В основе организационных мер защиты информации лежат политики безопасности. Успешность любых мероприятий по обеспечению информационной безопасности сильно зависит от их эффективности.
Известно, что дела с обеспечением информационной безопасности во многих отечественных компаниях обстоят не лучшим образом. Общение со специалистами и результаты исследований только укрепляют это мнение.
Организации регулярно терпят убытки, связанные с нарушениями информационной безопасности, но не способны оценить ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации полноценной процедуры управления соответствующими рисками. Большинство специалистов-практиков даже не берутся за эту «непосильную» задачу, предпочитая полагаться исключительно на собственный опыт и интуицию.
Инвестиции организаций в обеспечение информационной безопасности в виде приобретаемых средств защиты, затрат на оплату труда специалистов, на проведение внешнего аудита безопасности и т. п., неуклонно увеличиваясь из года в год, зачастую не окупаются. Происходит это главным образом потому, что большинство организаций продолжают придерживаться фрагментарного подхода, который оправдывает себя только при слабой зависимости организации от ИТ и низком уровне рисков информационной безопасности. Адекватный уровень информационной безопасности в состоянии обеспечить только комплексный подход, предполагающий планомерное использование как программно-технических, так и организационных мер защиты на единой концептуальной основе. При этом организационные меры играют первостепенную роль. Эффективность самых сложных и дорогостоящих механизмов защиты сводится к нулю, если пользователи игнорируют элементарные правила парольной политики, а сетевые администраторы нарушают установленные процедуры предоставления доступа к ресурсам корпоративной сети.
В основе организационных мер защиты информации лежат политики безопасности. От их эффективности в наибольшей степени зависит успешность любых мероприятий по обеспечению информационной безопасности. Часто приходится сталкиваться с неоднозначностью понимания термина «политика безопасности». В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению информационной безопасности организации. В узком — как локальный нормативный документ, определяющий требования безопасности, систему мер либо порядок действий, а также ответственность сотрудников и механизмы контроля для определенной области обеспечения информационной безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения информационной безопасности при взаимодействии с Internet» и т. п. Использование нескольких специализированных нормативных документов обычно предпочтительнее создания «Общего руководства по обеспечению информационной безопасности организации». Скажем, в компании Cisco Systems стараются, чтобы размер политики безопасности не превышал двух страниц; в редких случаях он может достигать четырех-пяти страниц (см. www.globaltrust.ru/Services/Policy.htm). По опыту автора, содержательная часть типовой русскоязычной политики безопасности обычно не превышает семи страниц. Этот подход, однако, не противоречит созданию объемных руководств, положений и концепций, содержащих ссылки на множество специализированных политик безопасности и увязывающих их в единую систему организационных мер по защите информации.
Рассмотрим существующие подходы к разработке эффективных политик безопасности, без которых невозможно создание комплексной системы информационной безопасности организации. Эффективность политики безопасности определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения информационной безопасности, а также правильностью и законченностью процесса внедрения.
Примеры неудачных политик
Продемонстрировать, каким образом неэффективные политики безопасности (либо их отсутствие) делают систему обеспечения информационной безопасности неработоспособной, можно на нескольких простых примерах неудачных (неэффективных) политик безопасности. Подобные документы приводят к снижению производительности труда пользователей и, создавая иллюзию «ложной защищенности», только ухудшают общее положение дел с обеспечением информационной безопасности в организации.
Кража оборудования
Производитель электроники приобрел необходимое дорогостоящее тестовое оборудование. Отдел безопасности решил, что для обеспечения сохранности этого оборудования следует предоставить доступ к нему всего нескольким сотрудникам. На входе в помещение с оборудованием установили электронные замки со смарт-картами, а ключи выдали старшему менеджеру. Попасть в это помещение сотрудникам, имеющим доступ, можно было только со старшим менеджером.
Первоначально требования данной политики добросовестно выполнялись. Однако со временем менеджеру надоело выполнять функции по сопровождению сотрудников. Производительность труда снизилась, поскольку менеджер периодически оказывался недоступен, а кроме него некому было открывать помещение. Отдел безопасности отказался удовлетворить просьбу менеджера о выдаче дополнительных ключей. В итоге была достигнута неформальная договоренность о том, что ключи будут находиться в ящике стола.
