Стратегия забезпечення Інформаційній Безпеки предприятия

Северный Інститут Предпринимательства.

Кафедра гуманітарних дисциплин.

Курсова работа.

По дисципліни «Стратегічний менеджмент» На тему «Стратегія забезпечення інформаційну безпеку підприємства «.

Виконав студент 2 курса.

Денного отделения.

Спеціальності Менеджмент.

Шатеневский О.А.

Перевірив — Коновалов И.В.

р. Архангельськ 2004 г.

|Введение |3 | |Що таке інформаційна безпека продукції та її мети |5 | |Розробка та впровадження ефективних політик інформаційної безопасности|6 | |Чинники, що визначають ефективність політики безпеки |7 | |Оцінка ризику |10 | |Рекомендації з розробки й впровадженню ефективних політик |12 | |Створення сприятливого середовища |14 | |Життєвий цикл політики безпеки |18 | |Приклад невдалої політики |21 | |Приклад управлінської політики організації |22 | |Укладання |26 | |Література |27 |.

Діяльність будь-який організації у час пов’язані з отриманням і передачею інформації [1]. Інформація нині є стратегічно важливим товаром. Втрата інформаційних ресурсів чи заволодіння секретної інформацією конкурентами, зазвичай, завдає підприємству значний збитків і навіть можуть призвести до банкрутства [1].

Останні 20 років інформаційні технології (ІТ) пробралися на все сфери управління та ведення бізнесу [3]. А сам бізнес з реального світу, давно перетворюється на світ віртуальний, тож дуже залежний від вірусних, хакерських та інші атак. За даними Інституту Комп’ютерної Безпеки загальний збитки, яку заподіяли комп’ютерні віруси протягом останніх 5 років, оцінюється як мінімум 54 млрд. доларів, а, по даним сайту SecurityLab.ru лише останні 10 днів лютого (2004 рік) віруси «з'їли «астрономічну суму — близько 50 мільярдами доларів. З початком епідемії MyDoom Міністерство національної стратегії безпеки США взагалі прировняла вірусні епідемії до тероризму. Розробники ПО швидко реагують на атаки, але постфактум, а чи не заздалегідь. Поки що існує засобів захисту від глобальних епідемій вирусов.

Перші злочини відбуваються з використанням комп’ютерна техніка з’явилися торік у Росії у 1991 р., коли було викрадено 125,5 тис. доларів у Зовнішекономбанку СРСР. У 2003 року у Росії порушено 1602 кримінальних справи з ст. 272 («Неправомірний доступом до комп’ютерної інформації») і 165 («Заподіяння майнової шкоди через обман і зловживання довірою ») КК РФ [8].

З 1999 року з’явилася ще одне питання інформаційну безпеку (ВБ) — Спам. Це анонімна масова непрошена розсилання. Нині чинні близько 30% всіх електронних листів є спамом. Повінь спаму призводить до щорічним збитків, оціненим до 20 мільярдами доларів. Спам не більше компанії, призводить до збитків від 600 до 1000 доларів, з розрахунку одного пользователя. 2] «Спам — це архіважлива проблема, що загрожує звести нанівець більшу частину переваг електронної пошти » , — пише Білл Гейтс у одному з своїх регулярних e-mail-обращений до заказчикам.

Також широко поширюється зараз промисловий шпигунство — пристрій вартістю всього 10 $, у разі вдалого розміщення, можуть призвести фірму до банкрутства. Останнім часом почастішали зломи комп’ютерних мереж (наприклад не санкціонованого доступу (НСД) до інформації, оброблюваної на ПЕОМ) [1].

Нині зловмисники можуть одержати доступ як до відкритої інформації, до інформації, що містить державну (2003 року ФСБ припинено більш 900 спроб проникнення інформаційні ресурси органів структурі державної влади Росії [5]) і комерційну тайну.

Із усього вищесказаного можна дійти невтішного висновку, що у сьогоднішній ситуації підприємства вже повинні мати стратегію ВБ, які мають містити комплексний підхід, здійснювати контроль всіх параметрів ВБ плюс підготовку до будущему.

Мета цієї роботи розглянути стратегію ВБ підприємства у вигляді системи ефективних політик, які визначали б ефективний і достатній набір вимог безопасности.

Завдання — встановити фактори ефективності ПБ, описати схему розробки і впровадження ПБ, описати життєвий цикл ПБ, розкрити питання створення сприятливого середовища, у якій упровадяться ПБ.

1. Що таке стратегія інформаційну безпеку і її цели.

Проаналізувавши досить багато літератури, я — не знайшов чіткого визначення ВБ, тому сформулював своє - інформаційна безпеку це комплекс заходів для гарантуванню безпеки інформаційних активів підприємства. Найголовніше у тому визначенні те, що ВБ можна забезпечити лише тоді комплексного підходу. Дозвіл якихось окремих питань (технічних чи організаційних) не вирішить проблеми ВБ в цілому, та як раз цього головного принципу більшість сьогоднішніх керівників не розуміють і унаслідок чого є жертвами злоумышленников.

