CC BY
44УДК 1
Чернов А.Е.
студент факультета информационных технологий и анализа больших данных (ИТиАБД), Информационная безопасность Финансовый университет при Правительстве РФ (г. Москва, Россия)
Научный руководитель: Резниченко С.А.
канд. техн. наук, доцент департамента информационной безопасности Финансовый университет при Правительстве РФ (г. Москва, Россия)
ОСНОВНЫЕ ТРЕБОВАНИЯ И ПРИНЦИПЫ, УЧИТЫВАЕМЫЕ ПРИ РАЗРАБОТКЕ И ВНЕДРЕНИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация: в данном тексте рассматривается важность и актуальность обеспечения информационной безопасности в современном цифровом мире. Представлены основные требования и принципы, которые необходимо учитывать при разработке и внедрении политики информационной безопасности. Также описаны требования, включающие анализ угроз и рисков, учет законодательных требований, управление доступом, обучение пользователей, регулярное обновление и аудит политики информационной безопасности. Упоминаются общепризнанные стандарты, такие как ШО/1ЕС 27002:2005 и ГОСТ Р ИСО/МЭК17799-2005.
Ключевые слова: информационная безопасность, политика информационной безопасности, требования, принципы, угрозы и риски, законодательные требования, управление доступом, обучение пользователей, обновление и аудит политики.
В современном цифровом мире безопасность информации становится все более актуальной и критически важной задачей для организаций во всех отраслях. Внедрение эффективной политики информационной безопасности (дальше - ИБ) является неотъемлемым элементом обеспечения защиты конфиденциальности, целостности и доступности информации. В данной статье рассматриваются основные требования и принципы, которые необходимо учитывать при разработке и внедрении политики ИБ.
Принципы, учитываемые при разработке и внедрении политики информационной безопасности:
• Законность. Осуществление защитных мер в соответствии с действующим законодательством в области ИБ, другими нормативными актами по ОИБ, утвержденных органами государственной власти, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
• Системность. Учет всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, значимых для поддержания ИБ в организации, включая все объекты защиты и направления нарушений ИБ, уязвимости используемых систем и высокую квалификацию злоумышленника.
• Мультидисциплинарный подход к разработке Политике ИБ. Учет правовых, технических, административных, организационных, учебных, коммерческих и функциональных вопросов.
• Многоуровневость обороны и разнообразие защитных средств. Затруднение действий злоумышленника (злоумышленник для взлома системы должен владеть разнообразными знаниями и навыками). Нельзя полагаться на один защитный рубеж, каким бы надежным он ни казался: в интернете за средствами физической защиты должны следовать программно-аппаратные средства, за идентификацией - управление доступом, и как последний рубеж - протоколирование и аудит.
• Эффективность и непрерывность защиты. Целенаправленный непрерывный процесс принятия соответствующих мер на всех этапах жизненного цикла организации.
• Гибкость управления и применения защитных мер. Обеспечение возможности варьировать уровень защищенности в зависимости от текущей ситуации и потребности организации в ИБ в данный период времени.
• Наблюдаемость и контролируемость защитных мер. Результат их применения будет явно наблюдаем и может быть оценен подразделением организации, имеющим соответствующие полномочия.
Требования, учитываемые при разработке и внедрении политики информационной безопасности:
1. Анализ угроз и рисков. Первым и основным шагом при разработке политики ИБ является анализ угроз и рисков, с которыми может столкнуться организация. Это позволяет определить потенциальные уязвимости и опасности для информации, а также выявить наиболее значимые активы, которые требуют особой защиты. Анализ рисков помогает оценить потенциальные последствия инцидентов безопасности и разработать соответствующие меры по их предотвращению или минимизации.
2. Законодательные требования и регуляторные нормы. При разработке политики ИБ необходимо учитывать законодательные требования и регуляторные нормы, которые регулируют область информационной безопасности.
3. Управление доступом. Контроль доступа является важной составляющей политики ИБ. Она определяет правила и процедуры для авторизации и аутентификации пользователей, управления привилегиями доступа, а также мониторинга и регистрации событий в системе. Каждый пользователь должен иметь только те привилегии, которые необходимы
для выполнения своих рабочих обязанностей, и доступ к конфиденциальной информации должен быть ограничен и контролируем.
4. Обучение и осведомленность пользователей. Политика ИБ должна включать программы обучения и осведомленности пользователей о принятых правилах и процедурах безопасности. Пользователи являются одним из слабых звеньев в цепи информационной безопасности, и обучение помогает им понять риски и угрозы, с которыми они могут столкнуться, и научиться применять соответствующие меры безопасности.
