Appliqué 

Sécurité des informations. Politique de sécurité de l'information et principes de son organisation

Sous politique de sécurité les organisations comprennent un ensemble de décisions de gestion documentées visant à protéger les informations et les ressources associées. La politique de sécurité est le moyen par lequel les activités sont mises en œuvre dans le système d'information informatique de l'organisation. En général, les politiques de sécurité sont déterminées par l'environnement informatique utilisé et reflètent les besoins spécifiques de l'organisation.

Généralement, un système d'information d'entreprise est un ensemble complexe de matériels et de logiciels hétérogènes, parfois mal coordonnés : ordinateurs, systèmes d'exploitation, outils réseau, SGBD et applications diverses. Tous ces composants disposent généralement de leurs propres protections qui doivent être coordonnées les unes avec les autres. Par conséquent, une politique de sécurité efficace est très importante en tant que plate-forme cohérente pour garantir la sécurité d’un système d’entreprise. À mesure qu’un système informatique se développe et s’intègre au réseau mondial, il est nécessaire de s’assurer qu’il ne présente aucun point faible, car tous les efforts visant à protéger les informations peuvent être dévalorisés par une seule erreur.

Des politiques de sécurité peuvent être élaborées pour définir qui a accès à des actifs et à des applications spécifiques, quels rôles et responsabilités auront certaines personnes, ainsi que des procédures de sécurité qui dictent clairement la manière dont les tâches de sécurité spécifiques doivent être exécutées. Les caractéristiques individuelles du travail d'un employé peuvent nécessiter l'accès à des informations qui ne devraient pas être accessibles aux autres employés. Par exemple, un responsable RH peut avoir accès aux informations privées de n'importe quel employé, tandis qu'un spécialiste comptable ne peut avoir accès qu'aux données financières de ces employés. Et un employé ordinaire n'aura accès qu'à ses propres informations personnelles.

La politique de sécurité définit la position de l'organisation sur l'utilisation rationnelle des ordinateurs et des réseaux, ainsi que les procédures de prévention et de réponse aux incidents de sécurité. Un système de grande entreprise peut avoir un large éventail de politiques différentes, depuis les politiques commerciales jusqu'aux règles spécifiques d'accès aux ensembles de données. Ces politiques sont entièrement déterminées par les besoins spécifiques de l’organisation.

Concepts de basepolitiques de sécurité

La politique de sécurité détermine la stratégie de gestion dans le domaine de la sécurité de l'information, ainsi que le degré d'attention et le montant des ressources que la direction juge approprié d'allouer.

La politique de sécurité repose sur une analyse des risques reconnus comme réels pour le système d’information de l’organisation. Lorsqu'une analyse des risques a été réalisée et qu'une stratégie de protection a été déterminée, un programme est élaboré dont la mise en œuvre doit assurer la sécurité des informations. Des ressources sont allouées à ce programme, des responsables sont nommés, la procédure de suivi de la mise en œuvre du programme est déterminée, etc.

Afin de nous familiariser avec les concepts de base des politiques de sécurité, considérons, à titre d'exemple spécifique, un hypothétique réseau local appartenant à une certaine organisation et la politique de sécurité associée.

La politique de sécurité d'une organisation doit être structurée comme un document de politique de haut niveau, concis et facile à comprendre, soutenu par un certain nombre de documents plus spécifiques de politiques et de procédures de sécurité spécialisées.

La politique de sécurité de haut niveau doit être revue périodiquement pour garantir qu'elle répond aux besoins actuels de l'organisation. Ce document est rédigé de telle manière que la politique est relativement indépendante des technologies spécifiques. Dans ce cas, ce document de politique n’aura pas besoin d’être modifié très souvent.

Une politique de sécurité est généralement rédigée sous la forme d'un document qui comprend des sections telles qu'une description du problème, la portée, la position de l'organisation, la répartition des rôles et responsabilités, les sanctions, etc.

Description du problème. Les informations circulant au sein du réseau local sont essentielles. Un réseau local permet aux utilisateurs de partager des programmes et des données, ce qui augmente les risques de sécurité. Par conséquent, chacun des ordinateurs du réseau nécessite une protection plus renforcée. Ces mesures de sécurité renforcées font l’objet de ce document. Le document poursuit les objectifs suivants : démontrer aux employés de l'organisation l'importance de protéger l'environnement réseau, décrire leur rôle pour assurer la sécurité et attribuer des responsabilités spécifiques pour la protection des informations circulant sur le réseau.

Champ d'application. Le champ d’application de cette politique inclut toutes les ressources matérielles, logicielles et informationnelles incluses dans le réseau local de l’entreprise. La politique s'adresse également aux personnes travaillant avec le réseau, notamment les utilisateurs, les sous-traitants et les fournisseurs.

Position de l'organisation. L'objectif de l'organisation est d'assurer l'intégrité, la disponibilité et la confidentialité des données, ainsi que leur exhaustivité et leur pertinence. Les objectifs plus spécifiques sont :

    assurer un niveau de sécurité conforme aux documents réglementaires ;

    le respect de la faisabilité économique dans le choix des mesures de protection (les coûts de protection ne doivent pas dépasser les dommages attendus d'une violation de la sécurité de l'information) ;

    assurer la sécurité dans chaque domaine fonctionnel du réseau local ;

    garantir la responsabilité de toutes les interactions des utilisateurs avec les informations et les ressources ;

    fourniture d'analyses d'informations d'enregistrement;

    fournir aux utilisateurs suffisamment d'informations pour maintenir consciemment la sécurité ;

    élaboration de plans de reprise après sinistre et autres situations critiques pour tous les domaines fonctionnels afin d'assurer la continuité du fonctionnement du réseau ;

    assurer le respect des lois en vigueur et des politiques de sécurité à l’échelle de l’organisation.

Répartition des rôles et des responsabilités. Les responsables concernés et les utilisateurs du réseau sont responsables de la mise en œuvre des objectifs ci-dessus.