Стратегія — засіб досягнення бажаних результатів. Комбінація з запланованих діянь П. Лазаренка та швидкого розв’язання з адаптації фірми до нових можливостям отримання конкурентних переваг і новим загрозам ослаблення її конкурентних позицій [9]. Тобто стратегію інформаційну безпеку (СИБ) потрібно визначати з урахуванням швидкого реагування налаштувалася на нові погрози та возможности.

Серед цілей ВБ головними можна назвати следующие:

Конфіденційність — забезпечення інформацією лише про тих людей, які уповноважені щоб одержати такого доступу. Зберігання і перегляд цінної інформації лише з тими людьми, хто з своїм службових обов’язків і повноважень призначений для этого.

Цілісність — підтримку цілісності цінної і секретної інформації означає, що вона захищена від неправочинною модифікації. Існують безліч типів інформації, які мають цінність тільки тоді, ми можемо гарантувати, що вони правильні. Головна мета інформаційної політики безпеки має гарантувати, що була пошкоджена, зруйнована чи змінена будь-яким способом.

Придатність — забезпечення здобуття права інформація, і інформаційні системи доступні і готові на експлуатацію завжди, тільки-но вони знадобилися. І тут, головна мета інформаційної політики безпеки мусить бути гарантія, що завжди доступна і підтримується перебуває у придатному состоянии.

2. Розробка та впровадження ефективних політик інформаційної безопасности.

Відомо, що із забезпеченням ВБ переважно російських компаній у нього не дуже добре. Спілкування з фахівцями та результати статистичних досліджень лише зміцнюють цю думку. Більшість організацій регулярно зазнають збитків, пов’язані з порушенням ВБ, неспроможні оцінити збитки чи навіть знайти з цих порушень. Тим паче не йдеться про реалізацію у сприйнятті сучасних російських організаціях повноцінної процедури управління ризиками ВБ. Більшість фахівців-практиків навіть беруться за цю «непосильну «завдання, воліючи керуватися при рішенні проблем ВБ виключно власним досвідом та інтуїцією. Збитки від порушень ВБ можуть виражатися в відпливу конфіденційної комп’ютерної інформації, втрати робочого дня На оновлення даних, ліквідацію наслідків вірусних атак тощо. Збитки можуть також виражатись і цілком конкретними «круглими сумами », наприклад, коли йдеться про потенційне шахрайство у фінансовому сфері зі використанням комп’ютерних систем.

Політики безпеки (ПБ) лежать у основі організаційних заходів захисту інформації. Від його ефективності найбільше залежить успішність будь-яких заходів щодо забезпечення ВБ. Часто доводиться зіштовхуватися з неоднозначністю розуміння терміна «політика безпеки ». У сучасному практиці забезпечення ВБ термін «політика безпеки «може вживатися як і широкому, і у вузькому значенні слова. У широкому значенні, ПБ окреслюється система задокументованих управлінські рішення по забезпечення ВБ організації. У вузькому значенні під ПБ зазвичай розуміють локальний нормативний документ, визначальний вимоги безпеки, систему заходів, або порядок дій, і навіть відповідальність співробітників і механізми контролю для певній галузі забезпечення ВБ. Прикладами таких документів можуть бути «Політика управління паролями », «Політика управління доступом до ресурсів корпоративної мережі «, «Політика забезпечення ВБ при взаємодії з мережею Інтернет «тощо. Використання кількох спеціалізованих тих нормативних документів зазвичай є краще створення «Спільного посібники з забезпечення ВБ організації «. Наприклад, в компанії Cisco Systems, Inc. намагаються, щоб розмір ПБ не перевищував 2 сторінок. У окремих випадках розмір ПБ може становити 4−5 сторінок. Змістовна частина типовий російськомовної ПБ звичайно перевищує 7 сторінок. Такий підхід, проте, який суперечить і творення об'ємних Посібників, Положень і Концепцій щодо забезпечення ВБ, містять посилання безліч спеціалізованих ПБ і увязывающих в єдину систему організаційних заходів для захисту информации.

Далі йдеться про існуючих підходах до розробки ефективних ПБ, без яких не можна створення комплексної системи забезпечення ВБ організації та розробки стратегії ВБ. Як показано, ефективність ПБ визначається якістю самого документа, що має відповідати поточному стану справ у створенні й уміти враховувати основні засади забезпечення ВБ, викладені нижче, і навіть правильністю і закінченістю процесу впровадження [6].

2.1. Чинники, що визначають ефективність політики безопасности.

Ефективні ПБ визначають необхідний і достатній набір вимог безпеки, дозволяють зменшити ризики ВБ до прийнятною величини. Вони надають мінімальне впливом геть продуктивності праці, враховують особливості бізнес-процесів організації, їх підтримує керівництво, позитивно сприймаються і виконуються співробітниками организации.

Під час розробки ПБ, яка «не впаде під власним вагою », треба враховувати чинники, що впливають успішність застосування заходів забезпечення безопасности.

Безпека перешкоджає прогрессу.

Заходи безпеки накладають обмеження до дій користувачів і адміністраторів ІС та у випадку призводять до зниження продуктивності праці. Безпека є витратною статтею в організацію, як і кожна інша форма страхування рисков.

Людська природа завжди породжує бажання одержання більшої кількості інформації, спрощення доступу до неї і зменшення часу реакції системи. Будь-які заходи для безпеки певною мірою перешкоджають досягнення цих природних желаний.