Однажды, когда менеджер и его сотрудники были на собрании, оборудование похитили. Ключа тоже найти не удалось. Отдел безопасности предпринял расследование, которое, впрочем, успехом не увенчалось.
Просуммируем результаты внедрения данной политики. Было потеряно дорогостоящее оборудование. У менеджеров и сотрудников организации сложилось крайне негативное отношение к любым мерам и политикам обеспечения безопасности. Ворам удалось избежать ответственности. Дорогостоящие меры защиты не оправдали себя.
Данная политика безопасности потерпела неудачу, потому что оказалась неудобной для сотрудников организации, а ее требования было легко обойти. Разработчики политики не учли ее влияние на производительность труда. Ошибки можно было избежать, если бы они вовлекли в процесс разработки политики безопасности сотрудников организации. Отдел безопасности не заметил (или не пожелал заметить) тот факт, что требования данной политики безопасности не соответствовали бизнес-процессам организации. Наличие внутреннего контроля над ее внедрением позволил бы выявить это противоречие и разработать более эффективную политику.
Утечка информации
Сетевые администраторы решили, что в организации слишком много неиспользуемых учетных записей пользователей электронной почты, и разработали политику безопасности, требующую для создания учетной записи пользователя подписей трех вице-президентов компании.
Запросы на создание учетных записей поступали ежедневно, а получить одновременно подписи всех трех вице-президентов было крайне затруднительно. Как правило, вице-президенты понятия не имели, для кого учетные записи создавались. В результате некоторые из них просто стали подписывать пачку пустых служебных записок и распространять их среди менеджеров.
Файлы, содержащие конфиденциальную информацию, были похищены и опубликованы в Internet анонимным пользователем. Изучение журналов аудита на файловом сервере показало, что доступ к скомпрометированным файлам был получен пользователем под именем JQPUBLIC. B ходе дальнейшего расследования выяснилось, что запрос на создание соответствующей учетной записи был санкционирован несколько месяцев назад. Оказалось, что никто не имеет представления о том, за кем была закреплена эта учетная запись и кем был сделан соответствующий запрос.
Просуммируем результаты внедрения политики. Была скомпрометирована конфиденциальная информация, репутация компании подорвана. Злоумышленнику удалось избежать ответственности.
Разработчики данной политики, как и в предыдущем случае, не учли ее жизнеспособность. Подписи, требуемые для создания учетных записей, являлись чисто формальными и не представляли практической модели идентификации пользователей. Риски, связанные с предоставлением пользователям учетных записей, не были надлежащим образом разъяснены вице-президентам, хотя это входит в обязанности любой службы безопасности.
Отдел безопасности также должен был знать о том, что пустые служебные записки распространялись, будучи уже подписанными. При наличии процедур аудита безопасности, предусматривающих проверку новых учетных записей, стало бы очевидным, что вице-президенты не имели представления о том, для кого и когда они создавались. По результатам аудита политику безопасности необходимо доработать либо провести разъяснительную работу с руководством организации с целью осознанного следования правилам установленной политики.
Потеря данных и оборудования
Все оборудование Web-серверов компании размещалось в центральной серверной комнате в головном офисе. Такая политика обеспечивала хороший уровень безопасности и системной поддержки. Однако с расширением диапазона предоставляемых услуг увеличилось количество запросов на установку дополнительных серверов, которые сложно было удовлетворить.
Процедура выделения дополнительного места в серверной комнате и биллинга для различных подразделений была довольно сложной. Поэтому некоторые подразделения решили разместить необходимые им серверы на своей территории и самостоятельно осуществлять их поддержку. Одно подразделение, предоставлявшее Web-сервисы на основе подписки, поместило сервер в шкаф, где хранились канцелярские принадлежности и туалетная бумага, что в один прекрасный день привело к возгоранию сервера, вызванному его перегревом. Огонь уничтожил сервер вместе с частью здания.
Так как служба технической поддержки не отвечала за эксплуатацию сервера, выяснилось, что резервное копирование данных не осуществлялось уже в течение года. Процедуры восстановления после аварии оказались в данном случае непригодными; клиентов, подписавшихся на Web-сервис, идентифицировать не удалось, поскольку не представлялось возможным определить их текущие балансы для выставления счетов на оплату услуг.
