Проект "ИТ-Защита"

Ноя

25

План-проспект политики безопасности. Часть 2. Методология разработки политики безопасности.

Рубрики Вопросы проектирования

2. Методология разработки политики безопасности

Разработка политики безопасности является ключевым этапом построения защи­щенной информационной системы (сети) и всех информационных активов организации в целом. Следует отметить, что составление политики или политик безопасности является только началом осуществления общей программы обеспечения безопасности организации. Детальная программа обеспечения безопасности необходима для создания эффективной системы безо­пасности организации на основе разработанной политики безопасности.

Основными этапами программы обеспечения безопасности являются следу­ющие:

  • определение ценности технологических и информационных активов орга­низации;
  • оценка рисков этих активов (сначала путем идентификации тех угроз, для которых каждый актив является целевым объектом, а затем оценкой веро­ятности того, что эти угрозы будут реализованы на практике);
  • установление уровня безопасности, определяющего защиту каждого акти­ва, то есть мер безопасности, которые можно считать рентабельными для применения;
  • формирование политики безопасности организации на базе предыдущих этапов;
  • привлечение необходимых финансовых ресурсов для реализации политики безопасности, приобретение и установка требуемых средств безопасности;
  • проведение разъяснительных мероприятий и обучения персонала для под­держки сотрудниками и руководством требуемых мер безопасности;
  • регулярный контроль пошаговой реализации плана безопасности с целью выявления текущих проблем, учета изменения внешнего окружения и вне­сение необходимых изменений в состав персонала.

К  политикам безопасности предъявляются следующие основные требования:

  • политики безопасности должны:

-     указывать цели и причины, по которым нужна политика;

-     описывать, что именно охватывается этими политиками;

-     определить роли, обязанности и контакты;

-     определить, как будут обрабатываться нарушения                 безопасности;

политики безопасности должны быть:

-     реальными и осуществимыми;

.- лаконичными и доступными для понимания;

-  сбалансированными по защите и производительности.

Первыми шагами по разработке политики безопасности являются следующие:

-     создание команды или выбор подрядной организации по разработке политики;

-     принятие решения об области действия и целях политики. В области дей­ствия должно быть указано, кто охватывается этой политикой;

-     принятие решения об особенностях разрабатываемой политики;

-  определение лица или органа для работы в качестве официального интер­претатора политики.

Ко всем разрабатываемым политикам безопасности целесообразно применять унифицированный процесс проектирования с единообразными требованиями к политикам. Этот процесс точно определял бы, кто создает начальный эскиз по­литики, какие группы требуются для рассмотрения и построения каждой поли­тики, какими должны быть процессы утверждения и реализации политики.

Одним из первых шагов является создание команды по разработке политики безопасности организации. Иногда эту команду называют группой, комиссией или комитетом. Команда создается руководством организации, которое должно ясно осознавать важность информационной безопасности и полностью реализовать свою позитивную роль в успешной разработке, принятии и внедрении этой политики.

В состав команды рекомендуется включать квалифицированных специалистов, хорошо разбирающихся в требованиях бизнеса, информационных технологиях и безопасности, юриста и члена руководства, который сможет претворить в жизнь эту политику безопасности. К работе этой команды должны быть также привле­чены администраторы безопасности и системные администраторы, представитель от сообщества пользователей.

Размер команды разработки политики зависит от масштаба и области действия политики. Крупномасштабные политики могут потребовать команды из 5-10 че­ловек, в то время как для определения политик небольшого масштаба достаточно только одного или двух человек.

Как только такая команда создана, ее первым шагом является анализ требова­ний бизнеса. Члены команды с различными позициями и точками зрения должны проанализировать требования бизнеса к использованию компьютерных и сетевых сервисов. Нет ничего плохого, если мнения некоторых членов этой команды не совпадают. Столкновения их интересов и пересечения разных отраслей знания при обсуждении требований бизнеса позволяют получить более полную и объек­тивную картину, чем при обычном интервьюировании людей, работающих в об­ласти маркетинга, продаж или разработки .

На этом этапе анализируются и решаются вопросы следующего типа. Какие компьютерные и сетевые сервисы требуются для бизнеса, и как эти требования могут быть удовлетворены при условии обеспечения безопасности? Скольким сотрудникам необходимы доступ в Internet, использование e-mail и intranet-сер­висов? Зависят ли компьютерные и сетевые сервисы от удаленного доступа к внутренней сети? Имеются ли требования по доступу к Web? Требуются ли кли­ентам данные технической поддержки через Internet? При анализе каждого сер­виса необходимо задаться вопросом: «Имеется ли требование бизнеса на этот сер­вис?» Это - самый важный вопрос.

После анализа и систематизации требований бизнеса команда по разработке политики безопасности переходит к анализу и оценке рисков. Использование ин­формационных систем и сетей связано с определенной совокупностью рисков. Ана­лиз рисков является важнейшим этапом формирования политики безопасности.

Иногда этот этап называют также анализом уязвимостей

или оценкой угроз. Хотя эти термины несколько различаются смысловыми оттенками, конечные результа­ты сходны. На этапе анализа рисков осуществляются следующие действия:

  • идентификация и оценка стоимости технологических и информационных активов;
  • постулирование и анализ тех угроз, для которых данный актив является целевым объектом;
  • оценка вероятности того, что угроза будет реализована на практике;
  • оценка рисков этих активов.

Оценка риска выявляет как наиболее ценные, так и наиболее уязвимые акти­вы, она позволяет точно установить, на какие проблемы нужно обратить особое внимание. Отчет об оценке рисков является полезным инструментом при форми­ровании политики сетевой безопасности.

После оценки рисков активов можно переходить к установлению уровня безо­пасности, определяющего защиту каждого актива, то есть мер безопасности, ко­торые можно считать рентабельными для применения.

В принципе, стоимость защиты конкретного актива не должна превышать сто­имости самого актива. Необходимо составить подробный перечень всех активов, который включает такие материальные объекты, как серверы и рабочие станции, и такие нематериальные объекты, как данные и программное обеспечение. Долж­ны быть идентифицированы директории, которые содержат конфиденциальные файлы или файлы целевого назначения. После идентификации этих активов дол­жно быть проведено определение стоимости замены каждого актива с целью на­значения приоритетов в перечне активов.

Для контроля эффективности деятельности в области безопасности и для уче­та изменений обстановки необходима периодическая переоценка рисков.

Базовая политика безопасности

После проведения описанной выше предварительной работы можно переходить к непосредственному составлению политики безопасности.

В политике безопасности организации должны быть определены используемые стандарты, правила и процессы безопасности. Стандарты указывают, какими критериями должно руководствоваться управление безопасностью. Правила по­дробно описывают принципы и способы управления безопасностью. Процессы должны осуществлять точную реализацию правил в соответствии с принятыми стандартами. Кроме того, политика безопасности должна определить значимые для безопасности роли и указать ответственности этих ролей. Роли устанавлива­ются во время формулирования процессов .Обычно процесс состоит из одного или более действий, где каждое действие включает четыре компонента:

  1. ВХОД, например, запрос пользователем нового пароля.
    1. МЕХАНИЗМ БЕЗОПАСНОСТИ - реализует данное действие и указывает средства или роли, с помощью которых это действие выполняется. Другими  словами, он определяет, какие роли вовлечены в это конкретное действие. В нашем примере такими ролями являются пользователь, запрашивающий но­вый пароль, и администратор безопасности.
      1. УПРАВЛЕНИЕ - описывает алгоритм или условия, которые управляют этим действием. Например, стандарт может задать следующее условие: при запросе нового пароля инициатор запроса должен успешно пройти аутенти­фикацию.
      2. ВЫХОД - является результатом этого действия. В нашем примере таким выходом будет сообщение пользователю нового пароля.

Связывая вместе все действия, входящие в процесс, мы получаем

точное пред­ставление результирующего процесса и ролей, необходимых для его исполне­ния. В данном примере процесс состоит из одного действия - обновления паро­ля пользователя; роли идентифицируются как Пользователь и Администратор безопасности. Стандарты, правила и процессы должны быть документированы в рамках политики для целей аудита.

В политике безопасности организации можно выделить базовую структуру, которую обычно называют базовой политикой безопасности. Описание ба­зовой политики безопасности представляет собой высокоуровневый документ, который устанавливает, как организация обрабатывает информацию, кто может получить к ней доступ и как это можно сделать. В этом документе определяются разрешенные и запрещенные действия, а также указываются необходимые сред­ства управления в рамках реализуемой архитектуры безопасности. С базовой по­литикой безопасности, выполняющей роль основной структуры, согласовывают­ся специализированные политики и процедуры безопасности.

Нисходящий подход, реализуемый базовой политикой безопасности, дает воз­можность постепенно и последовательно выполнять работу по созданию системы безопасности, не пытаясь сразу выполнить ее на 100%. Эта базовая структура позволяет в любое время ознакомиться с политикой безопасности в полном объе­ме и выяснить текущее состояние безопасности в организации.

Обычно политика безопасности организации включает следующие элементы:

  • обзор политики безопасности;
  • описание базовой политики безопасности;
  • руководство по архитектуре безопасности;
  • специализированные политики безопасности;
  • процедуры безопасности .

Обзор политики безопасности раскрывает цель политики безопасности, опи­сывает структуру этого документа, подробно излагает, кто за что отвечает, уста­навливает процедуры и предполагаемые временные рамки для внесения изме­нений. В зависимости от масштаба организации политика безопасности может содержать больше или меньше разделов.

Руководство по архитектуре безопасности описывает реализацию механизмов безопасности в компонентах архитектуры, используемых в сети организации.

С учетом особенностей применения специализированные политики безопасно­сти можно разделить на две группы:

  • политики, затрагивающие значительное число пользователей;
  • политики, связанные с конкретными техническими областями.

К специализированным политикам, затрагивающим значительное число пользо­вателей, относятся:

  • политика допустимого использования;
  • политика защиты паролей;
  • политика удаленного доступа к ресурсам сети и др.

К специализированным политикам, связанным с конкретным техническими областями, относятся:

  • политика конфигурации межсетевых экранов;
  • политика по шифрованию и управлению криптоключами;
  • политика безопасности виртуальных защищенных сетей VPN и др.

Компоненты архитектуры безопасности

Руководство по архитектуре безопасности детально определяет контрмеры про­тив угроз, раскрытых при оценке рисков. Это руководство описывает компонен­ты архитектуры безопасности сети, рекомендует конкретные продукты безопас­ности и дает инструкции, как развернуть и управлять ими. В частности, это руководство может содержать рекомендации, где следует поставить межсетевые экраны, когда использовать шифрование, где разместить Web-серверы и как орга­низовать управление коммуникациями с бизнес-партнерами и заказчиками. Ру­ководство по архитектуре безопасности определяет также гарантии безопаснос­ти, аудит и средства контроля.

Рассмотрим для примера некоторые компоненты архитектуры безопасности сети.

Физическая безопасность

Обеспечение физической безопасности особенно важно, когда заполнение фи­зической области, где находятся системные компоненты, очень неоднородно. Наличие в здании компании не только своих сотрудников, но и людей из дру­гих компаний, таких как заказчики, партнеры или клиенты, является наиболее распространенной ситуацией, которая требует физической защиты компью­терной среды. Физическая защита ресурсов и активов организации достигает­ся с помощью аппаратных средств и размещения соответствующих компьютер­ных и коммуникационных средств в физически защищенных помещениях или зонах.

Без обеспечения физической безопасности будут подвергаться серьезным угро­зам такие важные аспекты сетевой безопасности, как конфиденциальность, до­ступность и целостность информации. Реализация физической защиты заключа­ется прежде всего в определении тех компонентов компьютерной среды, которые должны быть физически защищены.

Такой перечень должен включать:

  • центральные процессоры и системные блоки;
  • компоненты инфраструктуры корпоративной сети, такие как системы управ­ления, мосты, маршрутизаторы, коммутационные коммутаторы, актив­ные порты и др.;системы, связанные с LAN;
    • медиа - носители информации, такие как магнитные ленты, диски и кассеты.

Затем необходимо определить два или три типа областей с различными уров­нями безопасности, такими как:

  • открытые области, в которые могут допускаться все сотрудники компью­терной среды;
  • контролируемые области, которые могут и должны быть закрыты, когда находятся без присмотра;
  • особо контролируемые области, куда ограничен доступ даже зарегистриро­ванным авторизованным пользователям.

Далее каждая такая область назначается одному компоненту системы или то­пологии системных компонентов в зависимости от степени их конфиденциаль­ности.

Логическая безопасность

Логическая (сетевая) безопасность характеризует уровень защиты ресурсов и ак­тивов в сети. Логическая безопасность включает средства безопасности, осуществ­ляющие идентификацию и аутентификацию пользователей, управление доступом, межсетевое экранирование, аудит и мониторинг сети, управление удаленным до­ступом и т.д.

Идентификация и аутентификация пользователей

Идентификация пользователей является самым первым рубежом в реализации логической системы безопасности. Идентификатор ID пользователя идентифи­цирует пользователя, связанного с системой и, в конечном счете, с теми ресурса­ми, к каким этот пользователь имеет доступ. По возможности за правильность использования идентификатора пользователя должен отвечать сам пользователь; необходимо избегать совместного использования идентификаторов пользовате­лей, если только это не делается контролируемым образом под ответственность собственника идентификатора.

После идентификации необходимо провести аутентификацию пользователя, то есть проверить, является ли пользователь именно тем, кем себя объявляет. Рас­пространенным методом аутентификации пользователей все еще является про­верка пароля пользователя. Защищенность и стойкость применяемого пароля влияют на эффективность аутентификации пользователя.

Используемый тип аутентификации зависит от того, где проводится аутенти­фикация пользователей. Для аутентификации в настольном компьютере вполне достаточно использования пароля пользователя, если реализована физическая бе­зопасность компьютера. При попытке входа в защищенную сеть через Internetцелесообразна более безопасная двухфакторная аутентификация (аутентифика­ция с использованием токенов).

Защита ресурсов

Ресурсы (файлы, базы данных, программы, данные) могут быть разделены на две группы:

1.   Ресурсы операционной системы представляют собой те объекты данных, ко­
торые связаны с системными сервисами или функциями; они включают сис­
темные программы и файлы, подсистемы и программные продукты.
Ресурсы операционной системы обычно находятся под управлением и от­
ветственностью провайдера сервиса. Их целостность должна гарантировать­
ся, поскольку эти данные критичны для того сервиса, который предлагает
организация.

Ресурсы операционной системы не всегда являются ограниченными для чтения, хотя список исключений должен быть установлен и соответственно защищен. Типичным примером такого исключения является база данных, в которой хранятся пароли и идентификаторы пользователя.

2.  Ресурсы пользователей представляют собой те объекты данных, которые
связаны с отдельными пользователями или группами пользователей. Ресур­
сы пользователей должны быть защищены в соответствии с требованиями
собственника данных. Для гарантии хотя бы минимального уровня безопас­
ности рекомендуется установить по умолчанию некоторую начальную за­
щиту этих ресурсов.

Определение административных полномочий

Некоторые из пользователей, находящихся в сети, имеют особые полномочия. Та­кие полномочия нужны для управления компьютерными системами и для управ­ления безопасностью. Эти административные полномочия можно разделить на две категории:

  • полномочия системного администратора;
  • полномочия администратора безопасности.

Полномочия администратора безопасности дают возможность администратору выполнять действия, необходимые для управления безопасностью. Эти полномо­чия позволяют администратору осуществлять изменение системных компонентов или считывать конфиденциальные данные. Однако если считывание конфиденци­альных данных выполнено администратором без соответствующей потребности бизнеса, это должно рассматриваться как злоупотребление полномочиями.

Полномочия системного администратора позволяют администратору выпол­нить все действия, необходимые для управления компьютерными системами. Эти

полномочия могут дать возможность администратору обойти контроль безопас­ности, но это должно рассматриваться как злоупотребление полномочиями.

Полномочия системного администратора и полномочия администратора без­опасности являются одинаково важными для безопасности. С учетом вышеска­занного необходимо выполнить следующее:

  • определить для каждой системной платформы или системы управления доступом те полномочия, которые могут быть признаны в указанных кате­гориях;
  • назначить полномочия администраторам в соответствии с индивидуаль­ной ответственностью;
  • периодически проверять назначение идентификаторов авторизованным пользователям.

Роли и ответственности в безопасности сети

Число устанавливаемых ролей зависит от количества реализуемых процессов без­опасности в организации. Во многих организациях можно найти одни и те же типы ролей. Рассмотрим перечень обычно устанавливаемых в сети ролей:

  • провайдер сервисов - менеджер группы и/или организации,который предо­ставляет сервисы обработки информации. Обычно эта организация отвеча­ет за обеспечение безопасности компьютерной среды;
  • менеджер данных- менеджер, отвечающий за управление безопасностью распределяемых данных. В круг ответственности менеджера данных входят:

-     оценка уровня конфиденциальности данных с целью их классификации;

-     установление определенного уровня защиты (в соответствии с этой клас­сификацией);

-     разрешение или запрет на доступ к данным под его личную ответствен­ность;

аудитор - это лицо, ответственное за:

-     исполнение политик безопасности;

-     исполнение процессов безопасности;

-     периодическое выполнение контрольной оценки безопасности;

-     задание требований для приложений/инструментов/решений в целях обеспечения требуемой безопасности;

администратор безопасности - это лицо, ответственное за настройку и управление системных средств управления безопасностью. В круг ответ­ственности администратора безопасности входят следующие обязанности:

-     обеспечение настройки безопасности системы в соответствии со стандар­тами и правилами, то есть администратор безопасности отвечает за уста­новку системных политик, включая парольную политику, политику ауди­та, политику   входа в систему и стандартный доступ к типам ресурсов;

-     управление атрибутами доступа пользователей путем замены паролей, определения новых и удаления старых идентификаторов пользователей;

-                выполнение периодических проверок с целью контроля состояния безо­
пасности компьютерной среды;

пользователь данными - в его обязанности входят:

-     исполнение инструкций безопасности. Например, пароль должен быть нетривиальным и удовлетворять утвержденным синтаксическим прави­лам. Это правило нужно применять в любой системе независимо от типа существующего управления безопасностью;

-     использование своих полномочий доступа и системных полномочий толь­ко для разрешенного администрацией применения.

Пользователем данными является каждый пользователь компьютерной среды.

Аудит и оповещение

Под термином аудит подразумевается способность регистрировать все важные с точки зрения безопасности действия, выполненные в компьютерной среде. Под термином оповещение понимают способность оповещать об этих действиях в чи­табельной форме.

Для безопасности очень важна хорошая схема аудита; она должна всегда давать ясную картину состояния безопасности. Более того, схема аудита является мощ­ным пассивным агентом безопасности. Статистика отмечает, что 16-20% угроз безопасности обусловлены обиженными или нечестными сотрудниками. Эффек­тивное отслеживание активности угроз этого типа с помощью аудита является сильным сдерживающим средством.

При формировании политики аудита нужно иметь в виду два аспекта.

Во-первых, необходимо решить, какие события особенно важны для безопас­ности. Регистрация всех событий подряд - не лучший выбор; это просто беспо­лезное расходование дискового пространства. Такая регистрация может вызвать много проблем при генерации отчета. Для определенных видов аудита не каждое действие регистрируется или включается в отчеты; некоторая статистика зависит от задаваемых пороговых значений.

Вот рекомендация минимального перечня событий для регистрации:

-     неавторизованный доступ к системе;

-     неправильный пароль;

-     аннулированный пароль;

-     неавторизованный доступ к ресурсу;

-     все попытки доступа к чувствительно важным областям систем;

-     все выдаваемые команды безопасности, использующие административные полномочия безопасности;

-     все попытки доступа к ресурсам операционных систем за исключением до­ступа по умолчанию.

Во-вторых, необходимо решить, как долго должны храниться записи регистра­ции, и составить соответствующий план хранения. Управление тревожной сигнализацией

Для обеспечения безопасности важно иметь возможность немедленного реагиро­вания, когда предполагается, что компьютерная среда подвергается опасности атаки на систему в попытке получить неавторизованный доступ. Цель состоит в том, чтобы определить в реальном времени, когда возникнет опасность, и вы­дать сигнал тревоги.

Приведем пример последовательности процессов для обнаружения проблемы и выдачи сигнала тревоги:

-     каждое нарушение безопасности должно генерировать системное событие;

-     одно системное событие не является достаточным, чтобы утверждать, что это - опасность; в таком случае подобные события должны накапливаться. Совокупность таких событий должна затем сравниваться с заранее установ­ленной пороговой величиной;

-     если результат этой совокупности превышает пороговую величину, выдает­ся сигнал тревоги.

В результате работы этих процессов мы можем игнорировать неправильный ввод кем-то пароля утром во вторник, но не должны пропустить случай, если кто-то вводит много неправильных паролей, связанных со многими пользовательски­ми идентификаторами, в воскресенье вечером.

Для управления тревожной сигнализацией важно правильное определение ро­лей и ответственностей и их назначение соответствующим менеджерам. Систе­ма тревожной сигнализации должна не только проанализировать потенциально опасную ситуацию и своевременно выдать тревожной сигнал либо инициировать некоторый автоматический процесс, но и оповестить ответственных должностных лиц, способных оперативно принять необходимые меры.

Специализированные политики безопасности

Как отмечалось выше, структура и состав политики безопасности зависит от раз­мера и целей компании. Обычно базовая политика безопасности организации поддерживается набором специализированных политик и процедур безопаснос­ти. Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначены для каждого сайта, другие политики специ­фичны для определенных компьютерных окружений.

Перечислим некоторые специализированные политики;

-     политика допустимого использования;

-     политика удаленного доступа к ресурсам сети;

-     политика защиты паролей;

-     политика защиты информации;

-     политика безопасности периметра;

-     политика базового хоста/безопасности устройства;

-     политика конфигурации межсетевых экранов;

-     политика безопасности серверов;

-     политика безопасности маршрутизаторов;

-     политика по шифрованию и управлению криптоключами;

-     политика безопасности виртуальных защищенных сетей VPN;

-     политика по оборудованию беспроводной сети и др.

Рассмотрим подробнее некоторые из ключевых специализированных политик.

Политика допустимого использования

Базовая политика безопасности обычно связана с рядом политик допустимого использования. Конкретный тип и количество таких политик зависят от резуль­татов анализа требований бизнеса, оценки рисков и корпоративной культуры в организации.

Целью политики допустимого использования является установление стандарт­ных норм безопасного использования компьютерного оборудования и сервисов в компании, а также соответствующих мер безопасности сотрудников с целью за­щиты корпоративных ресурсов и собственной информации. Неправильное исполь­зование компьютерного оборудования и сервисов подвергает компанию различным рискам, включая вирусные атаки, компрометацию сетевых систем и сервисов и др.

Политика допустимого использования применяется к сотрудникам, контрак­торам, консультантам, временным служащим и другим работникам в компании, включая сотрудников сторонних организаций. Эта политика применяется ко все­му оборудованию, которое является собственностью или арендовано компанией. Политика допустимого использования предназначается в основном для конечных пользователей. Эта политика указывает пользователям, какие действия разреша­ются, а какие запрещены.

Политика допустимого использования:

-     определяет соответствующее использование компьютерных ресурсов;

-      требует от пользователей, чтобы они прочли и подписали ее в процессе за­проса счета (account);

-      является ключевой политикой, которую должны иметь все сайты.

Политика допустимого использования должна установить:

-       ответственность пользователей за защиту любой информации, используе­мой и/или хранимой на их счетах;

-       право пользователей читать и копировать файлы, которые не являются их собственными, но доступны им;

-       уровень допустимого использования электронной почты, ознакомления с Internet-новостями и Web-доступа;

-    допустимые небизнесные использования ресурсов.

Существует много видов политики допустимого использования. В частности, могут быть политики допустимого использования для компьютеров, передачи данных, коммуникаций электронной почты, портативных персональных компью­теров, Web-доступа и др. Политика допустимого использования является одной из наиболее важных политик, которые может иметь сайт.

Для образовательных и правительственных учреждений политика допустимо­го использования, по существу, просто обязательна. Без зафиксированной в соот­ветствующем документе политики допустимого использования штатные сотруд­ники управления и поддержки сети не имеют формальных оснований для принятия санкций к своему или стороннему сотруднику, который совершил грубое наруше­ние правил безопасной работы на компьютере или в сети.