Chefs de départements sont chargés de communiquer les dispositions de la politique de sécurité aux utilisateurs et de les contacter.

assurer le fonctionnement continu du réseau et sont responsables de la mise en œuvre des mesures techniques nécessaires à la mise en œuvre de la politique de sécurité.

Administrateurs de services sont chargés de prestations spécifiques et notamment de veiller à ce que la protection soit construite conformément à la politique générale de sécurité.

Utilisateurs sont tenus de travailler avec le réseau local conformément à la politique de sécurité, d'obéir aux ordres des responsables de certains aspects de la sécurité et d'informer la direction de toute situation suspecte.

Plus de détails sur les rôles et responsabilités des fonctionnaires et des utilisateurs du réseau sont fournis ci-dessous.

Sanctions. La violation de la politique de sécurité peut exposer le réseau local et les informations qui y circulent à des risques inacceptables. Les incidents de violations des règles de sécurité par le personnel doivent être rapidement examinés par la direction en vue de mesures disciplinaires pouvant aller jusqu'au licenciement.

Informations Complémentaires. Des équipes spécifiques peuvent avoir besoin d'examiner des documents supplémentaires, tels que des politiques et procédures de sécurité spécialisées, ainsi que d'autres conseils. Le besoin de documents de politique de sécurité supplémentaires dépend en grande partie de la taille et de la complexité de l’organisation. Une organisation suffisamment grande peut nécessiter des politiques de sécurité spécialisées en plus de la politique de base. Les petites organisations n’ont besoin que d’un sous-ensemble de politiques spécialisées. Beaucoup de ces documents d’appui peuvent être assez courts – une ou deux pages.

D’un point de vue pratique, les politiques de sécurité peuvent être divisées en trois niveaux : haut, milieu et bas.

Niveau supérieur Les politiques de sécurité définissent les décisions qui affectent l'organisation dans son ensemble. Ces décisions sont de nature très générale et proviennent généralement de la direction de l'organisation.

De telles solutions peuvent inclure les éléments suivants :

    formulation des objectifs poursuivis par l'organisation dans le domaine de la sécurité de l'information, détermination des orientations générales pour atteindre ces objectifs ;

    formation ou révision d'un programme complet de sécurité de l'information, identification des personnes responsables de la promotion du programme ;

    fournir la base matérielle pour le respect des lois et réglementations ;

    formulation de décisions de gestion sur la mise en œuvre du programme de sécurité, qui doivent être considérées au niveau de l'organisation dans son ensemble.

Politique de sécurité de haut niveauénonce les objectifs de sécurité des informations de l’organisation en termes d’intégrité, de disponibilité et de confidentialité. Si une organisation est responsable de la maintenance de bases de données critiques, intégrité données. Pour une organisation engagée dans la vente, la pertinence des informations sur les services fournis et les prix, ainsi que leurs disponibilité nombre maximum d'acheteurs potentiels. L'organisation du régime s'occupera principalement de confidentialité informations, c'est-à-dire sa protection contre tout accès non autorisé.

Sur niveau supérieur la gestion des ressources de sécurité et la coordination de l'utilisation de ces ressources, l'affectation de personnel spécial pour protéger les systèmes critiques et le maintien des contacts avec d'autres organisations qui fournissent ou contrôlent le régime de sécurité sont effectuées.

Politique de niveau supérieur doit clairement définir sa sphère d’influence. Cela pourrait inclure tous les systèmes informatiques de l'organisation, voire davantage si la politique réglemente certains aspects de la manière dont les employés utilisent leurs ordinateurs personnels. Il est également possible que la sphère d’influence ne comprenne que les systèmes les plus importants.

La politique doit définir les responsabilités des responsables pour l'élaboration du programme de sécurité et sa mise en œuvre, c'est-à-dire qu'elle peut servir de base à la responsabilisation du personnel.

La politique de haut niveau traite des trois aspects du respect des lois et de la discipline exécutive. Premièrement, l'organisation doit se conformer aux lois en vigueur. Deuxièmement, les actions des personnes responsables de l'élaboration du programme de sécurité doivent être surveillées. Troisièmement, il est nécessaire d'assurer la discipline des performances du personnel à travers un système de récompenses et de punitions.

Niveau intermédiaire La politique de sécurité définit la résolution des problèmes liés à certains aspects de la sécurité de l'information, mais importants pour les différents systèmes exploités par l'organisation.

Des exemples de ces problèmes sont les attitudes à l'égard de l'accès à Internet (le problème de combiner la liberté de recevoir des informations avec la protection contre les menaces extérieures), l'utilisation des ordinateurs personnels, etc.

La politique de sécurité de niveau intermédiaire doit définir les éléments suivants pour chaque aspect de la sécurité de l'information :

    description des aspects- la position de l'organisation peut être formulée sous une forme assez générale comme un ensemble d'objectifs que l'organisation poursuit dans cet aspect ;

    champ d'application- il convient de préciser où, quand, comment, à qui et à quoi s'applique cette politique de sécurité ;

    rôles et responsabilités- le document doit contenir des informations sur les responsables chargés de la mise en œuvre de la politique de sécurité ;

    sanctions - la politique doit contenir une description générale des actions interdites et des sanctions qui leur sont associées ;

    points de contact- il faut savoir où s'adresser pour obtenir des éclaircissements, de l'aide et des informations complémentaires.

Généralement, le « point de contact » est le fonctionnaire. Niveau inférieur

les politiques de sécurité s’appliquent à des services spécifiques. Cette politique comprend deux aspects : les objectifs et les règles pour les atteindre, il est donc parfois difficile de la séparer des questions de mise en œuvre. Contrairement aux deux niveaux supérieurs, la politique en question doit être plus détaillée.