Просуммируем результаты. Часть клиентской базы была безвозвратно потеряна, критичная информация уничтожена, здание и имущество организации повреждены. Организацию оштрафовали за нарушение правил пожарной безопасности.
Из-за того что процедура выделения места в серверной комнате и выставления счетов за ее использование была слишком сложной, служба технической поддержки не знала о существовании дополнительных незащищенных серверов. Необходимо, чтобы служба безопасности располагала достаточной информацией о пользователях и системах, которые она должна защищать. Если бы стало известно о том, что производственные серверы находятся в незащищенных помещениях и их резервное копирование не производится, проблема могла быть решена на соответствующем уровне руководства.
За два года не было замечено, что некоторые производственные серверы не охвачены системой резервного копирования. Своевременно проведенный аудит систем, подключенных к сети, установил бы, что этот сервер являлся производственным, а резервное копирование данных на нем не производится.
Факт размещения сервера в шкафу с туалетной бумагой создавал впечатление, что это оборудование не представляет ценности. Обнаружив его в шкафу, вы вряд ли уделили бы ему больше внимания, чем остальным находящимся там предметам.
Во всех приведенных примерах политики безопасности потерпели неудачу по целому ряду причин.
1. Политики безопасности были неудобны для сотрудников организации и оказывали негативное влияние на эффективность бизнес-процессов.
2. Сотрудники и менеджеры не привлекались к разработке политики безопасности, ее требования не согласовывались со всеми заинтересованными сторонами.
3. Сотрудники и руководство организации не были осведомлены о причинах, обусловливающих необходимость выполнения правил политики безопасности.
4. Контроль выполнения политики безопасности в ходе их внедрения не осуществлялся.
5. Аудит безопасности не проводился.
6. Правила политики безопасности не пересматривались.
Анализ перечисленных причин позволяет определить основные факторы, влияющие на эффективность разработки и внедрения политики безопасности. Их игнорирование способно привести проект внедрения политики безопасности к неудаче.
Теперь самое время поискать примеры неудачных политик безопасности в вашей организации.
Факторы, обусловливающие эффективность политики безопасности
Эффективные политики определяют необходимый и достаточный набор требований, позволяющих уменьшить риски информационной безопасности до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками.
При разработке политики, которая «не рухнет под своим собственным весом», следует учитывать факторы, влияющие на успешность применения мер безопасности.
Безопасность препятствует прогрессу
Меры безопасности накладывают ограничения на действия пользователей и системных администраторов и в общем случае приводят к снижению производительности труда. Безопасность — затратная статья, как и любая другая форма страхования рисков.
Человеческая природа всегда порождает желание получить большее количество информации, упростить доступ к ней и уменьшить время реакции системы. Любые меры безопасности в определенной степени препятствуют этому.
Представьте себе ожидание переключения сигнала светофора. Светофор предназначен для обеспечения безопасности дорожного движения, но если движение отсутствует, то это ожидание выглядит утомительной тратой времени. Человеческое терпение имеет предел, и, если светофор долго не переключается, у многих возникает желание проехать на красный свет (в конце концов, светофор может быть попросту неисправен).
Аналогично каждый пользователь обладает ограниченным запасом терпения в отношении правил политики безопасности, достигнув предела которого он перестает им следовать, решив, что это явно не в его интересах (не в интересах дела).
Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда «кто-то начинает двигаться на красный свет».
Следует учитывать и минимизировать влияние политики безопасности на производственный процесс, соблюдая принцип разумной достаточности.
Навыки безопасного поведения приобретаются в процессе обучения
Процедура обеспечения информационной безопасности требует обучения и периодического поддержания.
Здесь нельзя полагаться на интуицию, необходимо осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов или о причинах, по которым их следует защищать, скорее всего, будет считать соответствующую политику неразумной.
Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированных с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не обязательно знать технические детали обеспечения информационной безопасности и конкретные правила, предписываемые политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.
Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения информационной безопасности.
Нарушения политики безопасности неизбежны
В крупных организациях в ИТ-процессы вовлечена масса людей. Для большинства из них требования политики безопасности отнюдь не очевидны. Чем сложнее пользователям приспособиться к установленной политике, тем менее вероятна ее работоспособность. На начальном этапе ее требования наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.
