Особенности создания политик информационной безопасности

Какими бы наилучшими и передовыми не были технические средства защиты информации, используемые в компаниях, потребность в четких пользовательских политиках безопасности является очевидной. Политика информационной безопасности – это краеугольный камень, на основе которого разрабатываются и внедряются эффективные методы защиты, оцениваются ожидания менеджмента и определяются приоритеты по управлению всей инфраструктурой безопасности организации. Несмотря на то, что организационные меры являются важнейшим компонентом общей архитектуры безопасности, про них часто забывают, опираясь только на практические инструменты и технические средства защиты.

В данной статье мы рассмотрим, как современные угрозы влияют на подход организаций к созданию своих регламентов безопасности, а также опишем основные этапы создания рекомендованных компонентов политик.

Новые бизнес-технологии проводят к новым угрозам

Политики безопасностиУспех потребительских устройств, таких как iPhone™, Android™ и iPad™ приводит к активному внедрению мобильных технологий для работы с корпоративными данными. При этом коммуникаторы, смартфоны и нетбуки предоставляют сотрудникам доступ к служебной информации в обход традиционных средств защиты, применяемых в организациях. Злоумышленники, зная об этом, используют различные тактики, чтобы обманом заставить пользователя выполнить необходимые им действия, например, перейти по небезопасной ссылке или открыть зараженный файл. Взлом легальных сайтов, подмена URL адресов, встраивание вредоносного кода в популярные форматы документов являются стандартными инструментами современного кибер-преступника. Неконтролируемые USB-накопители и карты памяти мобильных устройств могут привести к проникновению вирусов в корпоративные информационные системы, а обычные офисные документы стать запускным механизмом вредоносных программ. Один инфицированный смартфон способен внедрить троянскую программу в локальную сеть, которая выкрадет и отправит злоумышленнику пароли, персональные данные или другую конфиденциальную информацию организации.

Используя методики отдельных отраслей и международных стандартов, общий уровень защищенности компании можно повысить за счет создания политик и регламентов безопасности, а также применения механизмов контроля их исполнения. Для этого необходимо оценить актуальное состояние защищенности данных внутри организации, ответив на следующие вопросы:

Проанализировав результаты ответов на такие и подобные вопросы, можно получить информацию, какие современные технологии используют сотрудники в своей деятельности, к каким данным и ресурсам компании они имеют доступ и как это доступ предоставляется. Эти данные позволяют определить, какие процессы необходимо контролировать для обеспечения безопасного обращения к важным ресурсам.

Основные рекомендации по созданию политик безопасности

Эффективность политик безопасности напрямую зависит от действий пользователей. Компании, которые инвестируют значительные средства в передовые решения и услуги безопасности, по-прежнему уязвимы без четких и ясных политик, определяющих порядок использования корпоративных ресурсов. С другой стороны, регламенты не должны быть слишком строгими, чтобы не препятствовать выполнению бизнес-процессов.

Пароли

Пароли по-прежнему считаются одним из самых слабых звеньев в структуре безопасности многих организаций. Большинство пользователей все еще использует слабые пароли, которые легко взламываются методом грубой силы (например, в 2009 году 18-летний хакер взломал администраторский аккаунт Twitter, пароль при этом был «happiness»).

Любая политика должна определять, что пароли необходимо менять на регулярной основе и проверять на сложность и повторяемость. Так же должна присутствовать четкая технология сброса паролей, в случае если сотрудник покидает компанию или меняются его должностные обязанности.

Мобильные компьютеры

Для того, что упорядочить работу с коммуникаторами, смартфонами и другими переносными носителями, организации должны ввести политику, определяющую порядок использования мобильных устройств. Такая политика может запрещать использование мобильных устройств,  ограничивать их доступ к внутренней и внешней сети или требовать обязательного наличия программных средств (VPN клиентов) на всех смартфонах, планшетах и ноутбуках.

Кроме того, в регламентах может указываться необходимость шифрования данных, покидающих предприятие, чтобы критичная информация, хранящаяся на потерянных или украденных устройствах, не стала доступной неавторизованному пользователю.

