Политика за мрежова сигурност

Поредица от статии

Новата поредица от статии ще представи основните моменти от стандартите за информационна сигурност, последователноста за създаване на политика за сигурност при управление на информационните (автоматизирани и ръчни) системи, интегрираността, наличността и достъпността на информацията във фирмата, корпорацията, дружеството.

Информацията и информационните технологии са критични активи, осигуряващи бизнес целите на организациите. Успехът и развитието на всяка фирма, корпорация или дружество зависят в голяма степен от възможността на информацията и технологиите да осигурят бизнес процесите, да предоставят на ръководството и клиентите навременна и адекватна информация и да осигурят предимство спрямо конкурентите.

Ръководството на дадена фирма, корпорация или дружество следва да разглежда информацията като актив, влияещ върху работата и развитието на организацията и изискващ съответното ниво на защита от неоторизиран достъп и неправомерна употреба. Защитата на информацията е задължение на всички служители на фирмата, като отделни личности и в екип, което е важно за репутацията, ефикасното изпълнение на задачите и осигуряване на финансови успехи.

Информацията може да съществува в различни форми – на хартиен, електронен или друг вид носител, под формата на предмет или устройство, в аудио или визуален формат. Може да се отнася до всички дейности на фирмата или до отделни направления.

Анализа на развитието на информационните технологии показва, че най-слабото звено се оказва човека, който със своето познание или непознание може да нанесе вреди на системата. Причините и мотивите за това могат да бъдат най-различни, затова има необходимост от правила, като тяхното прилагане и контролиране са от голямо значение за работоспособността на корпоративната мрежа.

Сигурността на информацията в ИТ се състои в запазването на нейните елементи:
•    конфиденциалност – информацията се използва само от оторизираните за това лица;
•    цялостност – информацията е пълна, правилна и измененията не нарушават нейния интегритет;
•    достъпност – оторизираните лица имат достъп до информацията, когато това е необходимо.
•    Прилагане на принципа – „НЕОБХОДИМО ДА СЕ ЗНАЕ”. Това означва, че всеки трябва да има достъп само до необходимата за пряката му работа информация. Сужител, който по длъжностна характеристика не работи с компютърна техника не следва да има достъп до информация в електронен вид.

Най-важният елемент на корпоративната мрежа са сървърите, с които се работи, и на които се събира много и разнообразна информация. Пораженията, които могат да се получат варират от чисто физическо унищожаване, до загуба на информация поради изтриване, както и кражба, злоупотреба с информация и манипулиране на същата. Всяко едно от тези поражения може да доведе до икономически загуби на дружеството.

За запазване цялоста, интегритета и конфедициалноста на информацията в европейски и световен мащаб са разработени и се прилагат стандарти за Информационна сигурност – ISO 17799:2005 / ISO 27001:2005, БДС ISO/IEC 17799:2006, Кодекс за добра практика за управление на сигурността на информацията/ БДС ISO/IEC 27001:2006, Системи за управление на сигурността на информацията ISMS. Стандартите описват изискванията към сигурността на информацията и технологиите в информационните системи на дружеството или корпорацията.

Стандартът ISO 17799:2005 съдържа препоръки за управление на информационната сигурност. Той покрива различни аспекти на сигурността като:
•    планиране на кризисни ситуации;
•    физическа сигурност;
•    въпроси на сигурността, свързани с персонала;
•    контрол на достъпа до информационните системи;
•    сигурност при разработка и поддръжка на информационни системи.
ISO 17799:2005 представя най-добрите практики по сигурността, които могат да бъдат приложени във всяка компания, независимо от нейния размер и спецификата на дейността. Стандартът не е обвързан с определена информационна технология. От своя страна стандартът ISO 27001:2005 дефинира изисквания към системи за информационна сигурност.

Изграждането на система за информационна сигурност в съответствие с изискванията на двойката стандарти ISO 17799:2005 / ISO 27001:2005 е един от най-подходящите начини за управление на рисковете, свързани с информацията във всяка една компания.