Уявіть собі ситуацію очікування перемикання сигналу світлофора. Вочевидь, що світлофор призначений задля забезпечення безпеки дорожнього руху, та якщо рух щодо пересічної дорозі відсутня, це очікування виглядає стомливою тратою часу. Людське терпіння має межа і якщо світлофор так важко переключається, те в багатьох виникає бажання проїхати на червоний. Зрештою, світлофор то, можливо несправний, або подальше очікування є неприемлемым.

Аналогічно, кожен користувач ІВ має обмеженим запасом терпіння, щодо прямування правилам політики безпеки, досягнувши якого він перестає цих правил виконувати, вирішивши, що це точно в його інтересах (в інтересах дела).

Політики, не враховують впливу, що вони надають на продуктивності праці користувачів і бізнес-процеси, у кращому разі, можуть призвести до брехливому почуттю захищеності. У разі такі політики створюють додаткові проломи у системі захисту, коли «хтось починає рухатися на червоне світло » .

Слід враховуватиме й мінімізувати вплив ПБ на виробничий процес, дотримуючись принцип розумної достаточности.

Навички безпечної поведінки купуються у процесі обучения.

На відміну, скажімо, від інстинкт самозбереження, забезпечення ВБ не є інстинктивним поведінкою. Це функції вищого рівня, потребують навчання дітей і періодичного поддержания.

Процедури забезпечення безпеки звичайно є інтуїтивними. Без відповідного навчання користувачі ІВ можуть усвідомлювати цінність інформаційних ресурсів, ризики та розміри можливої шкоди. Користувач, яка має ставлення до критичності інформаційних ресурсів (чи причинах, за якими їх слід захищати), швидше за все, вважатиме відповідну політику нерозумної. Навіть деякі навички самозбереження вимагають навчання. (Діти спочатку не знає, що до того, як переходити за кілька кроків, треба подивитися спочатку наліво, і потім — направо). На відміну від інстинктивного, це приклад свідомого поведения.

Керівництво організації слід просвіщати з питань, що стосується цінності інформаційних ресурсів, асоційованим із нею ризиків і лобіювання відповідних політик безпеки. Якщо керівництво не знайоме з політикою безпеки чи з її обгрунтуванням, годі розраховувати на підтримку. Звісно, керівництву непотрібен знати технічних деталей забезпечення ВБ і конкретні правил, предписываемых політиками. Досить сфокусувати його на можливі наслідки порушень безпеки і що з ними втрати для организации.

Слід здійснювати безперервну роботу з навчання співробітників і підвищенню поінформованості керівництва організації у питаннях гарантування ИБ.

Порушення політики безпеки є неизбежными.

У випадку великих фундацій в ИТ-процессы залучено дуже багато людей, більшості з яких вимоги ПБ є не очевидними. Що складніший користувачам ІВ пристосуватися до встановленої політиці, проте імовірною є його працездатність. На початковому етапі вимоги ПБ напевно порушуватися, та й у майбутньому повністю уникнути цього удастся.

Необхідно здійснювати безперервний контроль виконання правил ПБ як на етапі її втілення, і у подальшому, фіксуватиме порушення і розумітися на їх причинах.

Однією з основних форм цього контролю є регулярна проведення як внутрішнього, і зовнішнього аудиту безопасности.

Щоб залишатися ефективної, політика безпеки зобов’язана совершенствоваться.

Навіть якщо взяти ви змогли розробити і впровадити ефективну політику безпеки, робота у цьому не закінчується. Забезпечення ВБ — безперервний процес. Технології стрімко змінюються, існуючі системи застарівають, а багато процедури згодом втрачають ефективність. Політики безпеки повинні безупинно вдосконалюватися у тому, щоб залишатися эффективными.

Працездатність і ефективність існуючих політик повинні регулярно перевірятися. Застарілі політики повинні переглядатися [6].

2.2. Оцінка риска.

Перед прийняттям будь-яких прийняття рішень щодо стратегії інформаційної безпеки організації (як у тривалий, і на період часу) ми мають визначити ступеня унікальних рисков.

Поки організація має інформацію, представляє цінність вам і ваших конкурентів (і може, і «випадкових» хакерів), вона ризикує втратою цієї інформацією. Функція будь-якого інформаційного механізму контролю безпеки (технічного чи процедурного) і має належати до обмеження цього ризику заздалегідь обраним прийнятним рівнем. Звісно, це істинно й у захисної політики. Політика це механізму контролю за існуючими ризиками і бути призначена й розвинена у у відповідь наявні і можливі ризики. Отже, всебічне здійснення оцінки ризику бракує має бути першої стадією процесу створення політики. Оцінка ризику повинна ідентифікувати найслабші області вашої системи та повинна використовуватися визначення подальших цілей і средств.

Оцінка ризику є комбінацію величин, залежать від кількості інформаційних ресурсів, мають певну цінність для організації, і уязвимостей, придатних від використання щоб одержати доступу до цих ресурсів. Власне, величина унікального ризику для конкретної інформації - ставлення цінності цієї інформації до кількості способів, якими дана інформація то, можливо уразлива у структурі вашої корпоративної мережі. Вочевидь, чим більше виявляється отримана величина, то більші кошти варто скерувати вашої організації на «затикання» цієї дыры.

