Что такое политика безопасности ?


А. Лукацкий
Как нельзя сделать качественный ремонт в квартире без хорошего дизайн-проекта, так и невозможно заниматься информационной безопасностью (ИБ) своей компании, не имея соответствующей политики или концепции ИБ. Это именно тот документ, в котором сконцентрированы основные идеи по защите всех бизнес-процессов компании. Без него любой специалист безопасности информационных ресурсов будет чувствовать себя как без рук. Сразу оговоримся, «концепция ИБ» и «политика ИБ» – абсолютно разные термины, но в данной статье, для облегчения повествования, оба термина будут использоваться равнозначно.

Так ли нужна политика безопасности?

К сожалению, на практике часто приходится сталкиваться с такой ситуацией. Приходишь к заказчику, которому необходимо установить и настроить межсетевой экран или систему предотвращения атак, а на вопрос, а есть ли у него политика безопасности, следует недоуменный взгляд и ответ: «А зачем? Мне надо открыть только HTTP и SMTP». Открыли… Через минуту звонок – «У меня ICQ не работает». Потом еще: «Не работает доступ к интернет-магазину» (обычно по HTTPS). Затем следует просто шквал звонков и писем: SSH, Telnet, IPSec, POP3, SQL*Net, SIP, H.323 и т. д. и т. п. Администратор со стороны заказчика с удивлением обнаруживает, что в Интернет у него ходят по двум-трем десяткам различных протоколов, о чем он и не догадывался. А ведь это только часть проблемы нехватки информации о состоянии информационной безопасности, решить которую могла бы политика безопасности.

Парадоксальное положение. В компании есть горы документов по различным аспектам ее деятельности, но нет ничего, чтобы помогло бы ответить на вопрос: «Какую информацию мы защищаем? От чего и как?» А все потому, что для большинства руководителей информация не является активом, который требует такого же внимания, как и золотые слитки в банковских ячейках, облигации государственных займов или ценные бумаги отечественных монополий.

Отличия подходов к созданию политики безопасности в России и на Западе

Ни в одном западном материале по информационной безопасности вы не встретите термин «концепция информационной безопасности». По отношению к отдельным компаниям его просто не существует. Если это понятие и встречается, то только по отношению к целым государствам. В России все не так. Любая уважающая себя компания или государственное ведомство тратит немалые ресурсы на разработку этого документа, который, согласно общепринятому толкованию, излагает систему взглядов, целей и задач, основных принципов и способов достижения требуемого уровня защищенности информации. На Западе никто не спорит, что такая единая система нужна, но там она носит название «политика безопасности» (Security Policy).

Но не только этим отличаются российские и зарубежные специалисты. Мы очень большое внимание уделяем форме, а не содержанию этого документа. У нас политику сам заказчик пишет редко – обычно ее за большие деньги заказывают интегратору, который не без основания полагает, что его работу будут оценивать по объему. Поэтому на свет регулярно появляются фолианты по 100–200 страниц, которые можно почти без изменений издавать как учебные пособия по информационной безопасности. Практической ценности подобные документы, увы, почти не имеют. На Западе лишь редкие компании имеют документ, похожий на наши «концепции». Если они и есть, то это скорее некое заявление о безопасности (Security Statement), которое рассчитано на не специалистов по защите информации и лишь отражает внимание руководства компании к данной проблеме, не вдаваясь в технические детали (пример такого Security Statement может быть найден по адресу: http://www.japan-telecom. co.jp/english/security/).

Для специалистов же есть набор конкретных документов, рассматривающих отдельные вопросы обеспечения информационной безопасности предприятия: политика аудита, парольная политика, политика оценки рисков, политика защиты web-сервера, политика работы с электронной почтой и т. п. Все по делу, никакой «воды», исключительно конкретика. К примеру, некоторые из политик компании Cisco. Парольная политика – 3 страницы, 6700 знаков. Политика анализа рисков – 2 страницы, 4600 знаков. Политика защиты сетевого оборудования – 1 страница, 2800 знаков. Самая большая политика – классификация информации – насчитывает всего 8 страниц и 18 200 знаков. При необходимости политика может ссылаться на дополнительные инструкции и руководства. Например, в случае с уже упомянутой парольной политикой в подразделе «Создание паролей» идет ссылка на специальное руководство по правильному выбору паролей (1 страница, 2900 знаков).