Системите за управление на информационната сигурност (Information Security management systems – ISMS) имат за цел да гарантират конфиденциалността и интегритета на информационните активи на организацията – внедрител, да управляват надеждния достъп до тях и да оптимизират използваните ресурси по съхраняването им.

Доказан в практиката е подходът да се изгради ISMS въз основа на изискванията на Британския стандарт BS 7799-2:2002 (вече е приет като ISO стандарт 27001:2005) и на набора добри практики, заложени в ISO 17799. ISMS, изградени съобразно изискванията на тези два стандарта обхващат основните аспекти на сигурността: оценка и управление на риска; управление на персонала, физическа сигурност; контрол на достъпа; сигурност при избора, закупуването и ползването на софтуер и хардуер; планове и действия в извънредни ситуации и кризи.

ISMS обхваща основните направления в управлението на всяка организация. В основата на изграждането на Системата за управление на информационната сигурност лежат анализа на активите и анализа на риска.

На базата на тези анализи се формира политика по сигурността, която се обявява в публичното пространство. Определят се уязвимите места, потенциалните заплахи и очакваните последствия при “пробиви” в сигурността на информацията. Подбират се съответните защити (controls), които по принцип попадат в 133 отделни групи съобразно вида заплаха, на която противодействат. Изготвя се т.н. “Декларация за приложимост”, в която организацията заявява какъв вид защити е подбрала и какво е приемливото ниво на остатъчния риск.
Корпоративната политика за информационна сигурност се стреми да намери баланс между потребностите, породени от функциите на фирмата (например продуктивност) и изискванията на сигурността. По необходимост документа се фокусира върху принципите и правилата на работа в компютърната среда.

Всички служители от и извън фирмата имат етичното и морално задължение да защитават вътрешната информация, притежавана или съхранявана от същата, както и да поддържат поверителността на тази вътрешна информация.
Информационен ресурс е всяка система от физически и/или логически свързани технически средства, програмни продукти и потребителски данни, осигуряващи информационно един или повече бизнес процеси. Информационният ресурс осигурява събиране, обработка, съхраняване и експортиране на информацията. Информацията е основния обект на дейността на информационния ресурс.
Достъп до информационните ресурси се предоставя на служителите на фирмата с цел изпълняване на възложените им служебни задачи.
Служителите трябва да знаят и приемат, че съдържаната информация в техните работни станции, електронна поща, гласова поща и другите предоставени им фирмени ресурси не може да се счита за частна.

На служителите може да бъде търсена отговорност за извършени от тях дейности, свързани с използването на фирмени информационни ресурси. Фирмата следва да допуска използването само на надлежно лицензирани и вътрешно разрешени софтуерни продукти (СП) и системи.

Разработване, внедряване, прилагане и контрол на „Корпоративната политика за информационна сигурност”
Политиката за информационна сигурност на фирмата се реализира чрез спазването на “Вътрешни правила за използване на компютърната среда”, с които се определят правата и задълженията на персонала по отношение на използването на компютърната й среда.
Вътрешните правила за използването на компютърната среда трябва да гарантират, че са взети всички разумни мерки за предпазване на обработваната информация от загуби, неразрешен достъп или разкриване на служебна тайна.

Политиката за мрежова сигурност включва редица административни, организационни и технически мероприятия. Те се налагат и реализират чрез общите правила и принципи за осигуряване на информационна сигурност в конкретната фирма. Основната цел на вътрешните правила е от една страна да се дефинират правилата за коректното използване на компютърните ресурси, а от друга – да спомогнат за намаляване на риска по отношение на информационната сигурност.

Политиката за мрежова сигурност изисква използване на комбинирани методи за сигурност, а именно организационни, административни и технически мероприятия.

В тази статия разгледахме общите положения и стандарти при създаването на политика за мрежова сигурност, в следващите от поредицата ще разгледаме конкретни мероприятия по прилагането и в организациите.

Румен Дончев, брой 4 на Списание Professional