Написание эффективной политики безопасности (часть 1)

Опубликовано: 9 Апреля, 2023

Введение

Во многих организациях есть политики безопасности. Эти политики предназначены для управления ресурсами компании и помогают обеспечить безопасность авторизованных пользователей и ресурсов и защитить их от злоупотреблений. В следующей серии статей мы расскажем, как можно использовать политику безопасности в качестве жизнеспособного инструмента и как написать политику, чтобы помочь в решении текущих проблем.

Во многих случаях, консультируясь по информационной безопасности, я задаю вопрос; что говорит ваша политика безопасности? Я обычно получаю дорогой взгляд в фарах. Ну, на самом деле у нас его нет, или тот, который у нас есть, мы нашли в Интернете, вы можете помочь нам его исправить? Мне нравится ссылаться на политику безопасности, так как во время консультации важно указать организации на технические средства контроля, о которых они уже договорились и которые пользователи могут видеть.

Рекомендуется, чтобы политика была написана таким образом, чтобы она соответствовала бизнес-целям и соответствовала целям управления ИТ. Другим ключевым компонентом является то, что политика не может существовать сама по себе, потребуется вспомогательная документация, которая ссылается на руководящие и процедурные документы. Этот документ будет определять ожидаемое поведение пользователя, поэтому он должен быть написан четко и без двусмысленности. Цель политики состоит не в том, чтобы быть контрпродуктивным, а в том, чтобы влиять на поведение пользователей, чтобы можно было наблюдать умеренный результат.

Соревнование

У большинства написанных политик безопасности нет зубов, это означает, что в случае нарушения политики никакие дисциплинарные меры не могут быть применены. Это в первую очередь связано с отсутствием поддержки со стороны руководства и тем, что политика не утверждена как часть условий обеспечения занятости. Привлечение как высшего руководства, так и отдела кадров жизненно важно для обеспечения соблюдения действующего документа.

Написание обязательной политики также важно, так как многие политики сложны для понимания и интерпретируются. Ключ в том, чтобы написать политику, имеющую хорошую основу, ясную, осуществимую и легко читаемую. Этот административный контроль часто написан нереалистичным образом, охватывающим идеалы и не решающим проблемы всех бизнес-подразделений.

Пользователь уже прочитал несколько документов; выделяя различные сферы бизнеса, эффективная политика может быть лаконичной и содержательной. Жизненный цикл этого документа составляет от трех до пяти лет, и документ необходимо пересматривать ежегодно, чтобы обеспечить согласованность и соответствие бизнес-стратегии.

Проблема в том, что немногие специалисты по безопасности обладают навыками в этой области, и часто документ копируется из источника, который ссылается на идеалы, это делается для того, чтобы заполнить пробел соответствия. Несмотря на то, что здесь рассматриваются некоторые из передовых практик, вы обнаружите, что когда дело доходит до реализации технических средств управления, мало внимания уделяется реалистичным целям и практичности.

Что такое политика?

Политика — это документ, который играет большую роль в влиянии на действия людей, план или руководство, сформулированное для достижения определенного результата. Руководство (политика) не является практическим документом.

Орган власти

Политика должна быть полностью одобрена высшим руководством или владельцами бизнеса, без этой поддержки документ не будет иметь юридической силы и будет просто еще одним листом бумаги. Необходимо задокументировать четкую причину и следствие (последствия), чтобы все знали о последствиях несоблюдения рекомендаций.

Добавление требований без утверждения приведет к тому, что отделам потребуются бюджеты для технического контроля. Технический контроль стоит денег, поэтому одобрение политики руководством имеет решающее значение.

Рамки

Знайте, что вы будете продолжать дополнять политику с течением времени, поскольку бизнес-цели меняются, необходимо учитывать принятие политики, и поведение пользователей будет меняться. Обеспечение того, чтобы стадо не подвергалось опасности, является нашей главной задачей, но защита информационных активов компании имеет решающее значение.