Звісно, це надто спрощено і утрировано. Так, розробки політики неминуче виникнуть питання, деякі ресурси, хоча й мають вам цінність, би мало бути вільно доступні з Інтернету, або доступу до них повинен мати і ваші комерційні партнери. Але, загалом, хоч і із певною умовністю, застосовується саме описаний підхід. Політика, що враховує занадто багато чинників, чимало з яких абсолютно неактуальні, нічим не краще політики, яка помилково не враховує якогото важливого умови. Розробка політики безпеки є спільним справою керівництва компанії, які мають точно визначити цінність кожного інформаційного ресурсу і на безпеку коштів, і системних адміністраторів, які мають правильно оцінити існуючу вразливість обраної информации.

Після цього, відповідно до основним ризикам політики, пропонується розподіл коштів, виділених на безпеку. Далі системні адміністратори повинні визначити способи зниження уразливості інформаційного ресурсу і, базуючись на цінності цього ресурсу, узгодити із тодішнім керівництвом застосовувані методи. Під методами мається на увазі як написання чи придбання і установка необхідних програм, тож устаткування, а й навчання персоналу, розробка посадових інструкцій і визначення відповідальності право їх невиконання [2].

2.3. Рекомендації з розробки й впровадженню ефективних политик.

Облік основних чинників, які впливають ефективність ПБ, визначає успішність її розроблення та впровадження. Наведені нижче рекомендації містять основні засади створення ефективних политик.

Мінімізація впливу політики безпеки на виробничий процесс.

Впровадження ПБ практично завжди пов’язані з створенням деяких незручностей для співробітників і зниженням продуктивності бізнес процесів. (Проте правильна система заходів ВБ підвищує ефективність бізнес процесів організації з допомогою значного підйому рівня ВБ, що є однією з основних показників ефективності). Вплив заходів ВБ на бізнес процеси необхідно мінімізувати. У той самий час годі прагнути зробити заходи ВБ абсолютно прозорими. Щоб зрозуміти, який вплив політика триватиме працювати організації, й уникнути «вузьких місць », слід залучати до розробки Основних напрямів представників бізнес підрозділів, служб технічної підтримки та подорожчання всіх, хто безпосередньо коснется.

ПБ — продукт колективної творчості. Рекомендується включати у склад робочої групи наступних співробітників организации:

. керівника вищого звена;

. керівника, відповідального на впровадження і місцевого контролю виконання вимог ПБ;

. співробітника юридичного департамента;

. співробітника служби персонала;

. представника бізнес пользователей;

. технічного писателя;

. експерта для розробки ПБ.

До складу робочої групи може входити від 5 до 10 людина. Розмір робочої групи залежить від розміру організації та широти проблемної області, охватываемой ПБ.

Безперервність обучения.

Навчання користувачів і адміністраторів інформаційних систем є найважливіша умова успішного впровадження ПБ. Тільки свідоме виконання вимог ПБ призводить до позитивному результату. Навчання реалізується шляхом всіх користувачів з ПБ під розпис, публікації ПБ, розсилки користувачам інформаційних листів, проведення семінарів і презентацій, і навіть індивідуальної роз’яснювальної роботи з порушниками вимог ПБ. У разі потреби на порушників безпеки накладаються стягнення, передбачені ПБ і правилами внутрішнього распорядка.

Користувачі інформаційних систем мусимо знати кого, у випадках і як треба інформувати про порушення ВБ. Але це на повинен скидатися на доносительство. Контактна інформація осіб, відповідальних за реагування на інциденти, мусить бути доступна кожному пользователю.

Безперервний контроль і реагування до махлярства безопасности.

Контроль виконання правил ПБ може здійснюватися шляхом проведення планових у рамках заходів із аудиту ИБ.

У організації мають бути передбачені заходи для реагування на порушення правил ПБ. Ці заходи мають передбачати оповіщення про інциденті, реагування, процедури відновлення, механізми збору доказів, проведення розслідування і порушника до відповідальності. Система заходів для реагування на інциденти, мусить бути скоординована між ИТ-департаментом, службою безпеки і службою персонала.

Політики мають наскільки можна носити не рекомендаційний, а обов’язкового характеру. Відповідальність порушення політики мусить бути чітко визначено. За порушення ПБ мають бути передбачені конкретні дисциплінарні, адміністративні стягнення і матеріальна ответственность.

Постійне вдосконалення політик безопасности.

ПБ перестав бути набором назавжди і безповоротно певних прописних істин. Не варто намагатися шляхом упровадження ПБ вирішити відразу всі проблеми ВБ. Політика є наслідком узгоджених рішень, визначальних основні вимогами з забезпечення ВБ й відбивають існуючий рівень розуміння цієї проблеми, у організації. Щоб залишатися ефективної ПБ повинна періодично коригуватися. Слід визначити відповідальність у підтриманні ПБ в актуальному безпечному стані й призначені інтервали її перегляду. Політика мала бути проста і зрозумілої. Слід уникати ускладнень, що зроблять політику непрацездатною. З цієї причини вони повинні бути довгою. Інакше більшість користувачів не зможуть дочитати до кінця, і якщо й дочитают, то ми не запам’ятають про що ній говорится.

Підтримка керівництва организации.