    Voici quelques exemples de questions auxquelles il convient de répondre lorsque l’on suit une politique de sécurité de bas niveau :

    qui a le droit d'accéder aux objets pris en charge par le service ;

Comment s’organise l’accès à distance au service ? Politique de sécurité de bas niveau

peut être basée sur des considérations d’intégrité, de disponibilité et de confidentialité, mais elle ne devrait pas s’arrêter là. En général, les objectifs doivent relier les objets de service et les actions significatives avec eux.

À partir des objectifs, des règles de sécurité sont dérivées qui décrivent qui peut faire quoi et dans quelles conditions. Plus les règles sont détaillées, plus elles sont énoncées de manière claire et formelle, plus il est facile de soutenir leur mise en œuvre par des mesures logicielles et matérielles. En règle générale, les droits d'accès aux objets sont spécifiés de la manière la plus formelle.

Chefs de départements Nous fournissons une description plus détaillée des responsabilités de chaque catégorie de personnel.

    sont chargés de communiquer les dispositions de la politique de sécurité aux utilisateurs. Ils sont obligés :

    Gardez les questions de sécurité à l’étude à tout moment.

    Veiller à ce que leurs subordonnés fassent de même ;

    effectuer une analyse des risques, identifier les actifs qui nécessitent une protection et les vulnérabilités du système, évaluer le montant des dommages possibles résultant d'une faille de sécurité et choisir des moyens de protection efficaces ;

    organiser la formation du personnel sur les mesures de sécurité.

Portez une attention particulière aux problèmes liés au contrôle antivirus ; informer les administrateurs de réseaux locaux et les administrateurs de services des changements de statut de chaque subordonné (transfert à un autre emploi, licenciement, etc.) ;

    assurer la protection des équipements du réseau local, y compris les interfaces avec d'autres réseaux ;

    réagir rapidement et efficacement aux événements menaçants. Informer les administrateurs de services des tentatives de violation de la sécurité ;

    utiliser des moyens éprouvés d’audit et de détection des situations suspectes.

    Analyser quotidiennement les informations d'inscription liées au réseau en général et aux serveurs de fichiers en particulier ;

    n'abusez pas de vos grands pouvoirs. Les utilisateurs ont droit à la vie privée ;

    développer des procédures et préparer des instructions pour protéger le réseau local contre les logiciels malveillants.

    Fournir une assistance dans la détection et l'élimination des codes malveillants ;

    sauvegarder régulièrement les informations stockées sur les serveurs de fichiers ;

    apporter toutes les modifications à la configuration matérielle et logicielle du réseau ;

Administrateurs de services garantir la procédure obligatoire d’identification et d’authentification pour l’accès aux ressources du réseau. Fournir aux utilisateurs les noms de connexion et les mots de passe initiaux uniquement après avoir rempli les formulaires d'inscription ;

    vérifier périodiquement la fiabilité de la protection du réseau local. Empêchez les utilisateurs non autorisés d’obtenir des privilèges.

    sont chargés de prestations spécifiques et notamment de veiller à ce que la protection soit construite conformément à la politique générale de sécurité. Ils sont obligés :

    gérer les droits d'accès des utilisateurs aux objets desservis ;

    réagir rapidement et efficacement aux événements menaçants. Fournir une assistance pour repousser les menaces, identifier les contrevenants et fournir des informations sur leur punition ;

    sauvegarder régulièrement les informations traitées par le service ;

    attribuer les noms de connexion et les mots de passe initiaux aux utilisateurs uniquement après avoir rempli les formulaires d'inscription ;

Utilisateurs analyser quotidiennement les informations d’inscription liées au service.

    connaître et respecter les lois, les règles adoptées dans cette organisation, les politiques de sécurité, les procédures de sécurité.

    Utiliser les mécanismes de sécurité disponibles pour garantir la confidentialité et l’intégrité de vos informations ;

    utiliser un mécanisme de protection des fichiers et définir correctement les droits d'accès ;

    choisissez des mots de passe de haute qualité et changez-les régulièrement. N'écrivez pas vos mots de passe sur papier et ne les divulguez pas à autrui ;

    informer les administrateurs ou la direction des violations de sécurité et d'autres situations suspectes ;

    ne pas exploiter les faiblesses de la protection des services et du réseau local dans son ensemble. N'effectuez pas de travail non autorisé avec des données, n'interférez pas avec les autres utilisateurs ;

    fournissez toujours des informations d'identification et d'authentification correctes et n'essayez pas d'agir au nom d'autres utilisateurs ;

    assurer la sauvegarde des informations du disque dur de votre ordinateur ;

    savoir comment fonctionnent les logiciels malveillants, comment ils pénètrent et se propagent. Connaître et suivre les procédures pour empêcher la pénétration de code malveillant, sa détection et sa destruction ;

connaître et suivre les règles de comportement dans les situations d'urgence, la séquence d'actions pour éliminer les conséquences des accidents. Mesures de gestion pour assurer la sécurité de l’information.

L'objectif principal des mesures prises au niveau de la direction est de formuler un programme de travail dans le domaine de la sécurité de l'information et d'assurer sa mise en œuvre en allouant les ressources nécessaires et en surveillant régulièrement la situation. La base de ce programme est une politique de sécurité à plusieurs niveaux, reflétant l'approche globale d'une organisation en matière de protection de ses ressources et de ses actifs informationnels.

Au cours du temps qui s'est écoulé depuis l'émergence du concept même de sécurité de l'information, de nombreuses politiques similaires ont été développées - dans chaque entreprise, la direction décide elle-même comment et quel type d'informations protéger (en plus des cas soumis à l'autorité officielle). exigences de la législation de la Fédération de Russie). Les politiques sont généralement formalisées : les réglementations correspondantes sont élaborées. Les salariés de l'entreprise sont tenus de se conformer à ce document. Bien que tous ces documents ne deviennent finalement pas efficaces. Ci-dessous, nous examinerons toutes les composantes d'une politique de sécurité de l'information et identifierons les principaux aspects nécessaires à son efficacité.