Помните о бюджете вашей компании, это также позволяет организации планировать технические средства контроля, которые будут реализованы, и этапы внедрения технических средств контроля. Если политика рекомендует поведенческие требования и нет технических средств контроля для обеспечения выполнения политики, пользователь избегает применения политики.

Не пытайтесь смягчить все возможные варианты, это четкое руководство, которое следует читать как обзор того, что следует или не следует делать. Вы можете обнаружить, что требуется больше деталей. (Чтобы не путать проблему, обратитесь к приложению и задокументируйте подробности там.)

Комплексная политика безопасности потребует участия всех бизнес-подразделений, а тщательная координация этой политики приведет к меньшему риску. Точно так же слияния с другими организациями могут раскрыть вашу, так как теперь включены новые неизведанные воды.

Всегда применяйте правило наименьших привилегий. Это гарантирует, что будет открыта наименьшая площадь поверхности атаки, чем меньше воздействие, тем ниже риск.

Обратите внимание на руководящие принципы и обратите внимание на обязательные части политики. Если это неясно, пользователи могут подумать, что части необязательны, хотя на самом деле это не так. Цветовое кодирование или выделение необязательных компонентов курсивом может быть полезным.

Некоторые политики могут иметь части, исключающие определенных пользователей; эти исключения должны быть в приложении, а не в основной части документа, поскольку это может привести к путанице.

По желанию:
 Разделите политику на части, чтобы разные части политики применялись к разным отделам более строго. Хотя это сильно усложняет политику, общая политика может быть слишком свободной и увеличивать риски. По этой причине было бы лучше добавить более подробную информацию о каждом отделе и информировать только линейных руководителей, отдел кадров может помочь в отслеживании элементов политики. Разные отделы будут иметь разные меры безопасности; вот почему этот подход может работать для вашей организации.

Сделайте элементы политики достижимыми, если они нереалистичны, то вся политика может быть проигнорирована или восприниматься пользователями менее серьезно.

Политика должна обеспечивать соблюдение правовых норм и правил соблюдения, это усиливает элементы и придает документу более авторитетный характер; использование ссылок на эти документы будет полезно, так как пользователи смогут обращаться к юридической документации.

На кого должна распространяться политика?

Политика безопасности должна распространяться на любого пользователя объектов компании. Сюда входят консультанты и иностранные организации, независимо от того, насколько они удалены или локальны. Неспособность рассмотреть пользователя может привести к разоблачению, поэтому важно, чтобы организация, прежде чем использовать средства, прочитала и согласилась с политикой.

Технические средства контроля

Существуют сотни технических средств контроля, антивирусы, резервные копии, фильтры содержимого, брандмауэры, шифрование конечных точек, средства защиты от вредоносных программ и многое другое. Эти технические меры могут быть упомянуты в политике безопасности и должны быть описаны как меры, реализованные для защиты активов компании. Подделка, удаление или изменение таких элементов управления должны быть запрещены, и поэтому политика, которая советует это, важна. Во многих случаях во время аудита крупных корпораций один из моих людей обнаруживал, что нарушение было вызвано вмешательством в технический контроль. Политика не упоминала о каком-либо техническом контроле и о том, как пользователь должен взаимодействовать, поэтому никаких действий было невозможно.

Управление, защита и работа с данными

Политика должна охватывать то, как физическое лицо обращается с данными компании, включая безопасное хранение данных, безопасную передачу данных и безопасную передачу данных.

Составление отчетов

Отчетность по техническим средствам контроля также важна, так как это гарантирует, что пользователи будут уведомлены о нарушениях, а организация будет осведомлена о риске и подверженности. Незнание того, что пользователи разоблачают компанию, равнозначно отсутствию политики.

Резюме

В этой статье мы рассмотрели важные факторы, которые необходимо учитывать при написании эффективной политики безопасности. В конце этой серии профессионал по безопасности должен быть в состоянии сопоставить информацию и написать свою собственную политику безопасности. Профессиональная помощь всегда доступна, но мы надеемся, что в статьях будут указаны области, на которые вам как специалисту по безопасности следует обратить внимание.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023