Чем хорош такой подход? Малейшие изменения в какой-либо из политик не требуют пересмотра всех в целом. Изменения касаются только одного документа и не затрагивают остальных аспектов обеспечения безопасности информационных ресурсов. По российской практике необходим пересмотр огромного документа в целом. С учетом того, что обычно его визирует руководство компании или ведомства, любые коррективы подчас приводят к длительному ожиданию подписи непонятного, но внушающего уважение многостраничного «труда».

Что должна включать политика безопасности?

Концепция должна содержать систему взглядов на достаточно высоком уровне. Цели и задачи в области ИБ, никаких инструкций, нормативов, описания продуктов, имен ответственных и т. п. Политика описывает общий подход к ИБ без специфичных деталей. Как например, выглядит типичная политика безопасности компании Cisco? Она описывается всего семью разделами (их число редко превышает «магическую» семерку):

* «Введение». Описывает необходимость появления данного документа (в ряде случаев отсутствует);
* «Цель политики». Описывает цели создания данного документа (в частности, для парольной политики – «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»);
* «Область применения». Описывает объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);
* «Политика». Описывает сами требования (парольная политика Cisco содержит пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»);
* «Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований;
* «Термины и определения»;
* «История изменений данной политики». Дает возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения).

Такая структура позволяет лаконично (на 2–3 страницы) описать все основные моменты, связанные с предметом политики безопасности. При этом надо постоянно помнить, что концепция – это не описание способа реализации. В ней нельзя «привязываться» к конкретным техническим решениям, продуктам и производителям. Иначе изменение политической ситуации в компании, уход с рынка какого-либо из вендоров и т. п. приведет к необходимости изменения концепции ИБ, а этого происходить не должно.

Разумеется, политика безопасности – не статичный документ или, точнее, набор документов. Они тоже должны пересматриваться. Но не в результате смены программной платформы (правила выбора паролей и для Unix, и для Windows, и для Cisco IOS одинаковы) или имени ответственного за безопасность отдельного сегмента информационной системы предприятия, а под влиянием таких факторов, как изменение технологии обработки информации, появление новых бизнес-процессов и т. п.

Если уж, по российской традиции, обойтись без самого главного документа никак нельзя, то он должен быть коротким и являться некой вершиной, от которой уже берут свое начало документы, конкретизирующие различные аспекты обеспечения ИБ. Даже 30–40 страниц (а именно такой объем встречается у более «продвинутых» в безопасности российских ведомств) – это уже перебор; лучше ограничиться 12–15.

Кто должен писать политику безопасности?

Вспомним, как осуществляется ремонт квартиры. После изучения текущей ситуации (что же нам продали и как мы дошли до жизни такой), начинается творческий процесс составления дизайн-проекта нового облика жилища. Разумеется, термин «дизайн-проект» настолько емок и многогранен, что я не берусь дать его точное толкование. Для кого-то достаточно набросков на салфетке в кафе, а кому-то подавай 50–70-страничные блокноты, в подробностях и цвете, передающие характер новой квартиры. Также и в безопасности. Кому-то достаточно 10–12 страниц конкретики, а кому-то и 100 страниц деталей не хватает.

