Учебное пособие: Интеллектуальные компьютерные технологии защиты информации

Учебное пособие: Интеллектуальные компьютерные технологии защиты информации

Интеллектуальные компьютерные технологии защиты информации

Учебное пособие

Часть 1 Общие положения защиты информации

В 3-х частях

Содержание

Введение

1. Организационно-административное обеспечение информационной безопасности

1.1    Политика информационной безопасности

1.1.1 Документ с изложением политики информационной безопасности

1.2    Выработка официальной политики предприятия в области информационной безопасности

1.2.1  Краткий обзор

1.2.2  Оценка рисков

1.2.3  Распределение прав пользователей

1.2.4  Что делать, когда политику безопасности нарушают

1.2.5  Пресекать или следить?

1.2.6  Толкование политики безопасности

1.2.7  Гласность политики безопасности

1.3    Организация системы безопасности

1.3.1  Инфраструктура информационной безопасности

1.3.2  Совещание руководящих лиц по информационной безопасности

1.3.3  Координация информационной безопасности

1.3.4  Распределение ответственности за информационную безопасность

1.3.5  Процедура санкционирования в отношении средств информационной технологии

1.3.6  Консультация специалиста по информационной безопасности

1.3.7  Сотрудничество между организациями

1.2.8  Независимая ревизия состояния информационной безопасности17

1.4  Ответственность субъектов информационной безопасности

1.5  Классификация ресурсов и контроль за ними

1.5.1  Отчетность по ресурсам

1.5.2  Инвентаризация ресурсов

1.5.3  Классификация информации

1.5.4  Принципы классификации

1.5.5  Маркирование информации

1.6 Обеспечение безопасности персоналом

1.6.1  Обеспечение безопасности при составлении должностных инструкций и проверка благонадежности