На етапі впровадження ПБ вирішальне значення має тут підтримка керівництва організації. ПБ вводять у дію наказом керівника організації та процес її втілення повинен перебуває в нього з боку контролі. У ПБ мусить бути явно прописана занепокоєність керівництва питаннями забезпечення ВБ. З боку координатора робочої групи з розробки ПБ керівництву організації мали бути зацікавленими розтлумачено ризики, що у разі відсутності продукції ПБ, а передбачені ПБ заходи для ВБ мали бути зацікавленими економічно обгрунтовані [6].

2.4. Створення сприятливою среды.

Ми дійшли висновку, що ефективність захисної політики пропорційна підтримці, що вона одержує у організації. Отже, критично важливою умовою для на успіх галузі захисту організації стає організація праці та створення організації атмосфери, сприятливою для створення й підтримки високого пріоритету інформаційну безпеку. Чим крупніша організація, тим паче важливою стає підтримка співробітників. Далі запропонують кілька речей, які можна зроблено для гарантія цілковитої підтримки ПБ керівництвом організації, що має істотно збільшити ефективність политики.

Підтримка управления.

я вже згадував звідси раніше, але готовий підкреслити знову. Найстрашніше важке, із чим можемо зіштовхнутися у процесі становлення захисної політики — це переконати керівництво нашої організації у необхідності комп’ютерної безпеки втягнути в той процес, бути причетною до створенню захисної політики (поки не вдарить, мужик не перехреститься, тобто. у разі керівництво грошей дасть). Тут неможливо запропонувати універсального методу, всі у тому випадку залежить від вашої переконливості і до ведення переговорів. Прикладом може послужити питання цього плану: Чи готовий Бізнес істотно витратиться на захист інформації про собі і вони право на захист сервісу, у якому грунтується управління компанією [7]? Можливо, допомогти наводили аргументи можуть що їх вами тестові перевірки уразливості, і навіть демонстрація при керівництві уразливості комп’ютерного захисту. У кожному разі, без підтримки високого керівництва політика неспроможна процвітати, у разі відмови годі намагатися робити це свій острах і зростає ризик — цей задум приречена на провал.

Організаційна структура.

Незалежно від розмірів організації, захисна політика повинна завжди мати власника. Тоді як права, обов’язки, і навіть назва посади можуть змінюватися від організації до організації, його роль мусить бути незмінна. Давайте, приміром, назвемо цієї людини «керівник охорони» чи «security officer». Це — відповідальний керівник, в обов’язки якого входить стежити створенням, розподілом, і виконанням політики безпеки. У цьому сенсі «керівник охорони» виконує роль посередника між управлінням і користувальницької масою. Вочевидь, що людина повинен підпорядковуватися лише вищого керівництва компанії - генерального директора, президента чи раді директоров.

Оскільки «керівник охорони» зрештою несе загальну відповідальність за інформаційну безпеку компанії, у тому щоб матимуть можливість обстоювати національні інтереси інформаційну безпеку в деяких випадках он (она) навіть то, можливо членом правління. Зазвичай, більшість маленьких чи середніх організацій що неспроможні дозволити собі окрему посаду «керівника охорони», й у разі можливо суміщення посад. Проте, незалежно від розмірів організації, роль «керівника охорони» мусить бути ясно призначена та його обов’язки повинні бути чітко сформулированы.

Фінансова поддержка.

Процес створення безпеки завжди вимагав дотримуватися й вимагатиме інвестицій тимчасових витрат, людських ресурсів і фінансів. Без достатнього фінансового забезпечення будь-яке, навіть найправильніше і перспективне зусилля у сфері зазнає невдачі. І ця істина стосується й створенню захисної политики.

У розподілі фондів до створення політики ми знову бачимо цінність всебічної оцінки ризику бракує. При належному чином здійсненого оцінці ризиків ми маємо отримати чіткі показники різних ризиків, яким піддаються інформаційні ресурси вашої організації, потенційні фінансових втрат, що ви можете понести у разі, можливий шкода і наслідки, й ролі, яку політика може грати пом’якшення цього ризику і мінімізації втрат. Ці показники, разом із розумінням цінності ваших інформаційних ресурсів (які теж можна оціночно отримати) має забезпечити досить аргументів для фінансових інвестицій у безопасность.

Культура безопасности.

Ланцюг завжди міцна настільки, наскільки міцно у ній найслабше ланка, а найслабшу ланку у системі безпеки — кінцевий користувач. На будь-яку вашу рішення щодо безпеки завжди знайдеться якийсь діяч з співробітників, який зуміє знайти протидія. Він може почуватися у своїй хіба що генієм комп’ютерів, не усвідомлюючи найчастіше, якої шкоди він завдає своїми діями безпеки власної організації. Якщо ваші користувачі не розуміють цінності ваших інформаційних ресурсів, ми можемо, звісно, мати з ними війну, але він спочатку приречена провал. Ви мусять створити культуру безпеки у вашому організації, чому чудово сприяє що є політика безпеки. Далі наведено стислі стратегії, які можна (і треба) использовать:

Навчання користувачів — адміністратори можуть почати «внутрішню рекламну кампанію», яка пояснює цінність загальної безпеки, ризики, з якими зіштовхнуться, роль політики й обов’язки індивідуальних пользователей.