Допустимое использование Интернета

Политика использования Интернета должна определять, как сотрудники будут получать доступ во всемирную сеть. В большинстве случаев организациям необходимо обеспечить безопасное совместное использование файлов (file sharing), фильтрацию посещаемых сайтов, ограничение web-почты и контроль передачи данных через Интернет.

Гибкость политики

Эффективная политика безопасности должна быть гибкой. Более жизнеспособным регламент будет тогда, когда он не привязан к конкретному оборудованию или программному обеспечению, а содержит общую идею безопасности и концепцию действий пользователей. Важным элементом являются механизмы обновлений содержания регламентов, которые включают в себя сам регулируемый процесс, а также персонал, участвующий в утверждении изменений. Обновления должны учитывать как обратную реакцию пользователей, так и современные тенденции в области технологий и безопасности.

Для повышения уровня защищенности корпоративной инфраструктуры мы рекомендуем выполнить следующие действия:

  1. Разработать комплексные, утвержденные политики, регулирующие порядок использования сотрудниками электронной почты, Интернета и программного обеспечения.
  2. Обучить сотрудников принципам борьбы с компьютерным пиратством. Обеспечить соблюдение чистоты лицензионного программного обеспечения.
  3. Донести, что электронная почта и доступ в Интернет строго используются в качестве корпоративных инструментов для служебных коммуникаций. Развернуто и четко объяснить каким образом, для чего используется каждый инструмент, а так же указать, что недопустимо делать с корпоративными ресурсами.
  4. Ознакомить каждого сотрудника под роспись с актуальной версией политики безопасности. По возможности иметь ответственного сотрудника, отвечающего за обучение постоянных и вновь прибывших кадров, отслеживающего необходимость нововведений и обновлений в корпоративных политиках.
  5. Уведомить всех сотрудников, что каналы связи, средства коммуникации и почтовые системы принадлежат организации. Если руководство контролирует электронную переписку и рабочую активность пользователей – сообщите об этом. Убедитесь, что сотрудники понимают, что их электронная почта может быть прочитана в любой момент без предварительного уведомления.
  6. Разработать этикет и правила ведения переписки посредством электронной почты для отправителей, получателей и отдельных групп сотрудников.
  7. Реализовать политику управления паролями, которая определяет порядок назначения, хранения, изменения и удаления учетных записей пользователей, а также описывает способы аутентификации.
  8. Создать политику безопасности корпоративных ресурсов. Введите в действие процедуры и инструменты, предназначенные для защиты от вторжений, утечек и потери данных.
  9. Внедрить решения для мониторинга действий пользователей, фильтрации электронной почты и использования Интернета, которые технологически дополнят утвержденные политики безопасности.

В тоже время следует избегать типичных ошибок при внедрении политик:

  1. Полагаться исключительно на электронную почту для уведомления сотрудников о корпоративных политиках безопасности и их нововведениях. Каждый сотрудник должен лично ознакомиться с утвержденными регламентами, расписаться и получить персональный экземпляр документов.
  2. Ожидать от сотрудников самостоятельного обучения. Необходимо регулярно проводить обучение сотрудников о том, что такое корпоративная безопасность, что необходимо делать в тех или иных случаях, и какие последствия могут быть при ее нарушении.
  3. Создавать отдельную политику для управленцев и привилегированных сотрудников. Необходимо применять общую политику безопасности и требовать ее выполнения от всех сотрудников. Руководящий персонал, как правило, и так имеет расширенные привилегии на своих рабочих станциях и ноутбуках, что часто приводит к их заражению вирусами и троянами.
  4. Игнорировать международные практики и рекомендации. Общепринятые стандарты безопасности уже включают принципы построения эффективных политик и регламентов, подходящих для той или иной отрасли.
  5. Назначить единственного человека, ответственного за выполнение политик безопасности всеми сотрудниками. Необходимо обозначить важную роль каждого руководителя подразделения в вопросе мониторинга поведения подчиненных сотрудников. Общий контроль соблюдения политик осуществляется сотрудниками службы безопасности и отделом кадров.
  6. Разрешить сотрудникам не всегда следовать корпоративным стандартам организации, признавая их незначительными или не имеющими законной силы. Убедитесь, что сотрудники понимают, что их компьютерная деятельность отслеживается. Отметьте, что нарушителей ждет дисциплинарное взыскание, вплоть до увольнения.

