В представлении IBM политики и стандарты безопасности создаются для:
• разработки правил и норм безопасности уровня компании;
• анализа информационных рисков и способов их уменьшения;
• формализации способов защиты, которые должны быть реализованы;
• определения ожиданий со стороны компании и сотрудников;
• четкого определения процедур безопасности, которым нужно следовать;
• обеспечения юридической поддержки в случае возникновения проблем в области безопасности.
Стандарты реализуются с помощью практик и/или процедур. Практики являются реализацией стандартов в операционных системах, приложениях и информационных системах. В них детализируются сервисы, устанавливаемые на операционных системах, порядок создания учетных записей и т. д. Процедуры документируют процессы запроса и подтверждения доступа к определенным сервисам, например VPN.
Рассмотрим особенности предлагаемого подхода IBM (рис. 2.3) на следующем примере:
• проблемная ситуация – сотрудники загружают программное обеспечение из сети Интернет, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности работы сотрудников компании;
• в политику безопасности добавляется строка – «информационные ресурсы компании могут быть использованы только для выполнения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудникам компании;
• создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспечение разрешены для использования сотрудниками;
• практика безопасности описывает, как настроить операционную систему в соответствии с требованиями стандарта безопасности;
• процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или установку дополнительного программного обеспечения сотрудниками;
• устанавливаются дополнительные сервисы для контроля выполнения требований политики безопасности.
...
Рис. 2.3. Подход IBM к разработке документов безопасности
2.1.2. Пример стандарта безопасности для ОС семейства UNIX
Цель и область действия стандарта: документ определяет требования по защите компьютеров, работающих под управлением ОС семейства UNIX.
Аудитория: персонал служб информационных технологий и информационной безопасности.
Полномочия: отдел информационной безопасности наделяется всеми полномочиями для разрешения возможных проблем, связанных с безопасностью серверов информационной системы компании, и несет за это ответственность. Департамент управления информационными рисками утверждает все отклонения от требований данного стандарта.