1.6.2  Отражение мер безопасности в должностных инструкциях

Проверка на благонадежность при приеме на работу

1.6.3  Договор о соблюдении конфиденциальности

1.7 Обучение пользователей

1.7.1 Теоретическое и практическое обучение информационной безопасности

1.8 Реагирование на инциденты

1.8.1  Доведение информации об инцидентах, касающихся проблем безопасности22

1.8.2  Сообщение об уязвимости защиты

1.8.3  Сообщение о сбоях программного обеспечения

1.8.4  Процедуры дисциплинарного воздействия

2.Основные положения теории защиты информации

2.1  Введение

2.2  Возникновение и история развития проблемы защиты информации

2.3  Методы исследования проблем защиты информации

2.3.1  Основные положения теории нечетких множеств

2.3.2  Основные положения нестрогой математики

2.3.3  Неформальные методы оценивания

2.3.4  Неформальные методы поиска оптимальных решений

2.4  Угрозы безопасности автоматизированной системы обработки информации

2.5  Причины, виды и каналы утечки информации

2.6  Модели разграничения доступа к информации

2.6.1  Модели безопасности

2.6.2  Модель пятимерного пространства безопасности Хардстона

2.6.3  Модель Белла-Лападула

2.6.4  Средства разграничения доступа

3.Управление защитой информации

3.1 Введение

3.2 Аудит

3.2.1  Определение и задачи аудита

3.2.2  ISACA

3.2.3  CoBiT

3.2.4  Практика проведения аудита КИС

3.2.5  Результаты проведения аудита КИС

3.3 Управление паролями

3.3.1  Потенциальные угрозы

3.3.2  Пути снижения рисков

3.3.3  Обязательные правила

3.4.Управление идентификаторами привилегированных пользователей

3.4.1  Потенциальные угрозы

3.4.2  Пути снижения рисков

3.4.3  Обязательные правила

3.5 Планирование мероприятий по обеспечению логической безопасности

3.5.1  Потенциальные угрозы

3.5.2  Пути снижения рисков

3.5.3  Обязательные правила

3.6.Планирование мероприятий по обеспечению физической безопасности

3.6.1  Потенциальные угрозы

3.6.2  Пути снижения рисков

3.7 Слежение за состоянием безопасности

3.7.1  Потенциальные угрозы

3.7.2  Пути снижения рисков

3.8 Планирование мероприятий на случай выхода системы из строя

3.8.1  Потенциальные угрозы

3.8.2  Пути снижения рисков

3.9 Использование средств удаленной диагностики

3.9.1  Потенциальные угрозы

3.9.2  Пути снижения рисков

3.9.3  Обязательные правила

4.  Перечень стандартов Республики Беларусь, касающихся информационной безопасности

5.  Перечень правовых актов Республики Беларусь, касающихся информационной безопасности

Глоссарий

Литература (с краткой аннотацией)

Введение

В настоящее время компьютерные технологии высокими темпами внедряются во все сферы человеческой деятельности. Не вызывает сомнения тот факт, что на современном этапе развития общества многие традиционные ресурсы, определяющие развитие человечества, постепенно утрачивают свое первоначальное значение, вместе с этим все большее значение приобретает информация. Бесспорно, информация становится сегодня главным ресурсом научно-технического прогресса и социально-экономического развития мирового сообщества.

Вследствие все большего расширения влияния СМИ, лавинообразного распространения компьютерных систем и их взаимодействия посредством сетей наблюдается все большая зависимость как организаций, так и отдельных людей от информации.

Именно поэтому в последние годы среди ученых и специалистов различного профиля, представителей бизнеса, общественных и политических деятелей усиливается интерес к содержанию и методологии решения информационных проблем, возникающих в различных сферах человеческой деятельности.

Вместе с тем переход информации в разряд важнейших ресурсов человечества вызывает к жизни проблему борьбы за обладание этим ресурсом, и как следствие - появление средств нападения, а соответственно и средств защиты.

В пособии использовались материалы лекций, прочитанных студентам БГУИР на кафедре интеллектуальных информационных технологий, в рамках учебных курсов: «Теоретические основы защиты информации», «Средства и методы обеспечения информационной безопасности», «Проектирование защищенных систем», «Управление защитой информации». Также в пособии использовались материалы из источников, представленных в разделе «Литература».

1. Организационно-административное обеспечение информационной безопасности

Организационно-административное обеспечение безопасности информационных ресурсов организации включает организационно-штатную структуру и официально действующие правила безопасной работы и взаимоотношений пользователей в корпоративной информационной системе (КИС).

Вся совокупность таких правил имеет целью обеспечить поддержку и управление информационной безопасностью и составляет политику информационной безопасности организации.

1.1 Политика информационной безопасности

Политика безопасности (security policy) - множество условий, при которых пользователи могут получить доступ к информации и ресурсам системы. Политика безопасности определяет множество требований (правил), которые должны быть выполнены в конкретной реализации системы.

Высшее руководство организации, предприятия должно выработать четкое руководство и демонстрировать свою поддержку и участие в обеспечении информационной безопасности посредством проведения политики информационной безопасности во всей организации.

1.1.1 Документ с изложением политики информационной безопасности

Высшее руководство должно издать в письменной форме положение об информационной политике для всех подразделений организации. Оно должно содержать, как минимум, следующие принципы:

•  определение информационной безопасности, ее целей и сферы применения, а также ее значимости как механизма, обеспечивающего совместное использование информации;

•  заверение руководства о его намерении поддерживать цели и задачи информационной безопасности;

•  разъяснение специфических направлений политики безопасности, принципов, стандартов и соответствия требованиям, включая:

a)  соответствие нормативно-правовым и договорным, контрактным требованиям;

b)  требования по обучению в области обеспечения безопасности;

c)  предотвращение воздействия деструктивных программ и мероприятия по их обнаружению;

d)  политику планирования бесперебойной работы.

•  определение общей и особой ответственности для всех аспектов информационной безопасности;

•  разъяснение процедуры сообщения о подозрительных инцидентах, затрагивающих проблемыбезопасности.

1.2 Выработка официальной политики предприятия в области информационной безопасности

1.2.1 Краткий обзор

1.2.1.1 Организационные вопросы

Целью разработки официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.

Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, в Генеральном штабе Министерства обороны и в университете существенно разные требования к конфиденциальности.

Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.

В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.

1.2.1.2 Кто делает политику?

Политика безопасности должна стать результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, а также руководителей, способных влиять на проведение политики в жизнь. Нереализуемая или неподдерживаемая политика бесполезна.

Поскольку политика безопасности так или иначе затрагивает всех сотрудников организации, следует позаботиться о том, чтобы у вас было достаточно полномочий для принятия политических решений. Хотя некоторой группе (например отделу технического обслуживания) может быть поручено проведение политики (или некоторой ее части) в жизнь, возможно, нужна группа более высокого ранга для поддержки и одобрения политики.

1.2.1.3 Кого затрагивает политика?

Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы или администраторы безопасности обязаны ликвидировать слабые места в защите и следить за работой всех систем.

Важно с самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков. Возможно, на предприятии уже есть подразделение информационной безопасности; естественно, люди из этой группы считают безопасность своей вотчиной. Однако к разработке политики безопасности следует привлечь также специалистов по аудиту и управлению, физической безопасности, информационным системам и т.п. Тем самым будет подготовлена почва для понимания и одобрения политики.

1.2.1.4 Распределение ответственности

Ключевым элементом политики является доведение до каждого его обязанностей по поддержанию режима безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для решения каждого вида проблем существует ответственное лицо.

В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего ресурса. Пользователь, допустивший компрометацию своего ресурса, увеличивает вероятность компрометации ресурсов, которыми владеют другие пользователи.

Системные администраторы образуют другой уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню. Администраторы безопасности - еще более высокий уровень обеспечения информационной безопасности.

1.2.2  Оценка рисков

1.2.2.1  Общие положения

Один из главных побудительных мотивов выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом.

Данное положение кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации ущерб от внутренних, «штатных» злоумышленников значительно больше.

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Полное рассмотрение проблемы анализа рисков будет дано ниже. Тем не менее в следующих пунктах будут затронуты два этапа процесса анализа рисков:

•  идентификация активов,

•  идентификация угроз.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям.

1.2.2.2 Идентификация активов

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

Может быть использована следующая классификация активов:

•  Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы.

•  Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы.

•  Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в видерезервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям.

•  Люди: пользователи, обслуживающий персонал.

•  Документация: по программам, по аппаратуре, системная, по административным процедурам, побезопасности.

•  Расходные материалы: бумага, формы, бланки, красящая лента, магнитные носители.

1.2.2.3 Идентификация угроз

После того как выявлены активы, нуждающиеся в защите, необходимо идентифицировать угрозы этим активам и размеры возможного ущерба. Эта работа должна быть направлена на то, чтобы понять, каких угроз следует опасаться больше всего. В следующих пунктах перечисляются некоторые из возможных видов угроз.

Несанкционированный доступ

Несанкционированный доступ к компьютерным ресурсам - угроза, типичная для большинства организаций. Несанкционированный доступ может принимать различные формы. Иногда это нелегальное использование счета другого пользователя для получения доступа к системе. В других случаях ресурсами пользуются без предварительно полученного разрешения.

Степень важности проблемы несанкционированного доступа для разных организаций разная. Порой передача прав доступа неавторизованному пользователю может привести к разрушению магнитных носителей. Чаще несанкционированный доступ облегчает исполнение других угроз. Разнится и реальность нападения: некоторые организации (известные университеты, правительственные и военные учреждения) как бы притягивают к себе злоумышленников. Следовательно, риск несанкционированного доступа меняется от предприятия к предприятию.

Нелегальное ознакомление с информацией

Нелегальное ознакомление с информацией - другая распространенная угроза. Определите степень конфиденциальности информации, хранящейся в ваших компьютерах. Расшифровка файла паролей откроет дорогу несанкционированному доступу. Мимолетный взгляд на ваше коммерческое предложение может дать конкуренту решающее преимущество. Техническая статья способна вместить в себя годы напряженных исследований.

Отказ в обслуживании

Компьютеры и сети предоставляют своим пользователям множество ценных услуг, от которых зависит эффективная работа многих людей. Когда услуги вдруг становятся недоступными, возникают потери -прямые и косвенные.

Отказ в обслуживании возникает по разным причинам и проявляется по-разному. Сеть может прийти в неработоспособное состояние от поддельного пакета, перегрузки или по причине отказа компонента. Вирус способен замедлить или парализовать работу компьютерной системы. Каждая организация должна определить для себя набор необходимых сервисов и для каждого из них проанализировать последствия его недоступности.

1.2.3  Распределение прав пользователей

При разработке политики безопасности необходимо дать ответы на ряд вопросов, а именно:

•  Кто имеет право использовать ресурсы?

•  Как правильно использовать ресурсы?

•  Кто наделен правом давать привилегии и разрешать использование?

•  Кто может иметь административные привилегии?

•  Каковы права и обязанности пользователей?

•  Каковы права и обязанности администраторов безопасности (системных и сетевых администраторов) по отношению к другим пользователям?

•  Как работать с конфиденциальной информацией?

Кроме того, представляется целесообразным отразить в политике этические аспекты использования вычислительных ресурсов.

1.2.3.1 Кто имеет право использовать ресурсы?

Одним из шагов в разработке политики безопасности является определение того, кто может использовать ваши системы и сервисы. Должно быть явно сказано, кому дается право использовать те или иные ресурсы.

1.2.3.2 Как правильно использовать ресурсы?

После определения круга лиц, имеющих доступ к системным ресурсам, необходимо описать правильные и неправильные способы использования ресурсов. Для разных категорий пользователей (студенты, внешние пользователи, штатные сотрудники и т.д.) эти способы могут различаться. Должно быть явно сказано, что допустимо, а что - нет. Могут быть описаны также ограничения на использование определенных ресурсов. При этом вам придется специфицировать уровни доступа разных групп пользователей.

Пользователи должны знать, что они несут ответственность за свои действия независимо от применяемых защитных средств и что использовать чужие счета и обходить механизмы безопасности запрещено.

Для регламентации доступа к ресурсам нужно дать ответы на следующие вопросы:

•  Разрешается ли использование чужих ресурсов?

•  Разрешается ли отгадывать чужие пароли?

•  Разрешается ли разрушать сервисы?

•  Должны ли пользователи предполагать, что если файл доступен всем на чтение, то они имеютправо его читать?

•  Имеют ли право пользователи модифицировать чужие файлы, если по каким-либо причинам у нихесть доступ на запись?

•  Должны ли пользователи разделять ресурсы?

В большинстве случаев ответы на подобные вопросы должны быть отрицательными.

В политике могут найти отражение авторские и лицензионные права на программное обеспечение. Лицензионное соглашение с поставщиком налагает на организацию определенные обязательства; чтобы не нарушить их, необходимо приложить некоторые усилия. Кроме того, вы, возможно, захотите проинформировать пользователей, что присваивать защищенное авторскими правами программное обеспечение запрещено законом.

Более точно, вы должны довести до сведения пользователей, что:

•  копировать авторское и лицензионное программное обеспечение запрещено, за исключением явнооговоренных случаев;

•  они всегда могут узнать авторский/лицензионный статус программного обеспечения;

•  в случае сомнений копировать не следует.

Политика в области правильного использования ресурсов очень важна. Если явно не сказано, что запрещено, вы не сможете доказать, что пользователь нарушил политику безопасности.

