Определение политики безопасности

Опубликовано: 14 Апреля, 2023

Политики безопасности — необходимое зло в современных корпоративных сетях. Без политики безопасности вы оставите себя открытым и уязвимым для многих политических атак. Например, в вашей компании есть веб-серфер, который считает необходимым посещать сайты, связанные с порнографией, в рабочее время. Если, скажем, кто-то, кто просматривает эту деятельность, сочтет ее оскорбительной, вы можете обратиться в суд, если ваши документы не в порядке. В этой статье мы начнем рассматривать все меры, которые вам потребуются для успешного определения политики безопасности. Поскольку каждая политика настраивается для каждой организации, важно, чтобы вы знали здесь и сейчас, что каждая из них будет отличаться по содержанию в некотором смысле, но ее определение должно следовать какой-то модели. В этой статье вам будут показаны основы определения вашей собственной политики безопасности.


Что такое политика безопасности?


Итак, первый неизбежный вопрос, который нам нужно задать, — «что такое политика безопасности»? Что ж, политика — это некоторая форма документации, созданная для обеспечения соблюдения определенных правил или положений и сохранения структуры процедур. Здесь, в контексте «безопасности», это просто политика, основанная на процедурах, связанных с безопасностью. Подумайте о любом другом виде политики… политика аварийного восстановления — это набор процедур, правил и планов, связанных с аварийным состоянием и способами восстановления после него. Политики безопасности очень похожи. Хорошо, теперь, когда у вас есть общее представление, давайте поговорим о том, что обычно обеспечивает политика безопасности. Помните… политика безопасности — это основа и структура, в рамках которой вы можете обеспечить разработку комплексной программы безопасности. Если я могу провести аналогию, политика безопасности подобна позвоночнику, а брандмауэры, системы IDS и другая инфраструктура — это мясо и плоть, покрывающие его. Есть очень много вещей, которые вам нужно понять, прежде чем вы сможете определить свои собственные.


Политики безопасности, как правило, упускают из виду, не внедряют или не задумываются о них, когда уже слишком поздно. Чтобы держать вас в курсе того, что это значит, мы можем вернуться к примеру, который я впервые привел с Porn Surfer… чтобы информировать людей о том, что они могут или не могут делать (например, просматривать веб-страницы в рабочее время, посещая сайты, не связанные с бизнесом), они могут не делать этого в первую очередь, и если они это делают, у вас есть инструмент (политика), чтобы привлечь их к ответственности.


Итак, теперь, когда мы понимаем основы того, что такое политика безопасности, давайте подведем итог в одном предложении, прежде чем двигаться дальше… Политика безопасности — это живой документ, который позволяет организации и ее управленческой команде ставить очень четкие и понятные цели, цели, правила и формальные процедуры, которые помогают определить общий уровень безопасности и архитектуру указанной организации. В этой статье будут рассмотрены самые важные факты о том, как спланировать и определить собственную политику безопасности, и, прежде всего, чтобы вы задумались об этом, независимо от того, есть ли она у вас уже или нет.


Политика безопасности также должна быть создана с большим вниманием и процессом. Вы можете сделать политику безопасности слишком ограничительной. Если вы это сделаете, вы можете создать большую нагрузку на своих сотрудников, которые могут привыкнуть к одному способу ведения бизнеса, и может потребоваться некоторое время, чтобы превратить их в более ограничительную позицию безопасности в соответствии с вашей политикой. Политика безопасности должна содержать несколько важных функций, и они заключаются в следующем.



