Как разработать Политику информационной безопасности?

Сен 14, 2018 | Безопасность

Политика сетевой безопасности — это документ, описывающий стратегию компании по обеспечению конфиденциальности, целостности и доступности (CIA) сетевых активов. Он является одной из наиболее важных частей стратегической политики, которая в большинстве случаев является политикой информационной безопасности.

Политика информационной безопасности включает способы достижения целей информационной безопасности, принятых по всему миру:

  • Конфиденциальность — только уполномоченное лицо должно иметь доступ к информации
  • Целостность — информация должна сохраняться в должной форме
  • Доступность — информация должна быть доступна всякий раз, когда она требуется уполномоченному лицу

В идеале, в первый день на новом рабочем месте вас должна «встретить» уже существующая политика информационной безопасности, которая включает список активов компании, методы оценки риска, типы информации, уровни доступа и т. д.  Но что, если вы должны создать политику сетевой безопасности в крупной компании, не имея при этом основной документации, инструкций, списков или карт сетевых активов? Тогда вам, возможно, придётся поработать больше, чем вы ожидали.

Прежде чем приступить к работе над политикой сетевой безопасности, рекомендуем обеспечить координацию вашей работы с главным сотрудником по вопросам информационной безопасности и акционерами компании. Без координации ваша работа может быть обречена на провал, даже если предложенная вами окончательная версия выглядит великолепно.

Первым шагом для обеспечения чего-либо является знание того, что вы намерены обеспечить. Да, вы хотите защитить сетевые активы компании, но какими должны быть компоненты такой сети? Какие сверхмалые ресурсы и частицы делают сеть СЕТЬЮ?

Ознакомление с деятельностью компании

В зависимости от компании первая, и самая сложная часть понимания сетевой структуры может быть связана с сетевыми администраторами. Для того, чтобы исследовать компоненты сети, вам необходимо иметь хорошее взаимопонимание с сетевыми администраторами и теми сотрудниками, которые принимают участие в мониторинге сети.

Рекомендации:

  • Не бойтесь задавать вопросы, даже те, которые, как вы думаете, заставят вас выглядеть непрофессиональными. Задавайте любые вопросы, ответы на которые могут дать вам полное понимание вопроса или знание о новом активе, о котором вы не знали раньше.
  • Помните, что у вас нет иного способа получить знания о сетевых активах компании, в которой вы только начали работать.
  • Рукопожатие перед общением по электронной почте. Самое главное — лично представиться другим сотрудникам, от которых вам нужно будет получить информацию. Дружеское рукопожатие сделает ваш путь к общению по электронной почте более простым и, следовательно, более удобным.
  • Всегда помните, что вам платят за знание активов компании.
  • Поддерживайте общение на официальном уровне — отправляйте письма соответствующим сотрудникам и добавьте своего начальника, в большинстве случаев CISO (главного сотрудника по вопросам информационной безопасности), в CC (список получателей), если это разрешено политикой компаний.

В идеальной ситуации в какой-то момент, и чем раньше, тем лучше, у вас будет список всех сетевых активов (маршрутизаторов, коммутаторов, серверов и т. д.), с возможными угрозами на основе конфигурации и уровней риска, которые вам придётся определять самостоятельно.

Оценка риска

Наиболее подходящий метод оценки риска – это использование показателей ожидаемых ежегодных убытков (ALE), ожидаемого  единичного случая убытка (SLE) и ежегодной частоты возникновения события (ARO).

  • ALE –ожидаемая сумма убытков в течение года
  • SLE – сумма, которую вы ожидаете потерять за один раз
  • ARO — частота, с которой событие может произойти в течение года

Формула SLE × ARO = ALE

Позвольте объяснить данный метод на примере:

Вы разрабатываете политику сетевой безопасности для крупной компании. Сетевой актив вашей компании, например, сервер, генерирует доход 25 000 долларов в час. Вероятность сбоя в работе для этого веб-сервера в течение года составляет 25% (вероятность может быть рассчитана на основе среднего числа подобных событий, имевших место в последние годы). Сбой в работе может привести к трёхчасовому простою и стоить 5000 долларов в расчёте на компоненты, используемые  для  устранения проблемы. Итак, чему будет равна ALE?