Акцентування увагу менеджерах — ці керівники нижчої ланки зазвичай і встановлюють «правил гри» на свої підлеглих і найбільш несамовито вимагають виконання запропонованих речей, в справедливість яких вони особисто вірять. Якщо примусити їх в потреби у безпеки, то вважайте, що половині боротьби выиграна.

Підтримувати співробітників — службовці, здебільшого, лояльні компанії, у якій працюють. Потрібно бути чесними зі штатом співробітників у питаннях безпеки і його вплив на добробут організації. Це зазвичай допомагає знизити час, необхідне персоналу для перебудови до нових реалій роботи. Одне з способів у тому, щоб щодня (еженедельно/ежемесячно) розсилати результати оцінок безпеки і ревізій. Треба абсолютно відвертими з персоналом про випадках вірусних атак, зломів та інших інцидентах безопасности.

Позитивні емоції - оскільки добре розроблена політика може (і повинна) враховувати витрати за навчання і підтримку персоналу, то деякі співробітники тепер мають бути винагороджені за пильність чи навіть хороше виконання вимог безпеки. Цих співробітників можна відібрати за результатами проверок/ревизий, регулярних сисадминами. У багатьох організацій вже найкоротший час переважна більшість співробітників прагнутиме отримати ці, хай і невеликі, але дуже не приємні премії. Неминуче, безпеку організації у своїй різко збільшується, а таку систему нагород буде прекрасним доповненням до системи штрафів за дії, які ведуть порушень інформаційної безопасности.

Негативні емоції - якщо стимул отримання додаткових премій не впливає що на деяких співробітників, можна розглянути метод досягнення цієї мети іншим шляхом. У організації слід розробити система стягнень з недбайливих і недбайливих співробітників. Усе це, як ми сьогодні вже говорили, має бути прописано у політиці. Фактично, метод батога і пряника з часів римської Імперії і нині був і є дуже действенным.

Прийняття політики й одержання підписи від кожної співробітника — кожен співробітник зобов’язаний ознайомитися з політикою безпеки і підписатися під ній. Фактично, у нашій російському менталітеті саме це змушує співробітників уважно прочитати і зрозуміти документ. На разі порушення саме це дає законне юридичне декларація про стягнення з співробітника [2].

2.5. Життєвий цикл політики безопасности.

Розробка ПБ — тривалий і трудомісткий процес, що вимагає високого професіоналізму, чудового знання нормативної бази галузі ВБ і, крім іншого, письменницького таланту. Цей процес відбувається зазвичай займає багато місяці і не завершується успішно. Координатором цього процесу є фахівець, яку керівництво організації покладає відповідальність забезпечення ВБ. Ця відповідальність зазвичай концентрується на керівника Відділу інформаційну безпеку, Головному офіцера по інформаційну безпеку (CISO), Головному офіцера безпеки (CSO), ИТ-директоре (CIO), або на керівника Відділу внутрішнього аудиту. Цей фахівець координує діяльність робочої групи з розробки і впровадженню ПБ протягом усього життєвого циклу, що складається з п’яти послідовних етапів, описаних ниже.

1. Початковий аудит безопасности.

Аудит безпеки — це процес, від якого починаються будь-які планомірні дії щодо ВБ у створенні. Він містить у собі проведення обстеження, ідентифікацію загрозам міжнародній безпеці, ресурсів, потребують захисту й оцінку ризиків. У результаті аудиту виробляється аналіз поточного стану ВБ, виявляються існуючі уразливості, найбільш критичні області функціонування та найбільш чутливі до загроз ВБ бізнес процессы.

2. Разработка.

Аудит безпеки дозволяє зібрати і узагальнити відомості, необхідні і розробити ПБ. З результатів аудиту визначаються основні умови, вимоги, і базова система заходів для забезпечення ВБ у створенні, дозволяють зменшити ризики до прийнятною величини, які оформляються в вигляді узгоджених у межах робочої групи прийняття рішень та затверджуються керівництвом организации.

Розробка ПБ від початку який завжди є хорошою ідеєю. Багато випадках можна скористатися б існуючими напрацюваннями, обмежившись адаптацією типового комплекту ПБ до специфічним умовам своєї організації. Цей шлях дозволяє заощадити кілька місяців праці та підвищити якість розроблюваних документів. З іншого боку, якого є єдино прийнятним у разі відсутності у організації таких ресурсів для кваліфікованої розробки ПБ.

3. Внедрение.

З найбільшими труднощами вони зіштовхуються на етапі впровадження ПБ, яке, зазвичай, пов’язаний із необхідністю рішення технічних, організаційних і дисциплінарних проблем. Частина користувачів можуть свідомо, чи несвідомо опиратися запровадження нових правил поведінки, яким тепер необхідно слідувати, і навіть програмнотехнічних механізмів захисту, у тому чи іншою мірою неминуче що обмежують їхні вільний доступом до інформації. Адміністраторів ІВ може дратувати необхідність виконання вимог ПБ, ускладнюють завдання адміністрування. До того ж можуть бути і технічні проблеми, пов’язані, наприклад, із повною відсутністю в використовуваному ПО функціональності, яка потрібна на окремих положень ПБ.