Pourquoi la formalisation de la sécurité de l’information est-elle nécessaire ?

Les dispositions relatives à la politique de sécurité de l'information apparaissent le plus souvent sous la forme d'un document distinct pour répondre aux exigences du régulateur - une organisation qui réglemente les règles de fonctionnement des entités juridiques dans un secteur particulier. S’il n’existe aucune disposition relative à la sécurité de l’information, certaines représailles contre le contrevenant ne peuvent être exclues, pouvant même entraîner la suspension des activités de ce dernier.

Aussi, la politique de sécurité est une composante obligatoire de certaines normes (locales ou internationales). Il est nécessaire de se conformer à des exigences spécifiques, qui sont généralement proposées par les auditeurs externes étudiant les activités de l'organisation. L'absence de politique de sécurité génère des retours négatifs, et de telles évaluations affectent négativement des indicateurs tels que la notation, le niveau de fiabilité, l'attractivité des investissements, etc.

Les documents sur la sécurité de l'information apparaissent lorsque la haute direction elle-même comprend la nécessité d'une approche structurée du sujet de la sécurité de l'information. De telles solutions peuvent être mises en œuvre après l'introduction de moyens techniques, lorsqu'il est entendu que ces moyens doivent être gérés et sous contrôle constant. Souvent, la sécurité de l'information inclut également des questions de relations avec le personnel (un employé peut être considéré non seulement comme une personne à protéger, mais aussi comme un objet contre lequel les informations doivent être protégées), d'autres aspects et facteurs qui vont au-delà de la simple protection des informations. un réseau informatique et la prévention de tout accès non autorisé à celui-ci.

La présence de dispositions pertinentes indique la viabilité de l’organisation en matière de sécurité de l’information et sa maturité. La formulation claire de règles de sécurité de l’information témoigne des progrès significatifs réalisés dans ce processus.

Des politiciens ratés

La simple présence d'un document appelé « Règlement sur la sécurité de l'information » ne garantit pas la sécurité de l'information en tant que telle. Si elle est considérée uniquement dans le contexte du respect de certaines exigences, mais sans application pratique, l’effet sera nul.

Comme le montre la pratique, les politiques de sécurité inefficaces se présentent sous deux formes : bien formulées, mais non mises en œuvre, et mises en œuvre, mais pas clairement formulées.

Le premier, en règle générale, est assez courant dans les organisations dans lesquelles la personne responsable de la protection des informations télécharge simplement des documents similaires sur Internet, apporte des modifications minimes et soumet les règles générales à l'approbation de la direction. À première vue, cette approche semble pragmatique. Les principes de sécurité des différentes organisations, même si leurs activités diffèrent, sont souvent similaires. Mais des problèmes de sécurité de l'information peuvent survenir lors du passage du concept général de sécurité de l'information au travail quotidien avec des documents tels que des procédures, des méthodes, des normes, etc. Étant donné que la politique de sécurité a été initialement formulée pour une structure différente, il peut y avoir certaines difficultés d'adaptation documents du quotidien.

Les politiques inefficaces du deuxième type consistent notamment à tenter de résoudre un problème non pas en adoptant des plans stratégiques généraux, mais en prenant des décisions à court terme. Par exemple, un administrateur système, fatigué du fait que les utilisateurs perturbent le réseau par leurs manipulations imprudentes, entreprend les actions suivantes : prend un morceau de papier et en dix minutes esquisse les règles (ce qui est autorisé et ce qui ne l'est pas, qui est autorisé à accéder aux données d'une certaine propriété, et qui n'est pas autorisé non) et l'appelle « Politique ». Si la direction approuve une telle « politique », elle peut alors servir de base aux activités de la structure dans le domaine de la sécurité de l'information pendant des années, créant des problèmes concrets : par exemple, avec l'introduction de nouvelles technologies, il n'est pas toujours possible de fournir le logiciel nécessaire. En conséquence, des exceptions aux règles commencent à être autorisées (par exemple, une sorte de programme est nécessaire, il coûte cher et l'employé convainc la direction d'utiliser une version sans licence contrairement aux règles de sécurité précédemment établies), ce qui annule toute protection.

Développement d’un système de sécurité de l’information efficace

Pour créer un système de sécurité de l'information efficace, les éléments suivants doivent être développés :

  • le concept de sécurité de l'information (définit la politique globale, ses principes et ses objectifs) ;
  • normes (règles et principes de protection de l'information pour chaque domaine spécifique) ;
  • procédure (description des actions spécifiques pour protéger les informations lors de l'utilisation de celles-ci : données personnelles, procédures d'accès aux supports d'information, systèmes et ressources) ;
  • instructions (description détaillée de quoi et comment faire pour organiser la sécurité de l'information et garantir les normes existantes).

Tous les documents ci-dessus doivent être interconnectés et ne pas se contredire.

De plus, pour organiser efficacement la sécurité de l'information, des plans d'urgence doivent être élaborés. Ils sont nécessaires en cas de rétablissement des systèmes d'information en cas de force majeure : accidents, catastrophes, etc.

Structure du concept de protection

Notons tout de suite : la notion de sécurité de l'information n'est pas identique à la stratégie. Le premier est statique tandis que le second est dynamique.

Les principales sections du concept de sécurité sont :

  • définition de la sécurité de l'information;
  • structure de sécurité ;
  • description du mécanisme de contrôle de sécurité ;
  • l'évaluation des risques;
  • sécurité de l'information : principes et normes ;
  • devoirs et responsabilités de chaque division, département ou département dans la mise en œuvre de la protection des supports d'information et autres données ;
  • des liens vers d’autres règles de sécurité.

En outre, une section décrivant les principaux critères d'efficacité dans le domaine de la protection des informations importantes ne serait pas superflue. Les indicateurs d'efficacité de la protection sont nécessaires avant tout pour la haute direction. Ils permettent d'évaluer objectivement l'organisation de la sécurité sans entrer dans les nuances techniques. Les responsables de l'organisation de sécurité doivent également connaître des critères clairs pour évaluer l'efficacité de la sécurité de l'information afin de comprendre comment la direction évaluera son travail.