  • Политика безопасности должна быть понятной! Люди, которые читают его, должны быть в состоянии легко соблюдать его. Вы должны убедиться, что это не полная техническая болтовня, которую может возразить конечный пользователь.
  • Политика безопасности должна быть реалистичной! Хорошо, вам нужно провести черту на песке своей политикой. Если вы слишком ограничительны, вам нужно решить, почему могут возникнуть жалобы, или, что еще хуже, руководство не поддерживает вашу политику, потому что она нереалистична. Помните, слишком много безопасности на самом деле мешает бизнесу, поэтому вам нужно найти идеальный баланс. Кроме того, по мере того, как в компанию приходят новые сотрудники и, возможно, их заставляют подписывать подобную политику, они должны чувствовать себя комфортно с ней на каком-то уровне, поэтому убедитесь, что она реально соответствует вашим деловым, технологическим потребностям и требованиям безопасности одновременно.
  • Политика безопасности должна быть последовательной! Вы должны быть последовательными. Сообщите людям, что они могут просматривать только веб-сайты, связанные с бизнесом, а затем отмените это решение, чтобы разрешить полный доступ, и только через три недели снова отмените ваше решение. Это вызывает недовольство среди вашего сообщества пользователей.
  • Политика безопасности должна быть принудительной! Вы можете сделать это с помощью инструментов аудита, ведения журнала и другими способами. Он также должен быть «четко» подкреплен руководством и человеческими ресурсами. Если вы решите, что кто-то нарушает политику, а руководство поддерживает предложенное наказание за нарушение политики, тогда политика бесполезна. Я видел это так много раз на практике, что это должно быть пунктом номер один, на который вы обращаете внимание, когда пытаетесь разработать политику… если руководство не поддержит ее с самого начала, то я могу вас заверить, Политика и враги, которых вы могли бы создать, применяя ее исключительно самостоятельно, — пустая трата времени. Убедитесь, что у вас есть поддержка со стороны руководства!
  • Политика безопасности должна быть задокументирована, распространена и доведена до сведения должным образом! Не делать этого вредно для организации, потому что, если вы пытаетесь внедрить политику безопасности, которую никто не читал, вы, по сути, одиноки в своей битве за ее соблюдение. Я предлагаю, чтобы новые сотрудники подписывали копию, когда они присоединяются к организации, а нынешние сотрудники заполняют веб-форму в интрасети через своих менеджеров или руководителей.
  • Успешная политика безопасности должна быть гибкой! Чтобы политика безопасности была решением, которое вы внедрили на долгое время, она должна быть гибкой в отношении того, что она охватывает, кто ее поддерживает и, что наиболее важно, кто изменяет. Ваша политика БУДЕТ меняться так же, как меняется ваш бизнес (сегодняшний бизнес меняется быстрее, чем одно мгновение), вы должны оставаться в курсе политики, поэтому она должна быть гибкой и изменчивой.
  • Успешная политика безопасности должна быть пересмотрена! Чтобы убедиться, что ваши политики не устареют, вы должны регулярно их пересматривать. Очень возможно, что через несколько месяцев после того, как вы создадите и внедрите политику безопасности, она больше не вписывается в вашу организацию, в зависимости от того, как часто ваша компания меняет свои деловые отношения или находится ли она в режиме слияния и поглощения. Если это так, вы можете оказаться в постоянном пересмотре вашей политики. Убедитесь, что вы знаете, что может спровоцировать проверку, и убедитесь, что вы делаете надлежащую проверку после определенного периода застоя, например, если у вас не было изменений в организации в течение 6 месяцев.

Структура политики безопасности


Базовая структура политики безопасности должна содержать следующие компоненты, перечисленные ниже. Конечно, вы можете добавить что-то еще в этот список, но это довольно общий список того, на чем вы хотите построить свою политику.



  • Роли и обязанности тех, на кого распространяется политика. Убедитесь, что в вашей политике четко указаны роли и обязанности всех, на кого распространяется такая политика. Не оставляйте здесь никаких догадок. Другими словами, если у вас есть разные уровни доступа к системам, таким как, например, доступ в Интернет, где сообщество пользователей имеет ограниченный доступ, но отдел маркетинга может иметь более чем ограниченный доступ из-за того, что у них есть больше исследований, которые им могут понадобиться. делать в интернете. При этом просто убедитесь, что вы не начинаете войну на полу, потому что вы не указали четко, кто и что может делать в своей политике. Это уравновешивание, но если все сделано правильно, оно будет работать как шарм, и на самом деле никакой враждебности не может возникнуть, поскольку каждый знает, что он может или не может делать, когда его нанимают в организацию.
  • Какие действия, действия и процессы разрешены, а какие нет? Вы должны быть очень ясны здесь. Вам нужно четко определить, что люди, которых придерживаются политики, могут и не могут делать. Политику необходимо тщательно пересмотреть, чтобы убедиться, что в ней нет формулировок, которые кто-то может использовать в своих интересах. Если вы говорите, не используйте Интернет ни для чего, кроме бизнеса, во время работы, то вы в значительной степени делаете общее заявление о том, что могут делать пользователи, и если прочитать несколько раз, я, вероятно, мог бы сказать: «Ну, вы сказали во время работы, а во время обеденного перерыва просматривал сайты торговых сетей». Вы оставили здесь дверь открытой, и если это не то, что вы хотели сказать, то у вас проблемы, потому что это то, что пользователь мог подписать при приеме на работу. Помните, что все это игра слов, и вы должны убедиться, что знаете, как излагать конкретные вещи. Убедитесь, что вы очень четко объясняете, какие действия, действия и процессы разрешены, а какие нет.
  • Каковы последствия несоблюдения? Это очень важный элемент для добавления в структуру. Очень важно, чтобы вы четко определили, какое наказание будет за несоблюдение политики безопасности. Что еще более важно, убедитесь, что любое наказание, предусмотренное политикой, выполняется беспрекословно. Как только ваше сообщество пользователей узнает, что вы не применяете свои собственные политики, все кончено! Убедитесь, что если вы заявляете о наказании, оно действительно происходит. Вот почему вам нужно определить простые наказания. Вот пример… Если вас поймают за просмотром веб-сайтов, не связанных с бизнесом, в рабочее время, вам будет вынесено устное предупреждение за первый промах, за второй промах письмо с выговором будет помещено в вашу папку сотрудника, а третий промах приведет к расторжению. Таким образом, люди могут дурачиться раз, два... три раза - извините! Ты вон отсюда. Это ясно, по делу и не невыносимо.

Роли и обязанности


Разработка политик безопасности также в значительной степени зависит от ролей и обязанностей людей, отделов, из которых они приходят, или бизнес-подразделений, в которых они работают. Ничто в информационных технологиях не является на 100% шаблонным, особенно когда речь идет о реальных бизнес-примерах, сценариях и проблемах. В структуре политики безопасности очень важно, чтобы все зоны ответственности были четко обозначены. Давайте посмотрим, какие области необходимо решить в рамках организации. Из приведенного ниже списка вы должны убедиться, что при разработке вашей политики всем перечисленным ниже областям как минимум предлагается стать частью команды по разработке политики:



  • Управление бизнесом: Управление бизнесом — это управление в вашей организации или руководство бизнесом. Управление бизнесом будет включать маркетинг, продажи, обслуживание клиентов, проектирование, юридические вопросы, и этот список можно продолжать и продолжать. Убедитесь, что вы обсуждаете со всеми бизнес-руководителями уровня отдела потребности отдела в контексте политики безопасности. Менеджер отдела продаж может потребовать 100% доступ в Интернет для сотрудников отдела по исследовательским причинам. Может быть, вы сможете объяснить связанные с этим риски и посмотреть, сможете ли вы найти золотую середину. Менеджер по обслуживанию клиентов может быть очень строгим и не хотеть иметь доступ к Интернету, и ваша работа заключается в том, чтобы взвесить риски, связанные с отсутствием доступа к Интернету у сотрудника… вы должны смотреть по обе стороны баррикад. Просто убедитесь, что вы, по крайней мере, работаете с бизнес-лидерами, чтобы получить их вклад в любом случае. Руководство также должно на 110% «поддерживать» вашу политику, несмотря ни на что. Если здесь есть нарушение, то политика может быть сочтена бесполезной, если ее легко обойти.
  • Функции информационных технологий: ИТ находятся на другом конце палки. Поскольку почти все, что делается с политикой безопасности, может исходить от ИТ-отдела, есть несколько моментов, о которых вы должны очень хорошо знать при разработке своей политики. Убедитесь, что вы привлекаете все соответствующие стороны. Допустим, вы являетесь сотрудником службы безопасности компании и отвечаете за разработку политики безопасности. Легко увидеть безопасность с «вашей» точки зрения, но у вас может не быть всестороннего взгляда на ИТ, чтобы быть в состоянии «не упустить» кого-либо. Чтобы убедиться в этом, вам необходимо принять во внимание следующее: Убедитесь, что вы задействовали ВСЕ отделы, связанные с ИТ, включая сетевое проектирование, системы, приложения, управление ИТ, управление изменениями и любые другие ИТ-функции, которые существуют в вашей организации. Кроме того, убедитесь, что если у вас есть ИТ-помощь в удаленных местах или в подразделениях малого бизнеса, вы привлекаете их и также получаете их потребности.
  • Человеческие ресурсы и юридические вопросы: очень важно, чтобы вы привлекли HR и юридический отдел к вашей политике безопасности. Вам нужен HR, чтобы распространить политику (надеюсь, когда появятся новые сотрудники) или даже позже. Юристы должны быть вовлечены, чтобы убедиться, что все в вашей политике является законным и не нарушает права, на которые нельзя нарушать, иначе вы можете попасть в беду.

Рекомендуемый метод разработки


Ниже приводится схема задач, используемых для разработки политик безопасности. Опять же, это не список де-факто, это просто то, о чем следует подумать при разработке политики безопасности. Эта статья предназначена для новичков, незнакомых с политиками, на эту тему есть целые книги, поэтому просто убедитесь, что если вы создаете серьезную политику безопасности, вам нужно будет учитывать гораздо больше вещей, поэтому, пожалуйста, не берите следующий список. как окончательные, а то, что вы действительно «не должны» пропустить при создании политики безопасности.



  1. Убедитесь, что все ответственные организации и заинтересованные стороны полностью определены, а их роли, обязанности и задачи подробно описаны.
  2. Убедитесь, что изложены все основные бизнес-цели. Знание основных целей вашего бизнеса важно для вашей политики безопасности.
  3. Убедитесь, что список принципов безопасности, отражающих цели безопасности руководства, составлен и четко определен.
  4. Убедитесь, что все применимые данные и ресурсы обработки идентифицированы и классифицированы.
  5. Убедитесь, что анализ потока данных выполняется для первичных классификаций данных, от создания до удаления.
  6. Убедитесь, что перечислены основные угрозы, которые можно разумно ожидать в вашей среде.
  7. Убедитесь, что определены основные службы безопасности, необходимые в среде.
  8. Убедитесь, что создан общий шаблон политики.
  9. Убедитесь, что вы проверили свою окончательную политику безопасности перед ее развертыванием.
  10. Убедитесь, что у вас есть поддержка руководства — это очень важно!

Это первая десятка пунктов, о которых вам не следует забывать при разработке политики безопасности.


Вывод


В этой статье мы рассмотрели политики безопасности. Здесь мы в общих чертах рассмотрели самые основные основы политики безопасности. В следующих статьях мы рассмотрим более подробно, а затем создадим политику безопасности с нуля, а пока…



«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023