Политика безопасности организации в области ИТ - это совокупность документируемых решений в виде программных, аппаратных, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, чётко регламентирующих все аспекты деятельности организации в области безопасности ИТ.
Основная цель политики безопасности — информирование пользователей, сотрудников и руководства о наложенных на них обязательных требованиях по защите технологии и информационных ресурсов.
Все документально оформленные решения, формирующие политику безопасности ИТ, должны быть утверждены руководством и опубликованы. Все сотрудники организации должны быть ознакомлены с политикой безопасности ИТ. Концептуальные вопросы политики безопасности организации целесообразно изложить в «Концепции обеспечения безопасности в автоматизированной системе организации».
Основные составляющие политики безопасности ИТ:
o определение целей политики безопасности;
o определение принципов обеспечения и границ применяемости политикибезопасности;
o краткое разъяснение (дайджест) политики безопасности;
o соответствие законодательным актам и стандартам;
o определение правил приобретения информационных технологий, которыеотвечают требованиям безопасности;
o определение политики обеспечения непрерывности работы и восстановления АС;
o определение политики конфиденциальности стандартных сервисов (электронная почта (ЭП), Интернет, VPN, мобильные пользователи);
o определение политики аутентификации (пароли, рекомендации по аутентификации удалённых субъектов и использованию аутентифицирующих устройств);
o определение политики разграничения доступа и привилегии для различныхкатегорий сотрудников (пользователей, системных администраторов, администраторов безопасности, руководителей);
o обнаружение и блокирование вирусов и других вредоносных програм м;
o определение порядка разработки и сопровождения АС;
o обучение персонала по вопросам безопасности ИТ;
o защита от недекларированных возможностей ПО;
o ликвидация последствий нарушения политики безопасности и ответственность нарушителей;
o ссылки на более детальные документы по безопасности ИТ (положения, инструкции);
o аудит и обновление политики безопасности.
К сожалению, на практике после внедрения в организациях систем обеспечения безопасности информационных технологий иногда имеют место быть некоторые недостатки, среди которых можно выделить типовые:
o отсутствие необходимой организационной основы, обеспечивающей согласованные действия подразделений организации по выработке и реализации единой политики безопасности ИТ;
o отсутствие в организационно-штатной структуре организации специального подразделения, непосредственно ответственного за решение вопросов обеспечения безопасности ИТ в организации, за разработку и внедрение в организации единой технологии управления безопасностью ИТ;
o неполнота и противоречивость нормативно-правовой базы организации по вопросам обеспечения безопасности ИТ, слабая увязка существующих организационно-распорядительных документов с реальными потребностями и требованиями законодательства Российской Федерации;
o отсутствие системного подхода к обеспечению безопасности ИТ организации, при котором была бы обеспечена комплексная защита информации на всех этапах жизненного цикла АС и технологических циклов её обработки и передачи.
Для оценки текущего состояния ИТ в организации (насколько имеющиеся ИТ-средства и процессы эффективны «сами по себе» (с точки зрения ИТ) и для реализации бизнес- процессов, насколько безопасна имеющаяся ИТ-инфраструктура, какова стоимость ИТ для организации в терминах общей стоимости владения (ТСО) и каков возврат инвестиций, вложенных в ИТ-инфраструктуру, для бизнеса (ROI)) и получения ответа на вопрос «что делать, если текущее положение дел не устраивает?» можно воспользоваться существующими различными методиками и моделями зрелости или оптимизации ИТ- инфраструктуры, предлагаемыми известными исследовательскими и консалтинговыми организациями в области ИТ. Среди таких методик можно назвать Infrastructure Maturity Model (Gartner Group), Architecture Maturity Model (MTI), Infrastructure Optimization Model (Microsoft) и ряд других. Набор сервисов в моделях зрелости часто называют уровнем зрелости. Например, в Infrastructure Maturity Model (Gartner Group) определены четыре уровня зрелости (в сфере обеспечения ИБ):
0-й уровень:
o информационной безопасностью в компании никто не занимается,руководство компании не осознает важности проблем информационнойбезопасности;
o финансирование отсутствует;
o информационная безопасность реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита,разграничение доступа к ресурсам и сервисам).
1-й уровень:
o информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепцияинформационной безопасности, политика) развития системы обеспечения информационной безопасности компании;
o финансирование ведётся в рамках общего ИТ - бюджета;
o информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.
2-й уровень:
o информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационная безопасности для производственных процессов, есть утверждённая руководством программа развития системы обеспечения информационной безопасности компании;
o финансирование ведётся в рамках отдельного бюджета
o информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, системы обнаружения вторжений (IDS), средства анализа защищённости, средства однократной аутентификации (SSO), инфраструктура открытых ключей (PKI) и организационные меры (внутренний и внешний аудит, анализ рисков, политика информационной безопасности, положения, процедуры, регламенты и руководства).
3-й уровень:
o информационная безопасность является частью корпоративной культуры, назначен старший администратор по вопросам обеспечения информационной безопасности (CISA);
o финансирование ведётся в рамках отдельного бюджета
o информационная безопасность реализуется средствами второго уровня плюс система управления информационной безопасностью, группа реагирования на инциденты нарушения информационной безопасности (CSIRT), соглашение об уровне сервиса (SLA).
