Разумная политика – первая линия вашей обороны . Правильно разработанная политика исследует любую угрозу ( или пытается сделать это ) и обеспечивает поддержку конфиденциальности , целостности и наличия ( или , по крайней мере , оценивает известные риски ). Как мы увидим ниже , определение политики начинается с четкой идентификации и перечисления ресурсов , которые используются в рамках определенных стандартов и определяют функционирование сети в безопасном режиме . После определения основного стандарта вы начинаете выстраивать методы функционирования индивидуальных приложений и услуг .
Многие производители беспроводного оборудования отвечают на рост угроз безопасности тем , что ужесточают версии своих продуктов . Ваша политика безопасности должна всегда требовать , чтобы вся технология , существующая или вновь разворачиваемая , включала бы в себя все новинки в области безопасности . Однако поскольку проектирование и внедрение этих новинок требуют определенного времени , политика и ее внедрение должны стать первым уровнем обороны против известных и неизвестных угроз .
Хорошо разработанная политика должна быть чем - то большим , чем просто списком рекомендаций . Она должна стать существенным и даже основным элементом обеспечения безопасности в вашей организации . Правильная политика может обеспечить защиту от уязвимости из - за действий сотрудников , а также может служить основой для контроля торговых секретов компании . Она должна быть разработана с учетом интересов всех сотрудников организации , принимая во внимание внутренний и внешний аудит , чтобы убедиться в том , что все активы компании защищены и все уровни защиты надежно контролируются , как это указано в стандартах , политике и стратегии .
Ущерб и защита
Стремление к управлению
Управление компанией всегда должно стремиться к обеспечению безопасности корпоративных активов , что должно включать в себя и защиту информации.
Надо предпринять меры для защиты ее от несанкционированной модификации , разрушения или раскрытия ( случайного или намеренного ) и уверенности в ее аутентификации , целостности , нахождения в наличии и конфиденциальности .
Основополагающим для успеха любой программы безопасности являются стремление руководства к реализации процесса обеспечения информационной безопасности и понимание того , насколько важны управление информационной безопасностью и ее защита для работоспособности компании . Утверждения руководства обычно содержат следующие элементы :
1) признание важности вычислительных ресурсов для бизнес - модели ;
2) поддержку информационной безопасности в компании ;
3) стремление контролировать процессы и управлять ими на нижнем уровне стандартов , процедур и руководств .
Главная часть любой политики – это определение того , на что она направлена. Главная цель любой политики – это снижение угроз безопасности и уязвимости тех ресурсов , которые надо защищать. Процесс определения политики обычно включает в себя перечисление того эффекта, который может оказать реализация угроз на действия компании , и определение вероятности реализации угроз . Анализ рисков ( АР ) – это процесс анализа угроз и их относительной опасности .
На рисунке показана матрица изображения угроз и вероятности их воплощения в плоскости ( X - Y ). Цель АР заключается в уменьшении уровня воздействия угроз и вероятности их реализации . Правильное управление должно перемещать нанесенные точки в плоскости ( X - Y ) из правого верхнего угла в левый нижний .
Неадекватно сконструированное и развернутое управление не окажет никакого влияния на расположение точек на графике до и после его внедрения.
Идентификация ресурсов
Для доступа ресурсов и их защиты надо их прежде всего идентифицировать, классифицировать и пометить таким образом, чтобы в процессе анализа рисков вы смогли бы перечислить все возможные риски для каждого элемента вашей системы и определить возможное решение для минимизации этих рисков.
Классификация в сфере безопасности дает такие преимущества:
демонстрирует стремление компании обеспечить безопасность своих действий;
помогает уяснить, какая информация наиболее важна или жизненно необходима для компании;
поддерживает доктрины конфиденциальности, целостности и наличия данных;
помогает определить, какую защиту следует применять к той или иной информации;
может требоваться по причинам регулирования, совместимости или законодательства.
Вот какие категории используются для классификации ресурсов.
Публичные . Это ресурсы, доступ к которым не предоставляет риска и может быть предоставлен всем желающим, пока они не нарушают элементарных правил сохранения конфиденциальности, а знание этой информации не может привести организацию к потере денег, затруднить ее функционирование или снизить безопасность ее активов. Примеры публичной информации включают в себя маркетинговые брошюры, опубликованные ежегодные отчеты, пресс-релизы и бизнес-карточки.
Для внутреннего пользования. Это элементы с низким уровнем риска, доступ к которым из-за своего влияния на бизнес процессы или техническое функционирование системы ограничен только сотрудниками компании или теми, кто работает по контракту, но подписал соглашение о неразглашении информации. Если возникнет ситуация несанкционированного доступа, утечки информации или уничтожения документов, все это будет иметь только незначительное воздействие на компанию, ее клиентов и сотрудников. Примерами такой информации для внутреннего пользования являются рабочие тетради сотрудников, телефонные книги, перспективные планы компании и описание ее стратегии.
Конфиденциальные . Это элементы со средним уровнем риска, чье неавторизованное раскрытие, прослушивание или разрушение прямо или косвенно влияет на всю компанию, ее клиентов и сотрудников и может привести к финансовым потерям, ущербу имиджа компании, потере бизнеса или даже определенным действиям законодательных структур. Они должны использоваться только внутри организации, и доступ к ним должен быть ограничен. Примеры такой информации включают в себя структуру конфигурации системы, личное ПО, сведения о сотрудниках, сведения о клиентах, бизнесплан, информацию о бюджете, планы и стандарты обеспечения безопасности.