Liste des exigences de base pour la documentation de sécurité

La politique de sécurité doit être formulée en tenant compte de deux aspects principaux :

  1. Le public cible auquel toutes les informations de sécurité sont destinées est constitué des cadres intermédiaires et des salariés ordinaires qui ne connaissent pas de terminologie technique spécifique, mais doivent comprendre et assimiler les informations fournies lors de la lecture de la notice.
  2. Les instructions doivent être concises et contenir en même temps toutes les informations nécessaires sur la politique menée. Personne n’étudiera en détail un volumineux « folio », et encore moins s’en souviendra.

De ce qui précède, découlent deux exigences relatives aux documents méthodologiques sur la sécurité :

  • ils doivent être rédigés dans un langage russe simple, sans utiliser de termes techniques particuliers ;
  • Le texte de sécurité doit contenir des objectifs, des moyens de les atteindre, en indiquant le but de la responsabilité en cas de non-respect de la sécurité des informations. Tous! Aucune information technique ou autre spécifique.

Organisation et mise en œuvre de la sécurité de l'information

Une fois la documentation sur la sécurité de l’information prête, une organisation planifiée du travail est nécessaire pour la mettre en œuvre dans le travail quotidien. Pour ce faire, vous avez besoin de :

  • familiariser l'équipe avec la politique de traitement de l'information approuvée ;
  • familiariser tous les nouveaux employés avec cette politique de traitement de l'information (par exemple, organiser des séminaires ou des cours d'information au cours desquels des explications complètes sont fournies) ;
  • étudier attentivement les processus commerciaux existants afin de détecter et de minimiser les risques ;
  • participer activement à la promotion de nouveaux processus commerciaux, afin de ne pas devenir désespérément à la traîne dans le domaine de la sécurité de l'information ;
  • établir des supports méthodologiques et d'information détaillés, des instructions qui complètent la politique de traitement de l'information (par exemple, les règles d'accès au travail sur Internet, la procédure d'entrée dans les locaux à accès limité, une liste des canaux d'information par lesquels des données confidentielles peuvent être transmises , instructions pour travailler avec les systèmes d'information, etc. .d.);
  • une fois tous les trois mois, examiner et ajuster l'accès à l'information, la procédure d'utilisation de celle-ci, mettre à jour la documentation adoptée sur la sécurité de l'information, surveiller et étudier en permanence les menaces existantes pour la sécurité de l'information.

Personnes tentant d'obtenir un accès non autorisé à des informations

Enfin, nous classons ceux qui peuvent ou souhaitent accéder sans autorisation à l'information.

Contrevenants externes potentiels :

  1. Visiteurs du bureau.
  2. Employés précédemment licenciés (en particulier ceux qui sont partis dans un scandale et savent accéder à l'information).
  3. Des pirates.
  4. Structures tierces, y compris concurrents, ainsi que groupes criminels.

Insiders potentiels :

  1. Utilisateurs de matériel informatique parmi les salariés.
  2. Programmeurs, administrateurs système.
  3. Personnel technique.

Pour organiser une protection fiable des informations, chacun des groupes répertoriés nécessite ses propres règles. Si un visiteur peut simplement emporter avec lui un morceau de papier contenant des données importantes, alors une personne du personnel technique peut créer un point d'entrée et de sortie non enregistré du LAN. Chacun des cas est une fuite d’informations. Dans le premier cas, il suffit d'élaborer des règles de conduite pour le personnel du bureau ; dans le second, de recourir à des moyens techniques qui augmentent la sécurité de l'information, comme les systèmes DLP et les systèmes SIEM qui empêchent les fuites des réseaux informatiques.

Lors du développement de la sécurité de l'information, il est nécessaire de prendre en compte les spécificités des groupes répertoriés et de prévoir des mesures efficaces pour empêcher les fuites d'informations pour chacun d'eux.

Dans ce sujet, j'essaierai de compiler un manuel sur l'élaboration de la documentation réglementaire dans le domaine de la sécurité de l'information pour une structure commerciale, basé sur l'expérience personnelle et les matériaux du réseau.

Ici vous pouvez trouver des réponses aux questions :

  • pourquoi une politique de sécurité de l’information est nécessaire ;
  • comment le composer ;
  • comment l'utiliser.

La nécessité d’une politique de sécurité de l’information
Cette section décrit la nécessité de mettre en œuvre la politique de sécurité de l'information et les documents d'accompagnement non pas dans le beau langage des manuels et des normes, mais en utilisant des exemples tirés de l'expérience personnelle.
Comprendre les buts et objectifs du service de sécurité de l'information
Tout d'abord, la politique est nécessaire pour transmettre à l'entreprise les buts et objectifs de la sécurité de l'information de l'entreprise. Les entreprises doivent comprendre que la sécurité n’est pas seulement un outil pour enquêter sur les fuites de données, mais aussi un assistant pour minimiser les risques de l’entreprise, et donc pour augmenter la rentabilité de l’entreprise.
Les exigences politiques constituent la base de la mise en œuvre des mesures de protection
Une politique de sécurité de l’information est nécessaire pour justifier la mise en place de mesures de protection dans une entreprise. La politique doit être approuvée par la plus haute instance administrative de l'entreprise (PDG, conseil d'administration, etc.)

Toute mesure de protection est un compromis entre réduction des risques et expérience utilisateur. Lorsqu'un spécialiste de la sécurité déclare qu'un processus ne devrait pas se produire d'une manière ou d'une autre en raison de l'apparition de certains risques, on lui pose toujours une question raisonnable : « Comment cela devrait-il se produire ? Le professionnel de la sécurité doit proposer un modèle de processus dans lequel ces risques sont atténués dans une certaine mesure satisfaisante pour l'entreprise.

