Проблемно-ориентированная политика безопасности.

Проблемно-ориентированная политика безопасности. Объект приложения ПрорПБ – являет отдельная конкретная проблема или задачи в области ИБ предприятия и организации.

ПрорПБ разрабатывается, обычно для решения новых проблем, например:

o реализация новых требований при введении в действие новой законодательной базы;

o внедрение в организации новых ИТ.

o как ответная мера на выявление новых угроз и др.

Исходя из изменчивости возмущающих причин, вытекает свойство ПрорПБ: изменчивость (пересмотр).

Разработка ПрорПБ необходимо разрабатывать для:

· Internet- доступ;

· приватность и защита электронной почты;

· подходы к управлению рисками;

· привила использования неавторизованного ПО;

· удаленная работа со средствами ВТ ( как мобильных, так и стационарных);

· правила использования и хранения БД, системы резаревного копирования, …

По своему функциональному назначению ПрорПб уточняет, конкретизирует, дополняет Программной ПБ и, обычно, оформляется либо в виде свода отдельных привил безопасности.

Основными компонентами ПрорПБ являются:

1) Формулировка и описание проблемы.

Определение проблемы, ее системное описание: важность, отличительные признаки и условия существования проблемы, т.е. цель (цели) и обоснование разработки.

Пример.

Проблема использования «неофициального ПО».

- что есть «неофициальное ПО» (не закуплено, не одобрено, не управляется, не является собственностью);

- введение правил использования (запрет);

2) Формулировкапозиции организации – «правила поведения» для всех сотрудников.

3) Обоснование применимости. Пояснения: что, где, когда, кем конкретно применяется.

4) Полномочия и ответственность

- назначаются лица, обладающие полномочиями выдавать решения или запрещать использование

- кто несет ответственность за неукоснительное выполнение.

5) Порядок взаимодействия.

Прописывается четкая административная вертикаль, т.е. иерархия должностных лиц, уполномоченных решать проблемы, возникающие при реализации ПрорПБ.

Чтобы избежать излишней персонификации, указываются должности сотрудников.

Сотрудники должны знать, к кому обращаться в тех или иных случаях, за дополнительной информацией.

ПроПБ сопровождается (дополняется) руководствами, наставлениями, инструкциями. Что и как делать? Проверка, регистрация, учет, передача, …

4. Системно-орієнтована політика безпеки.

Определяет направления, методы и процедуры обеспечения инф. безопасности. СоПБ ограничен рамками отдельной ИТС, областью взаимодействия, средой эксплуатации.

Разрабатывается для руководителей старшего звена принимающих финансовые и тех. Решения, доводится до всех работников имеющих отношения к ИТС и обрабатываемой информ.

Имеет 2-х уровневую модель:

· Выработка цели и задач защиты (требует постоянного мониторинга и доработки)

· Практические правила безопасности (имеют свойство четкости и конкретности)

Основные компоненты СПБ:

· Концепция информацион-ной безопасности.

· Описание процессов управления рисками

· Требование реформ безопасности и решения по обеспечению режима информационной безопасности.

· Обязанность в области информ. реформ. безоп

· План обеспечения бесперебойной работы систем.

1) Концепция ИБ ИТС.

Система взглядов, основных принципов и основные направления обеспечения режима в системе.

На основе: анализа уровня и динамики развития информационных технологий ожидаемых угроз ИБ, источников угроз, факторов, способствующих их реализации дается систематизированное изложение целей, задач и принципов достижения требуемого уровня безопасности.

Т.е. формируется генеральная линия в решении проблем ИБ + пути достижения целей.

2) Описание процессов управления рисками

· Результаты анализа: угроз, рисков, уязвимостей; оценка рисков: модель угроз (источников угроз), оценка возможных исследований при реализации угроз, формирование модели защиты.

· Решение на устранение выявленных рисков.

Основные элементы управления рисками:

Ø определение компонентов и ресурсов ИТС (активов);

Ø идентификация угроз;

Ø связь рисков с объектами защиты;

Ø оценка рисков и величины возможного ущерба;

Ø выбор варианта построения системы ЗИ;

Ø оценка затрат на реализацию (создание) системы ЗИ.

3) Требования ИБ и решения по обеспечению режима ИБ.

Правила: физической безопасности, аутентификации, идентификации, управления доступом, применения криптографии, антивирусная защита и т.д.

4) Обязанности в области ИБ

Четкое расписание ролей и обязанностей отдельных должностных лиц по отношению к безопасности ИТС.

5) План обеспечения бесперебойной ИТС

Содержит:

v описание процедур реагирования на нештатные и чрезвычайные ситуации,

v процедуры перехода на аварийный режим функционирования,

v процедуры восстановления функционирования после сбоев (или) внештатных ситуаций.

Структура и содержание СоПБ определяется в каждом конкретном случае.