SLE составляет 80 000 $ (25 000 $ x 3 часа + 5000 $), а ARO — 0,25. Тогда ALE составляет 20 000 $ (80 000 $ x 0,25). Принимая во внимание то, что ваша компания должна ожидать 20 000 $ убытков в год.

Разработка политики

Цель

Первая часть разработки политики — это определение цели вашей политики. В этом разделе вам нужно будет определить общую стратегию компании в отношении сетевой безопасности, другими словами, установить заинтересованность акционеров в том, чтобы сетевые активы были защищены, а риски  снижены в целях сохранения конфиденциальности, целостности и доступности сетевых активов.  Вам следует детально определить, что означает доступность в отношении сетевых активов. Также рекомендуется определить минимальные требования к безопасности, которые будут применяться для каждого сетевого ресурса (шифрование соединения, запрет на несанкционированный доступ).

Область применения

Определите, кто будет использовать вашу политику, и какова сфера деятельности компании, которая будет регулироваться вашим документом. Обычно в область применения входят сотрудники, подрядчики, временные работники, сетевые устройства и виды связи.

Методы оценки риска

В этой части вам просто нужно скопировать документ об оценке риска в политику сетевой безопасности. Не забудьте сохранить скопированный материал в простой и понятной форме, нет никакой необходимости составлять большой текст с большим количеством  строк или колонок. Проще – значит лучше.

Политика

Главная часть вашего документа. В этой части должны быть указаны подробные сведения о безопасности сети. Подробные сведения могут включать следующую информацию:

  • Какие методы авторизации пользователя приемлемы в сети? TACACS + или RADIUS?
  • Сервер Syslog всегда должен быть архивирован.
  • Все сообщения должны быть зашифрованы, укажите способ шифровки.
  • Сеть должна быть защищена брандмауэром и сетевыми модулями. Укажите тип брандмауэра.
  • Кто является основным производителем сетевого оборудования? CISCO или Huawei? В каком сегменте сети и почему?
  • Кто имеет корневой доступ или секретный доступ к маршрутизаторам и коммутаторам?
  • Какие сервисы сети никогда не будут использоваться? Скажите «НЕТ» телнету и включите SSHv2, однако имейте в виду, что SSHv1 и SSHv2 не используются в комплексе. Используйте один из них.
  • Все сетевые устройства должны использовать логин-баннеры. Проконсультируйтесь с юристом и подготовьте единый и понятный сетевой баннер, указав, что несанкционированный доступ к вашему оборудованию запрещён.
  • Как создаются списки доступа, кто их контролирует.
  • Управление IDS и IPS

Это основные вопросы, которые вам придётся освещать в данном разделе, но, конечно, в него можно включить гораздо больше информации в зависимости от инфраструктуры и требований вашей компании.

Реализация политики

Для того чтобы сделать политику полезной, её необходимо реализовать. В этом разделе определите, как вы будете применять свою политику. Начните с сетевых администраторов, попросите их настроить сетевые активы в соответствии с вашей политикой и договоритесь  о датах. Определите, какой отчёт должны предоставлять  участвующие стороны:   на еженедельной, ежедневной или ежемесячной основе, укажите, что в нём они будут описывать, какие части политики реализованы.

Мониторинг и аудиты

Для обеспечения того, чтобы политика работала так, как вы планировали, необходимо осуществлять контроль и проводить аудиторские проверки каждые 6 месяцев. Способы проведения аудитов полностью зависят от вас и вашей компании, однако рекомендуется проверять сетевые активы на правильную конфигурацию и регулярно заполнять специальный документ, в котором следует указывать плюсы и минусы данной конфигурации. Следует помнить, что в политику безопасности потребуется регулярно вносить поправки, и «Политика сетевой безопасности для версии 1.0» может быть не окончательным вариантом.

Связанные стандарты и политика

Этот раздел важен для вашей  аудитории. Она должны знать, какие другие документы считаются важными для вашей политики. Здесь вы должны указать документы, связанные с  политикой информационной безопасности, маршрутизатором CISCO и стандарт безопасности подключения, политику брандмауэра, политику сервера, политику реагирования на инциденты и т. д.

Контрольный перечень компонентов сетевой безопасности:

  1. Оценка рисков — активы, риски и угрозы.
  2. Политика безопасности
  3. Пересмотр политики безопасности

Читайте также:

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *