Приклади невдалих політик

Продемонструвати, яким чином неефективні політики безпеки (або їх відсутність) роблять систему забезпечення інформаційної безпеки непрацездатною, можна на кількох простих прикладах невдалих (неефективних) політик безпеки. Подібні документи призводять до зниження продуктивності праці користувачів і, створюючи ілюзію «помилкової захищеності», тільки погіршують загальний стан справ із забезпеченням інформаційної безпеки в організації.

крадіжка обладнання

Виробник електроніки придбав необхідне дороге тестове обладнання. Відділ безпеки вирішив, що для забезпечення схоронності цього обладнання слід надати доступ до нього всього декільком співробітникам. На вході в приміщення з обладнанням встановили електронні замки зі смарт-картами, а ключі видали старшому менеджеру. Потрапити в це приміщення працівникам, які мають доступ, можна було тільки зі старшим менеджером.

Спочатку вимоги даної політики сумлінно виконувалися. Однак з часом менеджеру набридло виконувати функції із супроводження співробітників. Продуктивність праці знизилася, оскільки менеджер періодично опинявся недоступний, а крім нього нікому було відкривати приміщення. Відділ безпеки відмовився задовольнити прохання менеджера про видачу додаткових ключів. В результаті була досягнута неформальна домовленість про те, що ключі будуть перебувати в ящику стола.

Одного разу, коли менеджер і його співробітники були на зборах, обладнання викрали. Ключа теж знайти не вдалося. Відділ безпеки зробив розслідування, яке, втім, успіхом не увінчалося.

Підсумуємо результати впровадження цієї політики. Було втрачено дороге устаткування. У менеджерів і співробітників організації склалося вкрай негативне ставлення до будь-яких заходів і політикам забезпечення безпеки. Злодіям вдалося уникнути відповідальності. Дорогі заходи захисту не виправдали себе.

Дана політика безпеки зазнала невдачі, тому що виявилася незручною для співробітників організації, а її вимоги було легко обійти. Розробники політики не врахували її вплив на продуктивність праці. Помилки можна було уникнути, якби вони втягнули в процес розробки політики безпеки співробітників організації. Відділ безпеки не помітив (або не захотів помітити) той факт, що вимоги цієї політики безпеки не відповідали бізнес-процесів організації. Наявність внутрішнього контролю над її впровадженням дозволив би виявити цю суперечність і розробити більш ефективну політику.

Витік інформації

Мережеві адміністратори вирішили, що в організації занадто багато невикористовуваних облікових записів користувачів електронної пошти, і розробили політику безпеки, що вимагає для створення облікового запису користувача підписів трьох віце-президентів компанії.

Запити на створення облікових записів надходили щодня, а отримати одночасно підписи всіх трьох віце-президентів було вкрай важко. Як правило, віце-президенти поняття не мали, для кого облікові записи створювалися. В результаті деякі з них просто стали підписувати пачку порожніх службових записок і поширювати їх серед менеджерів.

Файли, що містять конфіденційну інформацію, були викрадені і опубліковані в Internet анонімним користувачем. Вивчення журналів аудиту на файловому сервері показало, що доступ до скомпрометованим файлів було отримано користувачем під ім'ям JQPUBLIC. B ході подальшого розслідування з'ясувалося, що запит на створення відповідної облікового запису був санкціонований кілька місяців тому. Виявилося, що ніхто не має уявлення про те, за ким була закріплена ця обліковий запис і ким був зроблений відповідний запит.

Підсумуємо результати впровадження політики. Була скомпрометована конфіденційна інформація, репутація компанії підірвана. Зловмиснику вдалося уникнути відповідальності.

Розробники даної політики, як і в попередньому випадку, не врахували її життєздатність. Підписи, необхідні для створення облікових записів, були чисто формальними і не представляли практичної моделі ідентифікації користувачів. Ризики, пов'язані з наданням користувачам облікових записів, які не були належним чином роз'яснено віце-президентам, хоча це входить в обов'язки будь-якої служби безпеки.

Відділ безпеки також повинен був знати про те, що порожні службові записки поширювалися, будучи вже підписаними. При наявності процедур аудиту безпеки, які передбачають перевірку нових облікових записів, стало б очевидним, що віце-президенти не мали уявлення про те, для кого і коли вони створювалися. За результатами аудиту політику безпеки необхідно доопрацювати або провести роз'яснювальну роботу з керівництвом організації з метою усвідомленого дотримання правил встановленої політики.