Par ailleurs, toute application de mesures de protection concernant l’interaction de l’utilisateur avec le système d’information de l’entreprise provoque toujours une réaction négative de la part de l’utilisateur. Ils ne veulent pas réapprendre, lire des instructions élaborées pour eux, etc. Très souvent, les utilisateurs posent des questions raisonnables :

  • pourquoi devrais-je travailler selon votre schéma inventé, et pas de la manière simple que j'ai toujours utilisée
  • qui a inventé tout ça
La pratique a montré que l'utilisateur ne se soucie pas des risques, on peut lui expliquer longuement et fastidieusement les hackers, le code pénal, etc., il n'en sortira rien d'autre qu'un gaspillage de cellules nerveuses.
Si votre entreprise dispose d'une politique de sécurité des informations, vous pouvez donner une réponse concise et succincte :
cette mesure a été introduite pour répondre aux exigences de la politique de sécurité de l’information de l’entreprise, qui a été approuvée par l’organe administratif le plus élevé de l’entreprise.

En règle générale, après cela, l'énergie de la plupart des utilisateurs diminue. Ceux qui resteront pourront être invités à écrire une note à cette plus haute instance administrative de l'entreprise. C'est là que les autres sont éliminés. Car même si la note y va, on peut toujours prouver à la direction la nécessité des mesures prises. Ce n’est pas en vain qu’on mange notre pain, non ? Il y a deux choses à garder à l’esprit lors de l’élaboration de politiques.
  • Le public cible de la politique de sécurité de l'information est constitué des utilisateurs finaux et de la haute direction de l'entreprise, qui ne comprennent pas les expressions techniques complexes, mais doivent être familiers avec les dispositions de la politique.
  • Inutile de chercher à caser l'inadapté, incluez tout ce que vous pouvez dans ce document ! Il ne devrait y avoir que des objectifs en matière de sécurité de l'information, des méthodes pour les atteindre et des responsabilités ! Pas de détails techniques sauf s'ils nécessitent des connaissances spécifiques. Ce sont tous des documents pour les instructions et les règlements.


Le document final doit répondre aux exigences suivantes :
  • brièveté - un gros volume de document effrayera tout utilisateur, personne ne lira jamais votre document (et vous utiliserez plus d'une fois la phrase : « il s'agit d'une violation de la politique de sécurité de l'information avec laquelle vous avez été familiarisé »)
  • accessibilité à l'homme ordinaire - l'utilisateur final doit comprendre CE qui est écrit dans la politique (il ne lira ni ne se souviendra jamais des mots et expressions « journalisation », « modèle d'intrus », « incident de sécurité de l'information », « infrastructure d'information », « technologie » », « anthropique », « facteur de risque », etc.)
Comment y parvenir ?

En fait, tout est très simple : la politique de sécurité de l'information doit être un document de premier niveau, elle doit être complétée et complétée par d'autres documents (règlements et instructions), qui décriveront déjà quelque chose de précis.
Une analogie peut être faite avec l'État : le document de premier niveau est la constitution, et les doctrines, concepts, lois et autres réglementations existant dans l'État ne font que compléter et réguler la mise en œuvre de ses dispositions. Un diagramme approximatif est présenté sur la figure.

Afin de ne pas salir la bouillie dans l'assiette, regardons simplement des exemples de politiques de sécurité de l'information que l'on peut trouver sur Internet.

Nombre de pages utile* Chargé de termes Note globale
JSC Gazprombank 11 Très élevé
Fonds de développement de l'entrepreneuriat JSC « Damu » 14 Haut Un document complexe à lire de manière réfléchie, la personne moyenne ne le lira pas, et s'il le lit, il ne le comprendra pas et ne s'en souviendra pas.
JSC NC "KazMunayGas" 3 Faible Document facile à comprendre, pas surchargé de termes techniques
JSC "Institut d'ingénierie radio du nom de l'académicien A. L. Mints" 42 Très élevé Un document complexe à lire de manière réfléchie, la personne moyenne ne le lira pas - il contient trop de pages

* J'appelle utile le nombre de pages sans table des matières, page de titre et autres pages qui ne contiennent pas d'informations spécifiques

CV

La politique de sécurité de l'information doit tenir sur plusieurs pages, être facile à comprendre pour le citoyen moyen et décrire en termes généraux les objectifs de la sécurité de l'information, les méthodes pour les atteindre et les responsabilités des employés.
Mise en œuvre et utilisation de la politique de sécurité de l’information
Après approbation de la politique de sécurité des informations, vous devez :
  • familiariser tous les employés existants avec la politique ;
  • familiariser tous les nouveaux employés avec la politique (la meilleure façon de procéder fait l'objet d'une discussion séparée ; nous avons un cours d'introduction pour les nouveaux arrivants, au cours duquel je donne des explications) ;
  • analyser les processus d'affaires existants afin d'identifier et de minimiser les risques ;
  • participer à la création de nouveaux processus métiers, pour ne pas courir après le train plus tard ;
  • élaborer des règlements, procédures, instructions et autres documents qui complètent la politique (instructions pour fournir l'accès à Internet, instructions pour fournir l'accès aux zones réglementées, instructions pour travailler avec les systèmes d'information de l'entreprise, etc.) ;
  • revoir la politique de sécurité de l'information et les autres documents sur la sécurité de l'information au moins une fois par trimestre afin de les mettre à jour.

Pour des questions et des suggestions, bienvenue dans les commentaires et les MP.

Question %nom d'utilisateur%

Quant à la politique, les patrons n’aiment pas ce que je veux en termes simples. Ils me disent : « À part moi, vous et 10 autres informaticiens qui eux-mêmes savent et comprennent tout, nous en avons 2 cents qui n'y comprennent rien, la moitié d'entre eux sont des retraités.
J'ai suivi le chemin de la brièveté moyenne des descriptions, par exemple, les règles de protection antivirus, et ci-dessous j'écris quelque chose comme s'il y avait une politique de protection antivirus, etc. Mais je ne comprends pas si l'utilisateur signe la politique, mais encore une fois, il doit lire un tas d'autres documents, il semble qu'il ait raccourci la politique, mais il semble que ce ne soit pas le cas.