Для политики допустимого использования не существует специального фор­мата. В этой политике должно быть указано имя сервиса, системы или подсисте­мы, которая регулируется (например, политика использования компьютера, внут­ренней и Internet e-mail, компактных компьютеров и паролей), и описано в самых четких терминах разрешенное и запрещенное поведение. В этой политике долж­ны быть также подробно описаны последствия нарушения ее правил и санкции, накладываемые на нарушителя.

Разработка политики допустимого использования выполняется квалифициро­ванными специалистами по соответствующему сервису, системе или подсистеме под контролем комиссии (команды), которой была поручена разработка полити­ки безопасности организации.

Политика удаленного доступа

Целью политики удаленного доступа является установление стандартных норм безопасного удаленного соединения любого хоста с сетью компании. Эти стандарт­ные нормы призваны минимизировать ущерб компании из-за возможного неав­торизованного использования ресурсов компании. К такому ущербу относятся: потеря конфиденциальных данных компании, утрата интеллектуальной собствен­ности, искажение имиджа компании, повреждения критических внутренних сис­тем компании и т.д.

Эта политика касается всех сотрудников, поставщиков и агентов компании при использовании ими для удаленного соединения с сетью компании компьютеров или рабочих станций, являющихся собственностью компании или находящихся в личной собственности.

Политика удаленного доступа:

-       намечает и определяет допустимые методы удаленного соединения с внут­ренней сетью;

-       существенна в большой организации, где сети территориально распределе­ны и простираются до домов сотрудников;

-       должна охватывать по возможности все распространенные методы удален­ного доступа к внутренним ресурсам.

Политика удаленного доступа должна определить:

-     какие методы разрешаются для удаленного доступа;

-     каковы ограничения на данные, к которым можно получить удаленный до­ступ;

-     кто может иметь удаленный доступ;

-     кому разрешается иметь высокоскоростной удаленный доступ, такой как ISDN или frame relay.

Защищенный удаленный доступ должен быть строго контролируемым. Приме­няемая процедура контроля должна гарантировать, что доступ к надлежащей ин­формации или сервисам получат только прошедшие проверку люди. Сотрудник компании не должен передавать свой логин или пароль e-mail никогда и никому, включая членов своей семьи. Управление удаленным доступом не должно быть настолько сложным, чтобы это приводило к возникновению ошибок.

Контроль доступа целесообразно выполнять с помощью одноразовой парольной аутентификации или с помощью открытых/секретных ключей с сильными ключе­выми фразами (strong pass-phrases).

Сотрудники компании с правами удаленного доступа должны обеспечить, что­бы принадлежащие им или компании персональный компьютер или рабочая стан­ция, которые удаленно подсоединены к корпоративной сети компании, не были связаны в это же время с какой-либо другой сетью, за исключением персональ­ных сетей, находящихся под полным контролем пользователя.

Сотрудники компании с правами удаленного доступа к корпоративной сети компании должны обеспечить, чтобы их соединение удаленного доступа имело такие же характеристики безопасности, как обычное локальное соединение с ком­панией. Сотрудники компании с правами удаленного доступа к корпоративной сети компании не должны использовать счета других компаний или другие вне­шние ресурсы для ведения бизнеса своей компании, гарантируя тем самым, что они никогда не смешивают бизнес своей компании со своим личным бизнесом.

Маршрутизаторы для выделенных ISDN-линий, сконфигурированные для до­ступа к сети компании, должны удовлетворять минимальным требованиям аутен­тификации протокола CHAP Frame relay должен удовлетворять минимальным требованиям аутентификации стандартов DLCI.

Персональное оборудование, которое используется для соединения с сетью компании, должно удовлетворять требованиям, предъявляемым к оборудованию компании для удаленного доступа.

Все хосты, которые подключены к внутренним сетям компании с помощью тех­нологий удаленного доступа, должны использовать самое современное антиви­русное обеспечение, это требование относится и к персональным компьютерам компании.