На етапі впровадження необхідно непросто довести зміст ПБ до відома всіх співробітників, але й провести навчання й дати необхідні роз’яснення котрі сумніваються, які намагаються обійти нові правил і продовжувати працювати по старому.

Щоб впровадження завершилося успішно, має бути створена проектна група з впровадженню ПБ, діюча за узгодженим плану згідно із встановленими термінами виконання работ.

4. Аудит і контроль.

Дотримання положень ПБ повинно бути обов’язковим всім співробітників це має безупинно контролироваться.

Проведення планового аудиту безпеки одна із основних методів контролю працездатності ПБ, що дозволяє оцінити ефективність впровадження. Результати аудиту можуть бути основою перегляду деяких положень ПБ і у яких необхідних корректировок.

5. Перегляд і корректировка.

Перша версія ПБ звичайно повною мірою відповідає потребам організації, проте розуміння цього настає із досвідом. Найімовірніше, після контролю над процесом впровадження ПБ з оцінкою ефективності застосування сили знадобиться здійснити ряд доробок. На додачу до цього, використовувані технологій і організація бізнес процесів безупинно змінюються, що призводить до необхідності коригувати існуючі підходи забезпечувати ВБ. Найчастіше щорічний перегляд ПБ є, яка встановлюється самої політикою [6].

2.6. Приклад невдалої политики.

Щоб продемонструвати, як неефективні політики безпеки, чи їх відсутність, роблять систему забезпечення ВБ непрацездатною, розпочнемо з розгляду простих прикладів невдалих (неефективних) ПБ. Цими прикладах побачимо, що невдалі ПБ (не відповідні критеріям ефективності), призводять до зниження продуктивність праці користувачів інформаційної системи (ІВ) і, створюючи ілюзію «удаваної захищеності «, лише погіршує загальний стан справ із забезпеченням ВБ в организации.

Крадіжка оборудования.

Виробник електроніки придбав дуже дороге тестове обладнання використання їх у виробництві. Відділ безпеки вирішив, що з забезпечення схоронності цього устаткування необхідно обмежити доступу до нього лише кількома співробітниками. На вході у приміщення зі устаткуванням було встановлено дорогі електронні замки зі смарткартами. Тільки старшому менеджеру було видано ключі від того приміщення. На виконання своїх зобов’язань, крім старшого менеджера, доступ в приміщення зі устаткуванням був потрібен ще співробітникам, які мали власних ключів і супроводжувалися до цього приміщення старшим менеджером.

Спочатку вимоги даної політики сумлінно виконувалися. Проте невдовзі менеджеру набридло виконувати функції супроводу співробітників. Продуктивність праці знизилася тому, що менеджер періодично опинявся недоступний, крім нього, нікому було відкривати приміщення. Відділ безпеки відмовився задовольнити прохання менеджера про видачі додаткових ключів. У результаті було досягнуто неформальна домовленість у тому, що ключі будуть оставляться у шухляді столу. Наслідки не змусили на себе довго чекати …

Якось, коли менеджер і його працівники на зборах, устаткування вкрали. Ключ теж знайти вдалося. Відділ безпеки зробив розслідування, яке, проте, успіхом не увінчалося. Після цього вирішувалося питання покарання менеджера, відповідального за зберігання ключа.

Просуммируем результати впровадження даної политики:

. Було втрачено дороге оборудование.

. У менеджерів і працівників організації склалося украй негативний ставлення до будь-яких заходам та політиків забезпечення безопасности.

. Злодіям вдалося уникнути ответственности.

. Дорогі захисту не принесли позитивного результата.

. Ця ПБ зазнала невдачі, вона була незручною для співробітників, й підвищити вимоги цієї політики було б легко обойти.

Розробники даної політики проігнорували її на продуктивність праці. Цією помилки можна було б уникнути, коли вони втягли у процес її розробки співробітників организации.

Відділ безпеки теж зауважив (або побажав помітити) те що, що вимоги даної ПБ не відповідали бізнес-процесів організації. Наявність внутрішнього контролю за впровадженням даної ПБ дозволило б виявити її розробити і ефективнішу політику [6].

3. Приклад управлінської політики организации.

У минулому розділі я показав як треба розробляти, впроваджувати і супроводжувати політики безпеки. Далі я наведу приклад управлінської політики у вигляді ролей і управлінських обов’язків персоналу, що безпосередньо пов’язані з ИБ.

Ролі й обов’язки (загальні положения).

Детально їхні обов’язки будуть описані ниже.

. Керівники підрозділів визначають доведення положень політики безпеки до користувачів і поза контакти з пользователями.

. Адміністратори локальної мережі забезпечують безупинне функціонування сіті й визначають реалізацію технічних заходів, необхідні проведення життя політики безопасности.

. Адміністратори сервісів визначають конкретні сервіси і зокрема, через те, що й захист побудовано відповідність до загальної політикою безопасности.

. Користувачі зобов’язані використовувати локальну мережу відповідність до політикою безпеки; підпорядковуватися розпорядженням осіб, відповідальних за окремі аспекти безпеки, ставити до відома керівництво про підозрілих ситуациях.

Ролі й обов’язки (детальне изложение).

Керівники підрозділів обязаны:

. Постійно тримати до поля зору питання безпеки. Стежити те, щоб ті самі робили подчиненные.

