Написание эффективной политики безопасности (Часть 2)

Если вы пропустили первую статью этого цикла, перейдите по ссылке: Writing an Effective Security Policy (Part 1).

От и до:

Убедитесь в ясности того, кем была опубликована политика, и к кому она будет применена. Как объяснялось в предыдущей статье (в первой части), если она не предназначена для пользователя, сделайте ее частью дополнения, чтобы не было непонимания. Если политика опубликована высшим руководством, меньше вероятности, что она будет поставлена под сомнение.

Отдел кадров и его участие

Отдел кадров нужно привлекать к участию; там будут знать, какие юридические вопросы должны быть решены, и будут получать одобрение у юридического отдела или консультанта. Пусть план мероприятий будет понятным, и не позволяйте отделу кадров расслабляться во время работы с политикой безопасности. В отделе кадров также смогут давать советы по дисциплинарным мерам, познакомившись с политикой безопасности.

Если политика пишется для закрытия дыр при проверке, тогда внимание нужно обращать на то, чтобы не упоминать двусмысленные термины без уважительной причины. Такие широкие термины можно поместить в дополнение после проведения юридической проверки.

Если политика написана понятными пользователю словами, в случае возникновения спора не будет возможности утверждать, что значения были двусмысленны или сложны для понимания.

Применения политики безопасности

Политика может также использоваться в суде для доказательства того, что компанией были предприняты меры для предотвращения потерь и уменьшения рисков. Она также доказывает, что компания имеет этические и законные намерения. К примеру, политика, в качестве части обязательных элементов, подтверждать, что пользователи должны использовать только лицензионное программное обеспечение.

Один из элементов ISO 17799/27000

Серия ISO 27000 состоит из набора международных документов, которые помогают при создании политики. Это обширный и открытый документ, поэтому рекомендуется найти профессионала в этой области.

Другие элементы политики, общий список

• Заставьте участвовать высшее руководство
• Используйте здравый смысл
• Не забывайте о людях: убедитесь, что в политике учтен человеческий фактор, а также то, откуда люди к вам приходят; вряд ли вам хотелось бы нанимать грабителей, если вы управляете банком
• Придерживайтесь ясного и последовательного подхода, основанного на фактах
• Сделайте политику осуществимой
• Основывайте политику на международных документах вроде серии ISO 27000
• Подчиняясь законам и правилам, стремитесь достичь свои бизнес-цели
• Все исключения и детали являются дополнением и не должны быть частью основного документа
• Обновляйте документ хотя бы один раз в год, чтобы он соответствовал текущим требованиям
• Пишите ясно, прямо, четко и кратко
• Не используйте юридические термины и жаргон, сложный для понимания
• Вовлекайте в работу отдел кадров и юристов, получите подписи старшего руководства
• Заставьте старшее руководство публиковать политику
• Убедитесь, что пользователи прочитали и подписали политику
• Включите в работу все подразделения компании
• Убедитесь, что при образовании новых отделов используется та же политика
• Политика должна применяться и для пользователей оборудованием компании, как локальных, так и удаленных
• Убедитесь, что политика доступна на всех возможных языках
• Адаптируйте политику к корпоративной этике
• Определите все, это можно будет отправить в дополнение, так чтобы документ не выглядел как контракт
• Не забывайте, что политика также будет применяться к ресурсам компании
• Политика не должна зависеть от программного обеспечения и архитектурных решений
• Другие политики могут сформировать часть политики безопасности вроде AUP (Acceptable Usage Policy – политика допустимого использования)
• Охватите все элементы от первого до седьмого уровня модели OSI
• Опишите TCB (trusted Computing Base – достоверная вычислительная база) и поведение пользователя

Включите другие элементы политики, например:

• Доступность ресурсов и их расписание
• Система отчетности
• Аутентификационная политика для локального и удаленного доступа к логическим и физическим ресурсам компании
• Список контроля доступа, определяющий доступ к ресурсам компании
• Политика AUP
• Политика системы поддержки
• Аварийная политика
• Политика резервного копирования
• Антивирусная политика
• Антиспамовая политика
• Антипиратская политика
• План восстановления после аварии
• Политика последовательности в бизнесе
• Разделение обязанностей
• Политика оценки уязвимостей
• Политика обновления ПО
• Политика наименьшего уровня привилегий
• Политика паролей
• Политика наведения справок о сотрудниках
• Политика конфиденциальности данных
• Политика нововведений в ПО и архитектуре
• Политика локализации ресурсов
• Политика использования Интернета
• Политика использования электронной почты
• Политика передачи информации
• Политика безопасности рабочего стола
• Политика отслеживания действий пользователя
• Политика использования гостевого доступа
• Политика физической безопасности
• Политика использования мобильных компьютерных сред
• Политика беспроводного доступа

Хотя вышеприведенные политики выглядят довольно сложно, их можно изложить довольно кратко, кроме того, некоторые из них могут формировать одну часть документа при достижении достаточной ясности. Вышеприведенный список элементов политики можно собрать в одном документе и реализовать соответствующий технический контроль, построенный вокруг субъектов и объектов для достижения бизнес-целей.

Все соглашения с внешними сторонами также должны включать такие элементы, это гарантирует, что контрагента будет следовать такой практике, и это не будет подвергать опасности организацию. Изменения в политике организации должны оглашаться, третьи стороны предупреждаться, а также должно запрашиваться письменное подтверждение, что контрагент соглашается с политикой. В Великобритании намечается общая тенденция, при которой такая практика становится нормой при работе с правительственными организациями.

Когда политики безопасности прекращают существовать?

Политики, отправляемые по электронной почте, которые подписываются пользователем только тогда, когда он начинает работать на новой позиции и никогда позже, — это не хорошо. Когда документы по политике хранятся в шкафах отдела кадров, когда пользователь должен специально звонить для получения копии этих документов, знайте, что такая политика мертва. В противном случае ему не нужно было бы воскресать политику из глубин отдела кадров.

Политики, которые не поддерживаются в порядке, непонятны, не подходят многим пользователям, написаны сложным для понимания языком, не только опасны, но с ними вообще не ознакомятся и соблюдать их не будут. Политика должна быть на виду у людей, к которым она имеет отношение. Вообще правила должны быть в обязательном порядке прочитаны до начала деятельности. Причем это (прочтение политики или ее части) должно происходить каждый раз, когда происходят какие-либо изменения.

Что теперь?

Теперь вам следует всего лишь начать (если вы этого еще не сделали); если вы не уверены, где искать профессиональных помощников, есть специальные квалифицированные CISSP (Certified Information Systems Security Professional — сертифицированный профессионал в области систем информационной безопасности), а также множество ресурсов в Интернете, которые могут оказаться полезными. Помните о возможной помощи со стороны отдела кадров, возможно, у них уже есть базовая политика, которую нужно всего лишь расширить. Поскольку вам нужно стремиться к достижению бизнес-целей, и вы знаете, какое поведение пользователей нужно организации, вы находитесь на пути к написанию эффективной сетевой политики.

Ссылка: http://www.faqs.org/rfcs/rfc2196.html

Итоги

Во второй статье мы сконцентрировались на элементах политики и причинах, по которым отдел кадров и юристы должны привлекаться к созданию политики безопасности. Также мы описали общие моменты политики безопасности, которые можно распечатать в качестве руководства при обдумывании и написании собственной политики. Я надеюсь, что этот цикл статей был для вас полезен, что теперь вы подобрались ближе к расширению политики безопасности своей компании.

Источник www.windowsecurity.com

• Пользовательские политики
• Маршрутизация Windows 2008
• Управление папками в Windows vista
• Как выключить службу рабочая станция?
• Политика безопасности контроллера домена