5. Регулярное обновление и аудит политики ИБ. Информационная среда и угрозы постоянно изменяются, поэтому политика ИБ должна быть регулярно обновляема. Обновление политики ИБ позволяет внедрять новые технологии и методы защиты, а также учитывать новые угрозы и требования безопасности. Аудит политики ИБ помогает проверить соответствие политики действительной практике и выявить возможные уязвимости и пробелы в безопасности.
Говоря о рекомендациях, необходимо обратить внимание на общепризнанные стандарты, описывающие общее содержание комплексной Политики ИБ организации являются КОЛЕС 27002:2005 и ГОСТ Р ИСО/МЭК 17799-2005. В этих документах отмечается, что Политики ИБ как неотъемлемая часть общей политики организации включает следующее:
1) определение ИБ, ее общих целей и области действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
2) изложение целей и принципов ОИБ, сформулированных руководством, и соответствующих бизнес-стратегии и целям организации, включая вопросы оценки и управления рисками ИБ;
3) краткое изложение и разъяснение наиболее существенных для организации политик, принципов, правил и требований, например:
соответствие законодательным требованиям и договорным обязательствам; требования в отношении обучения вопросам ИБ; предотвращение появления и обнаружение вирусов и другого вредоносного ПО; последствия нарушений и ответственность за нарушения Политики ИБ;
4) определение общих и конкретных обязанностей сотрудников в рамках управления ИБ, включая информирование об инцидентах ИБ;
5) ссылки на документы, дополняющие Политики ИБ, например, более детальные политики и процедуры ОИБ для конкретных ИС, а также правила, которым должны следовать пользователи.
Разработка и внедрение политики информационной безопасности требует учета ряда основных требований и принципов. Важно провести анализ угроз и рисков, учесть законодательные требования, вовлечь заинтересованных сторон и применить системный подход. Ключевыми аспектами политики ИБ являются управление доступом, обучение пользователей, регулярное обновление и аудит политики. Целью этих требований и принципов является создание эффективной системы защиты информации, обеспечивающей конфиденциальность, целостность и доступность данных организации.
Внедрение политики ИБ требует постоянного мониторинга и совершенствования, чтобы быть адаптированной к изменяющимся угрозам и технологиям. Современные организации должны осознавать, что информационная безопасность является непрерывным процессом и требует участия всех сотрудников, начиная от высшего руководства и заканчивая обычными пользователями.
Разработка и внедрение политики ИБ — это неотъемлемая часть стратегии информационной безопасности каждой организации и, когда эти требования и принципы применяются правильно, они помогают минимизировать риски и предотвращать утечки и нарушения безопасности данных. При этом организация может обеспечить доверие своих клиентов и
защитить свою репутацию, что является фундаментом для успешного функционирования в современном информационном обществе.
СПИСОК ЛИТЕРАТУРЫ:
1. ISO/IEC 27002:2005 - Стандарт Международной организации по стандартизации и Международной электротехнической комиссии, который описывает общие принципы и рекомендации для управления информационной безопасностью.
2. ГОСТ Р ИСО/МЭК 17799-2005 - Государственный стандарт Российской Федерации, основанный на стандарте ISO/IEC 17799, который содержит руководство по управлению информационной безопасностью.
3. «Организационная безопасность информационных систем» - учебное пособие В.В. Ляминой и Н.В. Новиковой
4. «Информационная безопасность: управление рисками» - А.Л. Чепурина и А.А. Строганова
5. http://mephi.edu
Chernov A.E.
Student of the Faculty of Information Technology and Big Data Analysis (ITiABD),
Information Security Financial University under Government of Russian Federation
(Moscow, Russia)
Scientific supervisor: Reznichenko S.A.
Candidate of Technical Sciences, Associate Professor of the Department of
Information Security, Financial University under Government of Russian Federation
(Moscow, Russia)
THE MAIN REQUIREMENTS AND PRINCIPLES TAKEN INTO ACCOUNT IN THE DEVELOPMENT AND IMPLEMENTATION OF INFORMATION SECURITY POLICY
Abstract: this text discusses the importance and relevance of information security in the modern digital world. The main requirements and principles that must be taken into account when developing and implementing an information security policy are presented. Requirements are also described, including threat and risk analysis, consideration of legal requirements, access control, user training, regular updating and auditing of information security policy. Generally recognized standards are mentioned, such as ISO/IEC 27002:2005 and GOSTRISO/IEC 17799-2005.
Keywords: information security, information security policy, requirements, principles, threats and risks, legislative requirements, access control, user training, policy update and audit.