Необходимо осуществлять непрерывный контроль выполнения правил политики безопасности как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения, разбираться в их причинах.
Одна из основных форм этого контроля — регулярное проведение как внутреннего, так и внешнего аудита безопасности.
Политику безопасности необходимо совершенствовать, чтобы она оставалась эффективной
Даже если вам удалось разработать и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение информационной безопасности — непрерывный процесс. Технологии стремительно изменяются, системы устаревают, а многие процедуры теряют эффективность. Политики безопасности должны непрерывно совершенствоваться, чтобы оставаться эффективными.
Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться.
Рекомендации по разработке и внедрению эффективных политик
Учет основных факторов, влияющих на эффективность политик безопасности, определяет успешность ее разработки и внедрения. Итак, как создать эффективную политику?
Минимизация влияния политики безопасности на производственный процесс
Внедрение политики безопасности практически всегда связано с созданием некоторых неудобств для сотрудников организации и снижением производительности бизнес-процессов. (В то же время правильная система мер информационной безопасности повышает эффективность бизнес-процессов за счет значительного повышения уровня безопасности, являющегося одним из основных показателей эффективности.) Влияние мер информационной безопасности на бизнес-процессы необходимо минимизировать. В то же время не стоит стремиться сделать меры информационной безопасности абсолютно прозрачными. С целью понять, какое влияние политика будет оказывать на работу организации, и избежать узких мест следует привлекать к разработке этого документа представителей бизнес-подразделений, служб технической поддержки и всех, кого это непосредственно коснется.
Политика безопасности — продукт коллективного творчества. В состав рабочей группы рекомендуется включить: руководителя высшего звена; руководителя, ответственного за внедрение и контроль выполнения требований политики безопасности;
сотрудника юридического департамента; сотрудника службы персонала; представителя бизнес-пользователей; технического писателя; эксперта по разработке политики безопасности [2]. В рабочую группу может входить от 5 до 10 человек в зависимости от размера организации и широты проблемной области, охватываемой политикой безопасности.
Непрерывность обучения
Обучение пользователей и системных администраторов — важнейшее условие успешного внедрения политики безопасности. Только сознательное выполнение ее требований приводит к положительному результату. Обучение реализуется путем ознакомления всех пользователей под роспись, публикации политики безопасности, рассылки пользователям информационных писем, проведения семинаров, а также индивидуальной разъяснительной работы с нарушителями. В случае необходимости на нарушителей безопасности налагаются взыскания, предусмотренные политикой безопасности и правилами внутреннего распорядка.
Пользователи должны знать, кого, в каких случаях и каким образом информировать о нарушениях информационной безопасности. Однако недопустимо, чтобы это выглядело как донос. Контактная информация лиц, отвечающих за реагирование на инциденты, должна быть доступна любому пользователю.
Непрерывный контроль и реагирование на нарушения безопасности
Контроль выполнения правил политики безопасности может осуществляться путем проведения плановых проверок в рамках мероприятий по аудиту информационной безопасности.
В организации должны быть предусмотрены меры по реагированию на нарушение правил политики безопасности. К этим мерам относятся оповещение об инциденте, реагирование, процедуры восстановления, механизмы сбора доказательств, проведения расследования и привлечения нарушителя к ответственности. Система мер по реагированию на инциденты должна быть скоординирована между ИТ-департаментом, службой безопасности и службой персонала.
Необходимо, чтобы политики по возможности носили не рекомендательный, а обязательный характер, ответственность за их нарушение была четко определена, а также были предусмотрены конкретные дисциплинарные и административные взыскания.
Постоянное совершенствование политик безопасности
Политика безопасности — это не набор раз и навсегда определенных прописных истин. Не следует пытаться путем ее внедрения решить сразу все проблемы безопасности. Политика является результатом согласованных решений, определяющих основные требования по обеспечению информационной безопасности и отражающих существующий уровень понимания этой проблемы в организации. Для того чтобы оставаться эффективной, политика безопасности должна периодически корректироваться. Необходимо определить ответственность за поддержание политики безопасности в актуальном состоянии и назначить интервалы ее пересмотра. Политика должна быть простой и понятной. Следует избегать усложнений, которые сделают политику неработоспособной. По этой же причине она не должна быть длинной. Иначе большинство пользователей не дочитают ее до конца, а если и дочитают, то не запомнят, о чем в ней говорится.