Ici, je prendrais la voie de l’analyse des processus.
Disons une protection antivirus. Logiquement, il devrait en être ainsi.

Quels risques les virus nous présentent-ils ? Violation de l'intégrité (dommages) des informations, violation de la disponibilité (temps d'arrêt des serveurs ou des PC) des informations. Si le réseau est correctement organisé, l'utilisateur ne doit pas disposer de droits d'administrateur local sur le système, c'est-à-dire qu'il ne doit pas avoir le droit d'installer des logiciels (et donc des virus) dans le système. Ainsi, les retraités tombent, puisqu'ils ne font pas d'affaires ici.

Qui peut réduire les risques liés aux virus ? Utilisateurs disposant de droits d'administrateur de domaine. L'administrateur de domaine est un rôle sensible, confié aux collaborateurs des services informatiques, etc. En conséquence, ils devraient installer des antivirus. Il s'avère qu'ils sont également responsables des activités du système antivirus. En conséquence, ils doivent signer les instructions relatives à l'organisation de la protection antivirus. En effet, cette responsabilité doit être précisée dans la notice. Par exemple, le responsable de la sécurité règne, les administrateurs exécutent.

Question %nom d'utilisateur%

Alors la question est, qu'est-ce qui ne devrait pas être inclus dans les instructions de la responsabilité de l'Anti-Virus ZI pour la création et l'utilisation de virus (ou existe-t-il un article et ne peut pas être mentionné) ? Ou qu'ils sont tenus de signaler un virus ou un comportement étrange de l'ordinateur au service d'assistance ou au personnel informatique ?

Encore une fois, je considérerais la question du point de vue de la gestion des risques. Cela sent, pour ainsi dire, GOST 18044-2007.
Dans votre cas, un « comportement étrange » n’est pas nécessairement un virus. Il peut s'agir d'un système de freinage ou de freinage, etc. Il ne s’agit donc pas d’un incident, mais d’un événement lié à la sécurité des informations. Encore une fois, selon GOST, toute personne peut signaler un événement, mais il n'est possible de comprendre s'il s'agit d'un incident ou non qu'après analyse.

Ainsi, votre question n’aboutit plus à une politique de sécurité de l’information, mais à une gestion des incidents. Votre politique devrait indiquer que l'entreprise doit disposer d'un système de gestion des incidents.

Autrement dit, comme vous pouvez le constater, l'exécution administrative de la politique incombe principalement aux administrateurs et aux responsables de la sécurité. Les utilisateurs se retrouvent avec des éléments personnalisés.

Par conséquent, vous devez établir une « Procédure d'utilisation de SVT dans l'entreprise », dans laquelle vous devez indiquer les responsabilités des utilisateurs. Ce document doit être en corrélation avec la politique de sécurité de l'information et être, pour ainsi dire, une explication pour l'utilisateur.

Ce document peut indiquer que l'utilisateur est tenu de notifier l'autorité compétente en cas d'activité informatique anormale. Eh bien, vous pouvez y ajouter tout le reste personnalisé.

Au total, vous devez familiariser l'utilisateur avec deux documents :

  • politique de sécurité de l'information (afin qu'il comprenne ce qui est fait et pourquoi, ne fasse pas de vagues, ne jure pas lors de l'introduction de nouveaux systèmes de contrôle, etc.)
  • cette « Procédure d'utilisation de SVT dans l'entreprise » (afin qu'il comprenne exactement quoi faire dans des situations spécifiques)

Ainsi, lors de la mise en œuvre d'un nouveau système, il vous suffit d'ajouter quelque chose à la « Procédure » et d'en informer les employés en envoyant la procédure par e-mail (ou via l'EDMS, si disponible).

Balises : Ajouter des balises

Quelle que soit la taille de l'organisation et ses spécificités système d'information Les travaux visant à garantir le régime de sécurité de l'information comprennent généralement les étapes suivantes (Figure 1) :

– définir le champ d'application (limites) du système de gestion de la sécurité de l'information et préciser les objectifs de sa création ;

- l'évaluation des risques;

– sélection de contre-mesures garantissant le régime SI ;

– la gestion des risques ;

– audit du système de gestion de la sécurité de l'information ;

– l'élaboration d'une politique de sécurité.

DIV_ADBLOCK340">

Étape 3. Structuration des contre-mesures selon protection des informations aux principaux niveaux suivants : administratif, procédural, logiciel et technique.

Étape 4. Établir une procédure de certification et d'accréditation des CIS pour le respect des normes dans le domaine de la sécurité de l'information. Déterminer la fréquence des réunions sur les sujets liés à la sécurité de l'information au niveau de la direction, y compris la revue périodique des dispositions de la politique de sécurité de l'information, ainsi que la procédure de formation de toutes les catégories d'utilisateurs du système d'information dans le domaine de la sécurité de l'information. On sait que l’élaboration de la politique de sécurité d’une organisation est l’étape la moins formalisée. Cependant, c’est récemment sur ce point que se sont concentrés les efforts de nombreux spécialistes de la sécurité de l’information.

