты могут быть часто изменяющимися доку­ментами, так как на них оказывают влияние текущие угрозы и уязвимо­сти информационных технологий.

В представлении IВМ, полити­ки и стандарты безопасности слу­жат для:

§ создания правил и норм безопас­ности уровня компании;

§ анализа информационных рисков и способов их уменьшения;

§ формализации способов защиты, которые должны быть реализованы;

§ определения ожиданий со сторо­ны компании и сотрудников;

§ четкого определения процедур без­опасности, которым нужно следовать;

§ обеспечения юридической под­держки в случае возникновения проблем в области безопасности.

Стандарты реализуются с помо­щью практик и/или процедур. Пер­вые являются практической реали­зацией стандартов в операционных системах, приложениях и инфор­мационных системах. В них дета­лизируются сервисы, устанавлива­емые на операционных системах, порядок создания учетных записей и т. д. Вторые документируют про­цессы запроса и подтверждения до­ступа к определенным сервисам, например VPN.

Рассмотрим особенно­сти предлагаемого подхода к построению системы безопасности в компании IВМ на конкретном примере.

1. Проблемная ситуация: сотруд­ники загружают программное обеспечение из Интернета, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности их работы.

2. В политику безопасности до­бавляется строка «информацион­ные ресурсы компании могут быть использованы только для выпол­нения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудни­кам компании.

3. Создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспече­ние разрешены для использования сотрудниками.

4. Практика безопасности опи­сывает способы настройки операционной системы в соответствии с тре­бованиями стандарта безопасности.

5. Процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или уста­новку дополнительного программ­ного обеспечения сотрудниками.

6. Устанавливаются дополни­тельные сервисы для контроля выполнения требований политики без­опасности.