Ограниченные . Это информация с высокой степенью риска, несанкционированный доступ к которой, ее раскрытие или уничтожение могут привести к очень серьезному ущербу для компании и предоставлению серьезных выгод конкурентам, а также к штрафам и другим потерям у самой компании, ее сотрудников и клиентов. Информация этого рода предназначена для ограниченного пользования внутри компании только определенным кругом лиц. Примерами подобной информации являются ключи шифрования, стратегические планы, информация для аутентификации (пароли, PIN и т. д.), а также IP -адреса серверов, связанных с обеспечением безопасности.
Вся информация в любом виде - бумажная, голосовая или в электронной форме - должна быть классифицирована, помечена соответствующим образом и распределена в соответствии с вашей классификацией информации и процедурами работы с ней. Это поможет вам определить, какая информация несет с собой максимальную угрозу для компании и каким путем обеспечить ее безопасность.
Ваша беспроводная сеть также содержит несколько внутренних элементов , которые стоит классифицировать , но общая классификация всех сетевых устройств должна происходить на уровне информации , которая передается по ее каналам . Используя системы электронной почты и получая доступ к внутренним сайтам через вашу беспроводную сеть , вы обнаружите , что ваша сеть содержит информацию ограниченного использования . Однако если вы сможете зашифровать пароль , классификация данных в сети может быть проведена на основе неаутентифицированной информации , передающейся через беспроводную сеть.
Критерии классификации
Есть несколько дополнительных критериев , которые могут быть использованы при определении классификации информационных ресурсов.
Ценность. Это наиболее часто используемый для классификации данных в частном секторе критерий. Если какая - то информация имеет ценность для человека или компании , то ее надо правильно идентифицировать и классифицировать .
Возраст. Информация теряет ценность и должна переклассифицироваться на более низкий уровень по мере того, как проходит время . Во многих правительственных организациях после определенного периода времени классифицированные документы автоматически теряют свою классификацию .
Полезная жизнь . Если информация устаревает из - за появления новой информации или ресурсов , она обычно переклассифицируется .
Связь с персоналом. Если информация ассоциируется с конкретным человеком или сокрыта благодаря законам охраны частной информации , то может возникнуть необходимость в ее переклассификации .
Внедрение политики
Процедуры классификации информации предлагают несколько шагов для создания системы классификации , повышающей стандарты вашей безопасности . Вот эти шаги :
идентифицировать администратора или охранника ;
определить критерии того , как информация будет классифицироваться и помечаться ;
классифицировать данные их владельцем , который должен контролироваться неким супервизором ;
определить и документировать любые исключения в политике классификации ;
определить управление , которое будет применено к каждому уровню классификации ;
определить процедуру прекращения деклассификации информации или передачи охраны информации другим организациям ;
создать программу информирования компании об управлении классификацией .
После того как ваша информация и ресурсы соответственным образом идентифицированы и классифицированы, вы сможете определить необходимое управление , для того чтобы обеспечить конфиденциальность и безопасность информации для сотрудников и клиентов. Во многих отраслях промышленности есть потребность, в соответствии с законодательством или внутренними нормами, обеспечить адекватную политику безопасности и сохранения конфиденциальности для различной информации . Взаимоотношения между политикой , стратегиями и стандартами показаны на рисунке .
Стратегии относятся к методологиям систем обеспечения безопасности . Стратегии – это более гибкий инструмент , чем стандарты или политики, они принимают во внимание различные информационные системы в процессе своего развития и развертывания , предлагая обычно специальные процессы для безопасного использования информационных ресурсов . У многих организаций есть общие стратегии обеспечения безопасности в отношении к имеющимся платформам : Windows , SCO - Unix , Debian Linux , Red Hat Linux , Oracle и т . д .
Стандарты определяют использование различных технологий стандартизованным образом . Они часто не такие гибкие, как стратегии, они предлагают более широкие взгляды на конкретную технологию . Обычно они являются стандартами для использования шифрования , классификации информации и других важнейших процессов.
Политики - это обычно набор положений , созданных по стратегическим или правовым причинам , из которых определяются стандарты и стратегии . Некоторые политики основываются на собраниях норм и правил для отраслей промышленности , таких как необходимое медицинское страхование , другие могут иметь в своей основе законодательные требования по сохранению персональной информации своих клиентов .
Политики , стандарты и стратегии должны быть четко сформулированы и сфокусированы и должны отражать такие моменты :
разграничение уровней ответственности и прав руководства ;
управление доступом ;
степень , до которой требуется верификация формата ;
управление , действующее по своему усмотрению или на основе мандата ( обычно уместное только в ситуации , связанной с правительством или политикой );
расстановка меток ;
управление средой ;
импорт и экспорт информации ;
уровни безопасности и классификации ;
трактовка выходной информации системы .
Политика должна определить , что ожидает организация в сфере информационной безопасности . Разумная политика должна отражать все законы и нормы , которые оказывают влияние на использование информации внутри компании .