Втрата даних і устаткування

Все обладнання Web-серверів компанії розміщувалося в центральній серверній кімнаті в головному офісі. Така політика забезпечувала хороший рівень безпеки і системної підтримки. Однак з розширенням діапазону послуг, що надаються збільшилася кількість запитів на установку додаткових серверів, які складно було задовольнити.

Процедура виділення додаткового місця в серверній кімнаті і білінгу для різних підрозділів була досить складною. Тому деякі підрозділи вирішили розмістити необхідні їм сервери на своїй території і самостійно здійснювати їх підтримку. Один підрозділ, яка надавала Web-сервіси на основі передплати, помістило сервер в шафу, де зберігалися канцелярське приладдя та туалетний папір, що в один прекрасний день призвело до займання сервера, викликаного його перегрівом. Вогонь знищив сервер разом з частиною будівлі.

Так як служба технічної підтримки не відповідала за експлуатацію сервера, з'ясувалося, що резервне копіювання даних не здійснювалося вже протягом року. Процедури відновлення після аварії виявилися в даному випадку непридатними; клієнтів, які підписалися на Web-сервіс, ідентифікувати не вдалося, оскільки не представлялося можливим визначити їх поточні баланси для виставлення рахунків на оплату послуг.

Підсумуємо результати. Частина клієнтської бази була безповоротно втрачена, критична інформація знищена, будівля і майно організації пошкоджені. Організацію оштрафували за порушення правил пожежної безпеки.

Через те що процедура виділення місця в серверній кімнаті і виставлення рахунків за її використання була занадто складною, технічна допомога не знала про існування додаткових незахищених серверів. Необхідно, щоб служба безпеки мала достатньо інформації про користувачів і системах, які вона повинна захищати. Якби стало відомо про те, що виробничі сервери знаходяться в незахищених приміщеннях і їх резервне копіювання не проводиться, проблема могла бути вирішена на відповідному рівні керівництва.

За два роки не було помічено, що деякі виробничі сервери не охоплені системою резервного копіювання. Своєчасно проведений аудит систем, підключених до мережі, встановив би, що цей сервер був виробничим, а резервне копіювання даних на ньому не проводиться.

Факт розміщення сервера в шафі з туалетним папером створював враження, що це обладнання не становить цінності. Виявивши його в шафі, ви навряд чи приділили б йому більше уваги, ніж іншим знаходяться там предметів.

В усіх наведених прикладах політики безпеки зазнали невдачі з цілого ряду причин.

1. Політики безпеки були незручні для співробітників організації і надавали негативний вплив на ефективність бізнес-процесів.
2. Співробітники та менеджери не залучалися до розробки політики безпеки, її вимоги не узгоджувалися з усіма зацікавленими сторонами.
3. Співробітники і керівництво організації не були обізнані про причини, що обумовлюють необхідність виконання правил політики безпеки.
4. Контроль за виконанням політики безпеки в ході їх впровадження не здійснювався.
5. Аудит безпеки не проводився.
6. Правила політики безпеки не переглядалися.

Аналіз перерахованих причин дозволяє визначити основні фактори, що впливають на ефективність розробки та впровадження політики безпеки. Їх ігнорування може призвести проект впровадження політики безпеки до невдачі.

Тепер саме час пошукати приклади невдалих політик безпеки у вашій організації.

Фактори, що зумовлюють ефективність політики безпеки

Ефективні політики визначають необхідний і достатній набір вимог, що дозволяють зменшити ризики інформаційної безпеки до прийнятної величини. Вони надають мінімальний вплив на продуктивність праці, враховують особливості бізнес-процесів організації, підтримуються керівництвом, позитивно сприймаються і виконуються співробітниками.

При розробці політики, яка «не впаде під своєю власною вагою», слід враховувати фактори, що впливають на успішність застосування заходів безпеки.

Безпека перешкоджає прогресу

Заходи безпеки накладають обмеження на дії користувачів і системних адміністраторів і в загальному випадку призводять до зниження продуктивності праці. Безпека - витратна стаття, як і будь-яка інша форма страхування ризиків.

Людська природа завжди породжує бажання отримати більшу кількість інформації, спростити доступ до неї і зменшити час реакції системи. Будь-які заходи безпеки в певній мірі перешкоджають цьому.