Получить дизайн-проект можно двумя путями. Можно пригласить архитектора и дизайнера, которые выполнят проект по вашим требованиям, не забыв при этом соблюсти все законы и распоряжения, действующие в этой сфере. Но если вы считаете себя прирожденным дизайнером и так и «сыпете» идеями, то логичным развитием событий будет самостоятельное создание проекта жилища вашей мечты. На этом пути вас будут подстерегать различные подводные камни, но если вы чувствуете в себе силы и уверены в своей компетенции, то можно пойти и по этому пути. При проектировании системы информационной безопасности ситуация аналогичная – вы можете привлечь консультантов или воспользоваться своими знаниями и опытом, создав защищенную сеть с минимумом затрат. Подспорьем в этом могут служить различные программные продукты, «берущие на себя» роль аналитиков-консультантов. Например, российские «АванГард» и Digital Security Office 2005 (http://www.dsec.ru/products/dsoffice/), или западные CRAMM, либо более простой Cisco Security Policy Builder (http://www.cisco. com/go/securitypolicybuilder/). Идя по первому пути, вы получаете «незамыленный» взгляд на свои проблемы и документ, который их решает. Второй путь более экономичен, однако гораздо чаще приводит к неудаче. Но в любом случае главное – не увлекаться писательством. Цель данной работы – содержание, а не форма.

Независимо от того, кто был автором политики безопасности, она должна пройти через отдел кадров и юридический департамент. Первый, проверив непротиворечивость документа с КЗОТом, сможет использовать его при приеме на работу новых сотрудников (и при аттестации уже работающих). Без юристов не обойтись, потому что документ должен соответствовать всем действующим в стране нормам и законам. В противном случае отдельные положения политики безопасности в конфликтных ситуациях могут быть оспорены в суде.

Что надо не забыть включить в политику безопасности?

Какая основная проблема большинства разработчиков политик безопасности? Они никогда не встают на место сотрудника бизнес-подразделений, который по сути и является основным исполнителем требований по защите информации. Представим себе обычного специалиста отдела информационной безопасности, которому поставлена задача написать политику ИБ. Даже избежав соблазна начать творчество с толстой, но ни на что не годной рукописи, первым делом он напишет документ по выбору паролей, настройке межсетевых экранов, использованию антивирусов и, может быть, защиты почты от вредоносных программ и спама. А теперь посмотрим на типичный день сотрудника бизнес-подразделения. Пригласив утром клиента в офис компании, он встретится с ним в переговорной комнате, оснащенной беспроводным доступом с возможностью гостевого входа (чтобы клиент не чувствовал себя оторванным от Интернета и своей корпоративной информационной системы). Для получения подготовленных клиентом документов он воспользуется обычной флешкой, договорится о встрече с партнером по ICQ, занесет дату и время встречи в свой смартфон или КПК и поедет на встречу, взяв лептоп. А теперь вспомните, есть ли в разработанной вами политике безопасности разделы по безопасности (кроме Cisco и ряда других западных ИТ-гигантов, я больше не встречал компаний, имеющих такие политики безопасности) описанных выше действий сотрудников?

Чего еще я никогда не видел в отечественных концепциях информационной безопасности?

Вопросов, связанных с безопасностью:

* карманных компьютеров, смартфонов, коммуникаторов или обычных мобильных телефонов. Они настолько прочно вошли в нашу жизнь, что воспринимаются как нечто само собой разумеющееся. При этом как-то упускается из виду, что данные цифровые гаджеты могут служить отличным каналом как утечки информации, так и проникновения злоумышленников или вредоносных программ в обход периметровых средств защиты;

* портативных мобильных устройств – USB-дисков, «флэшек», iPod'ов и MP3-плейеров, цифровых фотоаппаратов. Первые два типа устройств миниатюрны, а значит, их можно незаметно пронести в офис и вынести всю конфиденциальную информацию. Остальные из названных устройств как носители информации не воспринимаются, но при необходимости идеально справятся с этой ролью;

* мобильных пользователей. Их число постоянно растет. Обладая при этом полным доступом к корпоративным ресурсам из любой точки мира, они остаются вне зоны действия периметровых средств корпоративной безопасности и атаковать их гораздо проще, чем центральный офис компании;