Étape 5. Déterminer la portée (limites) du système de gestion de la sécurité de l'information et préciser les objectifs de sa création. A ce stade, les limites du système pour lesquelles le régime de sécurité de l'information doit être prévu sont déterminées. En conséquence, le système de gestion de la sécurité de l'information est construit précisément dans ces limites. Il est recommandé d'effectuer la description des limites du système lui-même selon le plan suivant :

– la structure de l'organisation. Présentation de la structure existante et des modifications envisagées dans le cadre de l'aménagement (modernisation) système automatisé ;

– les ressources du système d’information à protéger. Il est conseillé de considérer les ressources d'un système automatisé des classes suivantes : équipements électroniques, données, logiciels système et d'application. Toutes les ressources ont de la valeur du point de vue d'une organisation. Pour les évaluer, il faut sélectionner un système de critères et une méthodologie permettant d'obtenir des résultats selon ces critères ;

· élaboration de principes de classification des actifs informationnels de l'entreprise et d'évaluation de leur sécurité ;

· évaluation des risques informationnels et de leur gestion ;

· former les employés de l'entreprise aux méthodes de sécurité de l'information, organiser des briefings et contrôler les connaissances et les compétences pratiques de mise en œuvre de la politique de sécurité par les employés de l'entreprise ;

· consulter les dirigeants d'entreprises sur les questions de gestion des risques liés à l'information ;

· coordination des politiques privées et des réglementations de sécurité entre les divisions de l'entreprise ;

· contrôle du travail des services de qualité et d'automatisation de l'entreprise avec le droit de vérifier et d'approuver les rapports et documents internes ;

· interaction avec le service du personnel de l'entreprise pour vérifier les données personnelles des salariés lors de l'embauche ;

· organiser des mesures pour éliminer les situations d'urgence ou les urgences dans le domaine de la sécurité de l'information si elles surviennent ;

L'intégrité de l'information est l'existence d'informations sous une forme non déformée (inchangée par rapport à un état fixe). En règle générale, les sujets souhaitent garantir une propriété plus large - la fiabilité de l'information, qui consiste en l'adéquation (exhaustivité et exactitude) de l'affichage de l'état du domaine et de l'intégrité directe de l'information, c'est-à-dire sa non-distorsion.

Il existe une différence entre l'intégrité statique et dynamique. Afin de violer l'intégrité statique, un attaquant peut : saisir des données incorrectes ; modifier les données. Parfois, les données de contenu changent, parfois les informations sur le service changent. Les menaces à l'intégrité dynamique incluent la violation de l'atomicité des transactions, la réorganisation, le vol, la duplication de données ou l'introduction de messages supplémentaires (paquets réseau, etc.). Cette activité dans un environnement réseau est appelée écoute active.

Une menace à l'intégrité n'est pas seulement la falsification ou la modification des données, mais aussi le refus des actions réalisées. S’il n’existe aucun moyen d’assurer la « non-répudiation », les données informatiques ne peuvent être considérées comme des preuves. Non seulement les données, mais aussi les programmes sont potentiellement vulnérables aux violations de l'intégrité. L’injection de logiciels malveillants est un exemple d’une telle violation.

Une menace urgente et très dangereuse est l'introduction de rootkits (un ensemble de fichiers installés sur un système dans le but de modifier ses fonctionnalités standard de manière malveillante et secrète), de robots (un programme qui exécute automatiquement une certaine mission ; un groupe de Les ordinateurs sur lesquels opèrent des robots similaires sont appelés botnet), les attaques secrètes (programmes malveillants qui écoutent les commandes sur des ports TCP ou UDP spécifiques) et les logiciels espions (programmes malveillants visant à compromettre les données confidentielles des utilisateurs. Par exemple, les chevaux de Troie Back Orifice et Netbus vous permettent d'obtenir contrôle des systèmes utilisateur avec diverses variantes de MS -Windows.

Menace de confidentialité

La menace d’une violation de la confidentialité est que l’information devient connue d’une personne qui n’a pas le pouvoir d’y accéder. Parfois, en raison de la menace de violation de la confidentialité, le terme « fuite » est utilisé.

La confidentialité des informations est une caractéristique (propriété) subjectivement déterminée (attribuée) de l'information, indiquant la nécessité d'introduire des restrictions sur le cercle des sujets qui ont accès à ces informations, et assurée par la capacité du système (environnement) à conserver ces informations. secret des sujets qui n'ont pas l'autorité pour y accéder. Les conditions objectives d'une telle restriction à la disponibilité de l'information pour certains sujets résident dans la nécessité de protéger leurs intérêts légitimes vis-à-vis des autres sujets des relations d'information.

Les informations confidentielles peuvent être divisées en informations sur le sujet et sur le service. Les informations de service (par exemple, les mots de passe des utilisateurs) ne concernent pas un domaine spécifique ; elles jouent un rôle technique dans un système d'information, mais leur divulgation est particulièrement dangereuse, car elle entraîne un accès non autorisé à toutes les informations, y compris les informations sur le sujet. Une menace non technique dangereuse pour la confidentialité réside dans les méthodes d'influence morale et psychologique, telles que la « mascarade » - l'exécution d'actions sous le couvert d'une personne ayant le pouvoir d'accéder aux données. Parmi les menaces désagréables contre lesquelles il est difficile de se défendre figurent les abus de pouvoir. Sur de nombreux types de systèmes, un utilisateur privilégié (par exemple, un administrateur système) peut lire n'importe quel fichier (non chiffré) et accéder au courrier de n'importe quel utilisateur.

Actuellement, les attaques dites de « phishing » sont les plus courantes. Le phishing (fishing – fishing) est un type de fraude sur Internet dont le but est d'accéder aux données confidentielles des utilisateurs - identifiants et mots de passe. Ceci est réalisé en envoyant des e-mails en masse au nom de marques populaires, ainsi que des messages personnels au sein de divers services, par exemple au nom de banques, de services (Rambler, Mail.ru) ou au sein des réseaux sociaux (Facebook, Vkontakte, Odnoklassniki.ru). ). Les cibles des phishers aujourd’hui sont clients de la banque et électronique systèmes de paiement. Par exemple, aux États-Unis, se faisant passer pour l’Internal Revenue Service, des phishers ont collecté d’importantes données sur les contribuables en 2009.



Des questions ?

Signaler une faute de frappe

Texte qui sera envoyé à nos rédacteurs :

Envoyer