Уявіть собі очікування перемикання сигналу світлофора. Світлофор призначений для забезпечення безпеки дорожнього руху, але якщо рух відсутній, то це очікування виглядає стомлюючої тратою часу. Людське терпіння має межу, і, якщо світлофор довго не перемикається, у багатьох виникає бажання проїхати на червоне світло (в кінці кінців, світлофор може бути просто несправний).

Аналогічно кожен користувач має обмеженим запасом терпіння щодо правил політики безпеки, досягши межі якого він перестає їх дотримуватися, вирішивши, що це явно не в його інтересах (не в інтересах справи).

Політики, які не враховують впливу, який вони чинять на продуктивність праці користувачів і на бізнес-процеси, в кращому випадку можуть привести до помилкового почуття захищеності. У гіршому випадку такі політики створюють додаткові проломи в системі захисту, коли «хтось починає рухатися на червоне світло».

Слід враховувати і мінімізувати вплив політики безпеки на виробничий процес, дотримуючись принципу розумної достатності.

Навички безпечної поведінки купуються в процесі навчання

Процедура забезпечення інформаційної безпеки вимагає навчання і періодичного підтримки.

Тут не можна покладатися на інтуїцію, необхідно усвідомлювати цінність інформаційних ресурсів, ризики і розміри можливих збитків. Користувач, який не має уявлення про критичність інформаційних ресурсів або про причини, за якими їх слід захищати, швидше за все, буде вважати відповідну політику нерозумної.

Керівництво організації також слід просвіщати з питань, що стосуються цінності інформаційних ресурсів, асоційованих з ними ризиків і відповідних політик безпеки. Якщо керівництво не знайоме з політикою безпеки або з її обґрунтуванням, не доводиться розраховувати на його підтримку. Звичайно, керівництву не обов'язково знати технічні деталі забезпечення інформаційної безпеки і конкретні правила, передбачені політиками. Досить сфокусувати його увагу на можливі наслідки порушень безпеки і пов'язаних з ними втрати для організації.

Слід проводити безперервну роботу з навчання співробітників та підвищення обізнаності керівництва організації в питаннях забезпечення інформаційної безпеки.

Порушення політики безпеки неминучі

У великих організаціях в ІТ-процеси залучена маса людей. Для більшості з них вимоги політики безпеки аж ніяк не очевидні. Чим складніше користувачам пристосуватися до встановленої політиці, тим менш імовірна її працездатність. На початковому етапі її вимоги напевно будуть порушуватися, та й в майбутньому повністю уникнути цього не вдасться.

Необхідно здійснювати безперервний контроль виконання правил політики безпеки як на етапі її впровадження, так і в подальшому, фіксувати порушення, розбиратися в їх причинах.

Одна з основних форм цього контролю - регулярне проведення як внутрішнього, так і зовнішнього аудиту безпеки.

Політику безпеки необхідно вдосконалювати, щоб вона залишалася ефективною

Навіть якщо вам вдалося розробити і впровадити ефективну політику безпеки, робота на цьому не закінчується. Забезпечення інформаційної безпеки - безперервний процес. Технології стрімко змінюються, системи застарівають, а багато процедур втрачають ефективність. Політики безпеки повинні безперервно удосконалюватися, щоб залишатися ефективними.

Працездатність і ефективність існуючих політик повинні регулярно перевірятися. Застарілі політики повинні переглядатися.

Рекомендації щодо розробки та впровадження ефективних політик

Облік основних факторів, що впливають на ефективність політик безпеки, визначає успішність її розробки і впровадження. Отже, як створити ефективну політику?

Мінімізація впливу політики безпеки на виробничий процес

Впровадження політики безпеки практично завжди пов'язане зі створенням деяких незручностей для співробітників організації і зниженням продуктивності бізнес-процесів. (В той же час правильна система заходів інформаційної безпеки підвищує ефективність бізнес-процесів за рахунок значного підвищення рівня безпеки, що є одним з основних показників ефективності.) Вплив заходів інформаційної безпеки на бізнес-процеси необхідно мінімізувати. У той же час не варто прагнути зробити заходи інформаційної безпеки абсолютно прозорими. З метою зрозуміти, який вплив політика буде надавати на роботу організації, і уникнути вузьких місць слід залучати до розробки цього документа представників бізнес-підрозділів, служб технічної підтримки і всіх, кого це безпосередньо торкнеться.

Політика безпеки - продукт колективної творчості. До складу робочої групи рекомендується включити: керівника вищої ланки; керівника, відповідального за впровадження і контроль виконання вимог політики безпеки;

співробітника юридичного департаменту; співробітника служби персоналу; представника бізнес-користувачів; технічного письменника; експерта з розробки політики безпеки [2]. До робочої групи може входити від 5 до 10 чоловік в залежності від розміру організації і широти проблемної галузі, яку охоплює політикою безпеки.