Поддержка руководства организации
На этапе внедрения политики безопасности решающее значение имеет поддержка руководства организации. Политика безопасности вводится в действие приказом руководителя, и процесс ее внедрения находится под его контролем. В политике безопасности прослеживается озабоченность руководства вопросами обеспечения информационной безопасности. Координатору рабочей группы по разработке политики безопасности следует разъяснить руководству организации риски, возникающие в случае отсутствия такой политики, а предписываемые ею меры экономически обосновать.
Жизненный цикл политики безопасности
Разработка политики безопасности — длительный и трудоемкий процесс, требующий профессионализма, отличного знания нормативной базы в области безопасности, да и писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение информационной безопасности. Эта ответственность обычно концентрируется на руководителе отдела информационной безопасности (CISO), директоре по безопасности (CSO), ИТ-директоре (CIO) или на руководителе отдела внутреннего аудита; именно он координирует деятельность рабочей группы по разработке и внедрению политики безопасности на протяжении всего жизненного цикла, который состоит из пяти последовательных этапов.
1. Первоначальный аудит безопасности. Аудит безопасности — процесс, с которого начинаются любые планомерные действия по обеспечению информационной безопасности в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и самые чувствительные к угрозам безопасности бизнес-процессы.
2. Разработка. Аудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки политики безопасности. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.
Разработка политики безопасности с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться существующими наработками (см., например, www.globaltrust.ru), ограничившись адаптацией типового комплекта к специфическим условиям своей организации. Этот путь позволяет сэкономить месяцы работы и повысить качество разрабатываемых документов. Кроме того, он является единственно приемлемым в случае отсутствия в организации собственных ресурсов для квалифицированной разработки политики безопасности.
3. Внедрение. С наибольшими трудностями приходится сталкиваться на этапе внедрения политики безопасности, которое, как правило, связано с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно-технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации. Системных администраторов может раздражать необходимость выполнения требований политик безопасности, усложняющих задачи администрирования. Помимо этого могут возникать и чисто технические проблемы, связанные, например, с отсутствием в используемых программных средствах функций, необходимых для реализации отдельных положений политики безопасности.
На этапе внедрения необходимо не просто довести содержание политики до сведения всех сотрудников организации, но также обучить и дать необходимые разъяснения сомневающимся, которые пытаются обойти новые правила и продолжать работать по-старому.
Для успешного завершения внедрения должна быть создана специальная проектная группа, действующая по согласованному плану.
4. Аудит и контроль. Соблюдение положений политики безопасности обязательно для всех сотрудников организации и должно непрерывно контролироваться.
Проведение планового аудита безопасности является одним из основных методов контроля работоспособности политики безопасности, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений политики и внесения в них необходимых корректировок.
5. Пересмотр и корректировка. Первая версия политики безопасности обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес-процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности. Как правило, ежегодный пересмотр политики безопасности — норма, которая устанавливается самой политикой.
Выводы
Адекватный уровень информационной безопасности в современной организации может быть обеспечен только на основе комплексного подхода, реализация которого начинается с разработки и внедрения эффективных политик безопасности. Такие политики определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски информационной безопасности до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того чтобы политика безопасности оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах безопасности и обучать их выполнению правил, предписываемых ею. Регулярный пересмотр и корректировка правил политики безопасности необходимы для поддержания ее в актуальном состоянии.
Разработка и внедрение политики безопасности — процесс коллективного творчества, в котором должны участвовать представители всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса является специалист, на которого руководство возлагает ответственность за обеспечение информационной безопасности. Этот специалист координирует деятельность рабочей группы по разработке и внедрению политики безопасности на протяжении всего жизненного цикла, включающего в себя проведение аудита безопасности, разработку, согласование, внедрение, обучение, контроль исполнения, пересмотр и корректировку политики безопасности.
Литература
- Why security policies fail. White Paper, Control Data Systems.
- Michele D. Guel, Proven Practices for Managing the Security Function. The SANS Policy Primer.