Политики безопасности должны оценивать эффективность применяемых технологических решений по защите данных, снижать информационные риски организации, упрощать администрирование  и контролировать затраты на безопасность. В целом, существует три основных направления угроз для корпоративной инфраструктуры, которые необходимо контролировать в первую очередь.

Доступ в Интернет

При внедрении механизмов контроля доступа определяются следующие положения:

Политика доступа в Интернет учитывает, в какой степени сотруднику необходим Web для работы. По сути, следует решить, ограничения будут разнесены по принципу черного списка (то есть сотрудники могут посещать все сайты, кроме тех, которые специально запрещены по имени или по предопределенным категориям) или белого списка (все сайты запрещены, за исключением нескольких, которые являются полезными для работы). Также организациям необходимо обеспечить защиту Web трафика от вирусов, шпионского ПО и фишинговых угроз. Применяемое решение должно контролировать доступ в Интернет посредством URL фильтрации, детальной проверки контента и исполнения утвержденной политики использования Web.

Электронная почта

Политики безопасности электронной почты могут применяться к различным пользователям на основе адресов отправителей, получателей, членства в группе или принадлежности к отдельному домену/набору доменов. В политиках определяются разрешенные типы вложений, формат писем, а также порядок и способы контроля электронной переписки.

Используемое решение по защите электронной почты должно иметь возможность управления внешними и внутренними подключениями, обеспечивать многоуровневую фильтрацию спама и проверять сообщения на наличие вредоносного программного обеспечения и фишинговых ссылок. Для применения правил обработки почты заголовки, тело и вложения писем необходимо сканировать на присутствие предопределенных или пользовательских ключевых слов, фраз, URL списков или буквенно-цифровых формул.

Мгновенные сообщения (IM)

В последнее время мгновенный обмен сообщениями стал одной из наиболее динамично развивающихся технологий, применяемых миллионами пользователей. Поэтому организациям необходимо решение, которое позволит своим сотрудникам безопасно и надежно обмениваться такими сообщениями в общественной сети. Продукты по защите систем обмена мгновенными сообщениями должны обеспечивать комплексный, экономически эффективный набор передовых возможностей, включая антивирус, URL фильтрацию, управление содержимым, отчетность и регистрацию сообщений. Кроме того, решение должно быть удобным в настройке и легким в управлении.

Альтернативным вариантом является частная IM сеть, способная надежно взаимодействовать со сторонними сетями. Внутренний обмен данными должен происходить по зашифрованным каналам, передаваемые файлы необходимо сканировать на наличие вирусов, а все сообщения фиксировать и записывать.

Заключение

Новые технологии будут появляться регулярно, ориентируясь на человеческие потребности, в том числе и бизнес задачи. К сожалению, прогресс таких технологий намного выше тенденции введения политик для защиты организаций. Соответственно организации уже не могут выстраивать защиту в зависимости от частных информационных угроз, а должны создавать общую концепцию модели безопасности.

Существует множество международных и отраслевых рекомендаций по внедрению корпоративной культуры поведения сотрудников, которые следует рассматривать как часть стратегии безопасности организации, в зависимости от ее вида деятельности. Политики безопасности должны четко давать понять сотрудникам, какие действия являются приемлемыми, а какие создают угрозу безопасности организации. Технологические решения должны не только уменьшать информационные риски, но и обеспечивать выполнение ключевых моментов политик безопасности сотрудниками как внутри компании, так и за ее пределами. Правильное сочетание строгих регламентов и технологий позволяет организациям защищаться как от текущих актуальных угроз, так и от будущих неизвестных вызовов безопасности.



СОВИТ

Аналитика

Архив

Новости

Архив