безперервність навчання

Навчання користувачів і системних адміністраторів - найважливіша умова успішного впровадження політики безпеки. Тільки свідоме виконання її вимог призводить до позитивного результату. Навчання реалізується шляхом ознайомлення всіх користувачів під розпис, публікації політики безпеки, розсилки користувачам інформаційних листів, проведення семінарів, а також індивідуальної роз'яснювальної роботи з порушниками. У разі необхідності на порушників безпеки накладаються стягнення, передбачені політикою безпеки і правилами внутрішнього розпорядку.

Користувачі повинні знати, кого, в яких випадках і яким чином інформувати про порушення інформаційної безпеки. Однак неприпустимо, щоб це виглядало як донос. Контактна інформація осіб, що відповідають за реагування на інциденти, повинна бути доступна будь-якому користувачеві.

Безперервний контроль та реагування на порушення безпеки

Контроль виконання правил політики безпеки може здійснюватися шляхом проведення планових перевірок в рамках заходів з аудиту інформаційної безпеки.

В організації повинні бути передбачені заходи з реагування на порушення правил політики безпеки. До цих заходів відносяться оповіщення про інцидент, реагування, процедури відновлення, механізми збору доказів, проведення розслідування та притягнення порушника до відповідальності. Система заходів по реагуванню на інциденти повинна бути скоординована між ІТ-департаментом, службою безпеки та службою персоналу.

Необхідно, щоб політики по можливості носили рекомендаційний, а обов'язковий характер, відповідальність за їх порушення була чітко визначена, а також були передбачені конкретні дисциплінарні і адміністративні стягнення.

Постійне вдосконалення політик безпеки

Політика безпеки - це не набір раз і назавжди визначених прописних істин. Не слід намагатися шляхом її впровадження вирішити відразу всі проблеми безпеки. Політика є результатом узгоджених рішень, що визначають основні вимоги щодо забезпечення інформаційної безпеки і відображають існуючий рівень розуміння цієї проблеми в організації. Для того щоб залишатися ефективною, політика безпеки повинна періодично коригуватися. Необхідно визначити відповідальність за підтримання політики безпеки в актуальному стані і призначити інтервали її перегляду. Політика повинна бути простою і зрозумілою. Слід уникати ускладнень, які зроблять політику непрацездатною. З цієї ж причини вона не повинна бути довгою. Інакше більшість користувачів не дочитаю її до кінця, а якщо і дочитаю, то не пам'ятають, про що в ній йдеться.

Підтримка керівництва організації

На етапі впровадження політики безпеки вирішальне значення має підтримка керівництва організації. Політика безпеки вводиться в дію наказом керівника, і процес її впровадження знаходиться під його контролем. У політиці безпеки простежується стурбованість керівництва питаннями забезпечення інформаційної безпеки. Координатору робочої групи з розробки політики безпеки слід роз'яснити керівництву організації ризики, що виникають у разі відсутності такої політики, а приписувані нею заходи економічно обгрунтувати.

Життєвий цикл політики безпеки

Розробка політики безпеки - тривалий і трудомісткий процес, що вимагає професіоналізму, відмінного знання нормативної бази в галузі безпеки, та й письменницького таланту. Цей процес зазвичай займає кілька місяців і не завжди завершується успішно. Координатором цього процесу є фахівець, на якого керівництво організації покладає відповідальність за забезпечення інформаційної безпеки. Ця відповідальність зазвичай концентрується на керівника відділу інформаційної безпеки (CISO), директора з безпеки (CSO), ІТ-директора (CIO) або на керівника відділу внутрішнього аудиту; саме він координує діяльність робочої групи з розробки та впровадження політики безпеки протягом усього життєвого циклу, який складається з п'яти послідовних етапів.

1. Початковий аудит безпеки. Аудит безпеки - процес, з якого починаються будь-які планомірні дії щодо забезпечення інформаційної безпеки в організації. Він включає в себе проведення обстеження, ідентифікацію загроз безпеки, ресурсів, що потребують захисту та оцінку ризиків. В ході аудиту проводиться аналіз поточного стану інформаційної безпеки, виявляються існуючі уразливості, найбільш критичні області функціонування та найчутливіші до загроз безпеці бізнес-процеси.