Любой сотрудник компании, уличенный в нарушении данной политики, может быть подвергнут дисциплинарному взысканию вплоть до увольнения с работы. Более подробные сведения по защите информации при доступе к корпоратив­ной сети компании с помощью методов удаленного доступа можно найти в следу­ющих политиках:

-     допустимого использования;

-     допустимого шифрования;

-     виртуальных защищенных сетей VPN.

Процедуры безопасности

Процедуры безопасности не менее важны, чем политики. Процедуры являются необходимым и важным дополнением к политикам безопасности. Политики без­опасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, то есть как претворить в жизнь поли­тики безопасности.

По существу, процедуры представляют собой пошаговые инструкции для вы­полнения оперативных задач. Часто процедура является тем инструментом, с по­мощью которого политика преобразуется в реальное действие. Например, поли­тика паролей формулирует условия конструирования паролей, правила о том, как защитить ваш пароль и как часто следует заменять пароли. Процедура управле­ния паролями описывает процесс создания новых паролей, распределения их, а также процесс гарантированной смены паролей на критичных устройствах. Сле­дует отметить, что между политикой и процедурами не всегда существует сход­ство один к одному.

Процедуры детально определяют действия, которые нужно предпринять при реагировании на конкретные события. Процедуры обеспечивают быстрое реаги­рование во время кризиса. Процедуры помогают устранить проблему единой точ­ки отказа в работе, если, например, во время кризиса работник неожиданно поки­дает рабочее место или оказывается недоступен.

Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении, специализирующемся в области ИТ-серви-са. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования счета пользовате­ля, применяемые сразу после увольнения данного пользователя из организации. Далее мы рассмотрим несколько важных процедур, которые необходимы почти каждой организации.

Процедура реагирования на события

Процедура реагирования на события является необходимым средством без­опасности для большинства организаций. Организация особенно уязвима, когда обнаруживается вторжение в ее сеть или когда она сталкивается со стихийным бедствием. Нетрудно представить, что происходит в последующие минуты и часы, если в интеллектуальную собственность компании были вложены миллионы или миллиарды долларов.

Процедуру реагирования на события иногда называют процедурой обработки событий или процедурой реагирования на инциденты. Практически невозможно указать отклики на все события нарушений безопасности, но нужно стремиться охватить основные типы нарушений, которые могут произойти.

Вот некоторые примеры событий нарушений безопасности: сканирование пор­тов сети, атака типа «отказ в обслуживании», компрометация хоста, компромета­ция счета, несанкционированный доступ и др.

Данная процедура определяет:

-     каковы обязанности членов команды реагирования;

-     какую информацию регистрировать и прослеживать;

-     как обрабатывать исследование отклонений от нормы и атаки вторжения;

-     кого уведомлять и когда;

-     кто может выпускать в свет информацию и какова процедура выпуска ин­формации;

-     как должен выполняться последующий анализ и кто будет в этом участвовать.

В команду реагирования могут быть включены должностные лица компании, менеджер маркетинга (для связи с прессой), системный и сетевой администрато­ры и представитель полиции. Процедура должна указать, когда и в каком поряд­ке они вызываются.

Процедура управления конфигурацией

Процедура управления конфигурацией обычно определяется на корпоративном уровне или уровне подразделения. Даже если имеется корпоративная процедура управления конфигурацией, отдельные группы могут выбрать свою собственную. Процедура управления конфигурацией должна определить процесс документи­рования и запроса изменений конфигурации на всех уровнях масштабирования (от простой инсталляции маршрутизатора до замены основного МЭ). В принци­пе, должна существовать центральная группа, которая рассматривает все запросы на изменения и принимает необходимые решения. Процедура управления конфигурацией определяет:

-       кто имеет полномочия выполнить изменения конфигурации аппаратного и программного обеспечения;

-       как тестируется и инсталлируется новое аппаратное и программное обеспе­чение;

-     как документируются изменения в аппаратном и программном обеспечении;

-     кто должен быть проинформирован, когда случаются изменения в аппарат­ном и программном обеспечении.

-     Процесс управления конфигурацией важен по нескольким причинам.

-      Он:

-     документирует сделанные изменения.

-     обеспечивает возможность аудита;

-      документирует возможный простой системы;

-     дает способ координировать изменения так, чтобы одно изменение не поме­шало другому изменению.





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.