Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия"

Основы предлагаемого подхода

Формирование политики и процедур безопасности означает выработку плана действий по информационной защите, для этого необходимо:

• выяснить, что следует защищать;
• выяснить, от чего следует защищаться;
• определить вероятность угроз;
• реализовать меры, которые позволят защитить активы экономически оправданным образом;
• постоянно возвращаться к предыдущим этапам и совершенствовать защиту после выявления новых уязвимых мест.

В рассматриваемом Руководстве основной упор делается на два последних этапа, однако следует помнить и о критической важности первых трех этапов для принятия эффективных решений в области безопасности, поскольку стоимость защиты не должна превосходить вероятный ущерб от осуществления угроз.

Руководство [ 47 ] , помимо вводного, содержит еще пять разделов, где обсуждаются вопросы, которые организация должна рассмотреть при выработке политики безопасности и формировании процедур, реализующих эту политику. В некоторых случаях анализируются имеющиеся альтернативы и аргументы в пользу выбора какой-либо из них.

В плане общей структуры обсуждение политики безопасности предшествует рассмотрению процедур, необходимых для ее реализации. Первый из пяти разделов посвящен особенностям официальной политики предприятия, касающейся доступа к вычислительным ресурсам. Рассматриваются также вопросы ее нарушения. Политика определяет набор необходимых процедур, поэтому руководителю следует сначала разобраться в политических составляющих предмета обсуждения и только после этого переходить к процедурным. Ключевым компонентом формирования политики безопасности является производимая в той или иной форме оценка рисков, позволяющая установить, что необходимо защищать и каков объем ресурсов, которые разумно выделить на защиту.

Когда политика выработана, можно приступать к созданию процедур, решающих проблемы безопасности. В разделе "Выработка процедур для предупреждения нарушений безопасности" определяются и предлагаются действия, которые необходимо предпринять при возникновении подозрений по поводу совершения неавторизованных операций, и анализируются ресурсы, необходимые для предотвращения нарушений режима безопасности.

В разделе "Типы процедур безопасности " перечисляются типы процедур, служащих для предотвращения нападений. Профилактика - основа безопасности.

Раздел "Реакция на нарушения безопасности" посвящен реагированию на нарушения безопасности, т. е. кругу вопросов, с которыми организация сталкивается, когда кто-то отступает от политики безопасности. Если такое случается, приходится принимать целый комплекс решений, но многие из них можно продумать заранее. По крайней мере, следует договориться о распределении обязанностей и способах взаимодействия. И здесь важнейшую роль играет политика безопасности.

Тема последнего раздела - меры, предпринимаемые после ликвидации нарушения безопасности. Планирование защитных действий - это непрерывный циклический процесс, поэтому очередной инцидент становится прекрасным поводом для пересмотра и улучшения политики и процедур.