2. Розробка. Аудит безпеки дозволяє зібрати і узагальнити відомості, необхідні для розробки політики безпеки. На підставі результатів аудиту визначаються основні умови, вимоги і базова система заходів щодо забезпечення інформаційної безпеки в організації, що дозволяють зменшити ризики до прийнятної величини, які оформляються у вигляді узгоджених в рамках робочої групи рішень і затверджуються керівництвом організації.

Розробка політики безпеки з нуля не завжди є хорошою ідеєю. У багатьох випадках можна скористатися існуючими напрацюваннями (див., Наприклад, www.globaltrust.ru), обмежившись адаптацією типового комплекту до специфічних умов своєї організації. Цей шлях дозволяє заощадити місяці роботи і підвищити якість розроблюваних документів. Крім того, він є єдино прийнятним у разі відсутності в організації власних ресурсів для кваліфікованої розробки політики безпеки.

3. Впровадження. З найбільшими труднощами доводиться стикатися на етапі впровадження політики безпеки, яке, як правило, пов'язане з необхідністю вирішення технічних, організаційних та дисциплінарних проблем. Частина користувачів можуть свідомо або несвідомо чинити опір введенню нових правил поведінки, яких наразі необхідно слідувати, а також програмно-технічних механізмів захисту інформації, в тій чи іншій мірі неминуче обмежують їх вільний доступ до інформації. Системних адміністраторів може дратувати необхідність виконання вимог політик безпеки, які ускладнюють завдання адміністрування. Крім цього можуть виникати і чисто технічні проблеми, пов'язані, наприклад, з відсутністю в використовуваних програмних засобах функцій, необхідних для реалізації окремих положень політики безпеки.

На етапі впровадження необхідно не просто довести зміст політики до відома всіх співробітників організації, але також навчити і дати необхідні роз'яснення сумнівається, які намагаються обійти нові правила і продовжувати працювати по-старому.

Для успішного завершення впровадження повинна бути створена спеціальна проектна група, що діє згідно з узгодженим планом.

4. Аудит і контроль. Дотримання положень політики безпеки є обов'язковим для всіх співробітників організації і має безперервно контролюватися.

Проведення планового аудиту безпеки є одним з основних методів контролю працездатності політики безпеки, що дозволяє оцінити ефективність впровадження. Результати аудиту можуть служити підставою для перегляду деяких положень політики і внесення в них необхідних коригувань.

5. Перегляд і коригування. Перша версія політики безпеки зазвичай не в повній мірі відповідає потребам організації, однак розуміння цього приходить з досвідом. Швидше за все, після спостереження за процесом впровадження та оцінки ефективності її застосування буде потрібно здійснити ряд доробок. На додаток до цього, використовувані технології і організація бізнес-процесів безперервно змінюються, що призводить до необхідності коректувати існуючі підходи до забезпечення інформаційної безпеки. Як правило, щорічний перегляд політики безпеки - норма, яка встановлюється самою політикою.

Висновки

Адекватний рівень інформаційної безпеки в сучасній організації може бути забезпечений лише на основі комплексного підходу, реалізація якого починається з розробки та впровадження ефективних політик безпеки. Такі політики визначають необхідний і достатній набір вимог безпеки, що дозволяють зменшити ризики інформаційної безпеки до прийнятної величини. Вони надають мінімальний вплив на продуктивність праці, враховують особливості бізнес-процесів організації, підтримуються керівництвом, позитивно сприймаються і виконуються співробітниками організації. Для того щоб політика безпеки залишалася ефективною, необхідно здійснювати безперервний контроль її виконання, підвищувати обізнаність співробітників організації в питаннях безпеки і навчати їх виконання правил, що пропонуються нею. Регулярний перегляд і коригування правил політики безпеки необхідні для підтримки її в актуальному стані.

Розробка і впровадження політики безпеки - процес колективної творчості, в якому повинні брати участь представники всіх підрозділів, яких торкається виробленими змінами. Координатором цього процесу є фахівець, на якого керівництво покладає відповідальність за забезпечення інформаційної безпеки. Цей фахівець координує діяльність робочої групи з розробки та впровадження політики безпеки протягом усього життєвого циклу, що включає в себе проведення аудиту безпеки, розробку, узгодження, впровадження, навчання, контроль виконання, перегляд і коригування політики безпеки.

література

1. Why security policies fail. White Paper, Control Data Systems.
2. Michele D. Guel, Proven Practices for Managing the Security Function. The SANS Policy Primer.