. Проводити аналіз ризиків, вишукуючи активи, потребують захисту, і уразливі місця систем, оцінюючи розмір можливої шкоди від порушення режиму безпеки та вибираючи ефективні засоби защиты.

. Організувати навчання персоналу заходам безпеки. Перетворити особливу увагу стосовно питань, пов’язані з антивірусним контролем.

. Інформувати адміністраторів локальної сіті й адміністраторів сервісів про зміну статусу кожного з підлеглих (перехід в іншу роботу; звільнення тощо. п.).

. Забезпечити, щоб кожен комп’ютер у тому підрозділах мав хазяїна чи системного адміністратора, відповідального над його безпека продукції та має достатню кваліфікацію до виконання цієї роли.

Адміністратори локальної мережі обязаны:

. Інформувати керівництво про ефективність існуючої політики безпеки і технічних заходи, які можуть опинитися поліпшити защиту.

. Забезпечити захист устаткування локальної мережі, зокрема інтерфейсів коїться з іншими сетями.

. Оперативно і ефективно реагувати на події, що таять угрозу.

Інформувати адміністраторів сервісів про спроби порушення защиты.

Надавати допомогу у відображенні загрози, виявленні порушників і надання інформації їхнього наказания.

. Використовувати перевірені кошти аудиту й виявлення підозрілих ситуаций.

. Щодня аналізувати реєстраційну інформацію, що стосується мережі загалом і до файловим серверам в особенности.

Користувачі обязаны:

. Знати й виконувати закони, правила, прийняті нормативні документи, політику безпеки, процедури безопасности.

. Використовувати доступні захисні механізми задля забезпечення конфіденційності і цілісності своєї информации.

. Використовувати механізмом захисту файлів і належним чином ставити права доступа.

. Вибирати хороші паролі; регулярно міняти їх. Не записувати паролі на папері, не повідомляти їх іншим особам (стратегічно важливим рішенням буде розробка окремої політики управління паролями, керуючись якої користувачі б вибирали свої пароли).

. Допомагати іншим користувачам дотримуватись заходів безпеки. Вказувати їм у помічені недогляди зі своїми стороны.

. Інформувати адміністраторів чи керування про порушення безпеки та інших підозрілих ситуациях.

. Упустити слабкості у позиційному захисті сервісів і локальної мережі в целом.

. Не здійснювати неавторизованої роботи з цими, ні перешкод іншим пользователям.

. Завжди повідомляти коректну ідентифікаційну і аутентификационную інформацію, не намагатися працювати від імені інших пользователей.

. Забезпечувати резервне копіювання інформації з жорсткого диска свого компьютера.

. Знати принципи роботи злобливого програмного забезпечення, шляху його проникнення та влучність поширення, слабкості, які за цьому можуть использоваться.

. Знати й виконувати процедури попередження проникнення злобливого коду, щодо його виявлення й уничтожения.

. Знати слабкості, що використовуються неавторизованного доступа.

. Знати способи виявлення ненормального поведінки конкретних систем, послідовність про дії, точки контакту з відповідальними лицами.

. Знати й виконувати правил поведінки в екстрених ситуаціях, послідовність дій при ліквідацію наслідків аварій [1].

Заключение

.

Ефективні ПБ визначають необхідний і достатній набір вимог безпеки, дозволяють зменшити ризики ВБ до прийнятною величини. Вони надають мінімальне впливом геть продуктивності праці, враховують особливості бізнес-процесів організації, їх підтримує керівництво, позитивно сприймаються і виконуються співробітниками організації. А щоб ПБ залишалася ефективної, потрібен безперервний контроль її виконання, підвищувати поінформованість співробітників в питаннях ВБ й навчати їх виконання правил, предписываемых ПБ. Регулярний перегляд і коригування правил ПБ необхідні підтримки їх у актуальному состоянии.

Розробка та впровадження ПБ у створенні - процес колективного творчості, у якому мають брати участь представники всіх підрозділів, порушених виробленими змінами. Координатором цього процесу є фахівець, яку керівництво організації покладає відповідальність забезпечення ВБ. Цей фахівець координує діяльність робочої групи з розробки і запровадженню ПБ протягом всього життєвого циклу, що включає у собі проведення аудиту безпеки, розробку, узгодження, впровадження, навчання, контроль виконання, перегляд і коригування ПБ.

На розробку ефективної ПБ, крім професійного досвіду, знання нормативної бази галузі ВБ і письменницького таланту, слід також враховувати основні чинники, що впливають ефективність ПБ, і волі іти основних принципів розробки ПБ, до яких ставляться: мінімізація впливу продуктивності праці, безперервність навчання, контроль і реагування до махлярства безпеки, підтримка керівництва організації та постійне вдосконалення ПБ [6].

1. Кірсанов К.А., Малявіна А.В., Попов Н. В. «Інформаційна безопасность:

Навчальний посібник". — М.:МАЭП, ИИК «Калита», 2000.

2. internet.

3. internet.

4. internet.

5. internet — Український Інформаційний Центр Безопасности.

6. internet.

7. internet.

8. internet — Центр дослідження проблем комп’ютерної преступности.

9. Зайцев Л. Г., Соколова М. И. Стратегічний менеджмент: Підручник. — М.:

Юристъ, 2002.