* экстранет-пользователей. Концепция «экстранет» или сети, открытой для партнеров, поставщиков, заказчиков и других типов внешних пользователей, позволяет не только улучшить показатели бизнеса (за счет сокращения складских запасов, облегчения и ускорения логистики, снижения стоимости продуктов и т. д.), но и открывает потенциальную брешь в системе защиты;

* беспроводных пользователей. Технология Wi-Fi повышает не только производительность сотрудников, но и опасность неконтролируемого проникновения внутрь защищаемой сети. Необходимо иметь политику использования точек беспроводного доступа в своей компании. Даже если у вас не разрешено использовать эту новую и эффективную ИТ-технологию, то ваши пользователи могут придерживаться противоположного мнения. По статистике, почти 99% всех несанкционированных установок точек беспроводного доступа совершают «нетерпеливые» сотрудники, жаждущие мобильности и повышения эффективности своей работы. Следовательно, вы должны регулярно контролировать радиоэфир в поисках несанкционированных беспроводных включений;

* гостевого доступа. С целью повышения лояльности ваших клиентов вы предлагаете им бесплатный гостевой выход в Интернет из своего офиса? А вы подумали о безопасности такого выхода? Не получат ли они при этом доступ к неразрешенной для них информации? Защищены ли они при выходе в Интернет? Ведь если они пострадают от вирусной эпидемии в момент нахождения в вашем офисе, виноваты будете только вы. При наличии политики безопасности гостевого входа подобных проблем не возникнет;

* аутсорсинга. В последнее время компании все чаще избавляются от непрофильных для себя услуг и передают их на аутсорсинг в специализированные компании. Так поступают с хостингом web-сайтов, IP-телефонией и даже управлением средствами защиты. Но безопасно ли осуществляется отданная в чужие руки услуга? Не станет ли внешний подрядчик причиной утечки информации от вас? А если через канал взаимодействия между вами проникнет злоумышленник или вредоносная программа? Во избежание нежелательных последствий лучше предусмотреть все заранее;

* лабораторий и стендов. Я не раз сталкивался с ситуацией, когда стенд, на котором «обкатываются» новые решения перед внедрением их в «боевую» эксплуатацию, был подключен к рабочей сети. Небольшая проблема в лаборатории, выйдя за пределы своего «маленького мира», становилась большой головной болью для всех ИТ-специалистов компании. Предотвратить это можно, «отгородив» испытательный стенд от всех остальных систем и запретив любое объединение в политике безопасности.

Повальное увлечение мобильными телефонами сократило число пользователей, несанкционированно использующих модемы для выхода в Интернет (через GPRS сделать это гораздо удобнее и незаметнее), но опасность модемных подключений от этого не уменьшилась. Более того, она возросла, так как про модемы все «забыли».

Очень редко разработчики концепции «вспоминают» о наличии лептопов в компании, а напрасно. Лептопы (особенно те, которые принадлежат начальству) содержат огромные залежи важнейшей информации по всем аспектам жизнедеятельности компании – ее ноу-хау, перспективным разработкам, политике ценообразования, конфиденциальным контрактам и т. п.

Заключение

В политике безопасности должны также найти свое отражение вопросы:

* взаимодействия с прессой в случае успешного взлома или вырвавшейся наружу эпидемии;
* расследования инцидентов;
* обучения всех сотрудников (начиная с высшего руководства и заканчивая низовым звеном);
* взаимодействия с другими сферами безопасности (секретное делопроизводство, физическая безопасность и т. п.);
* взаимодействия с правоохранительными органами или оператором связи и т. п.

В рамках одной статьи очень сложно рассказать обо всех подводных камнях написания политики безопасности. Главное – помнить, что без этого набора документов любая деятельность по обеспечению информационной безопасности будет малоэффективной и похожей на латание постоянно появляющихся дыр. Системный подход позволит не быть в плену у обстоятельств, а взять всю ситуацию под контроль, что, в свою очередь, и является залогом успешной защиты информационных ресурсов.

Обновлено: 11.03.2015