Бывают исключительные случаи, когда в исследовательских целях пользователи или администраторы пытаются «расколоть» защиту сервиса или лицензионной программы. Политика должна давать ответ на вопрос, разрешены ли подобные исследования в вашей организации и каковы могут быть их рамки.

Применительно к исключительным случаям следует дать ответы на следующие вопросы:

•  Разрешены ли вообще подобные исследования?

•  Что именно разрешено: попытки проникновения, создание и/или запуск червей и вирусов и т.п.?

•  Какие регуляторы должны использоваться для контроля за подобными исследованиями (например, их изоляция в рамках отдельного сегмента сети)?

•  Как защищены пользователи (в том числе внешние) от подобных исследований?

•  Как получать разрешение на проведение исследований?

В случае, когда получено разрешение на исследование, следует изолировать тестируемые сегменты от основной сети предприятия. Черви и вирусы не должны выпускаться в «живую» сеть.

Следует определить порядок и условия исследований системы на предмет ее защищенности. Это может быть контракт с отдельными людьми или сторонней организацией на предмет проверки защищенности сервисов. Частью проверки могут стать попытки взлома систем. Это также должно найти отражение в политике предприятия.

1.2.3.3 Кто наделен правом давать привилегии и разрешать использование?

Политика безопасности должна давать ответ на вопрос, кто распоряжается правами доступа к сервисам. Кроме того, необходимо точно знать, какие именно права им позволено распределять. Если вы не управляете процессом наделения правами доступа к вашей системе, вы не контролируете и круг пользователей. Если вы знаете, кто отвечает за распределение прав, вы всегда сможете узнать, давались ли определенные права конкретному пользователю или он получил их нелегально.

Существует много возможных схем управления распределением прав доступа к сервисам. При выборе подходящей целесообразно принять во внимание следующие моменты:

•  Будут ли права доступа распределяться централизованно или из нескольких мест? Можно установить единый распределительный пункт или передать соответствующие права подразделениям иотделам. Все зависит от того, какое соотношение между безопасностью и удобством вы считаетедопустимым. Чем сильнее централизация, тем проще поддерживать режим безопасности.

•  Какие методы предполагается использовать для заведения учетных записей пользователей и запрещения доступа? Вы должны проверить механизм заведения учетных записей с точки зрениябезопасности. В наименее ограничительном режиме уполномоченные лица непосредственно входят в систему и заводят учетные записи вручную или с помощью утилит. Обычно подобные утилиты предполагают высокую степень доверия к использующим их лицам, которые получают значительные полномочия. Если вы останавливаете свой выбор на таком режиме, вам необходимо найти достаточно надежного человека. Другой крайностью является применение интегрированной системы, которую запускают уполномоченные лица или даже сами пользователи. В любом случае, однако, остается возможность злоупотреблений.

Следует разработать и тщательно документировать специальные процедуры заведения новых счетов, чтобы избежать недоразумений и уменьшить число ошибок. Нарушение безопасности при заведении счетов возможно не только по злому умыслу, но и в результате ошибок. Наличие ясных и хорошо документированных процедур дает уверенность, что подобные ошибки не случатся. Кроме того, необходимо удостовериться, что люди, исполняющие процедуры, понимают их.

Наделение пользователей правами доступа - одна из самых уязвимых процедур. Прежде всего следует позаботиться, чтобы начальный пароль не был легко угадываемым. Целесообразно избегать использования начальных паролей, являющихся функцией от имени пользователя или его полного имени. Не стоит автоматически генерировать начальные пароли, если результат генерации легко предсказуем. Далее, нельзя разрешать пользователям до бесконечности полагаться на начальный пароль. По возможности следует принуждать пользователей менять начальный пароль при первом входе в систему. Правда, даже такая мера бессильна против людей, которые вообще не пользуются своим счетом, сохраняя до бесконечности уязвимый начальный пароль. В некоторых организациях неиспользуемые счета уничтожают, заставляя их владельцев повторно проходить процедуру регистрации.

1.2.3.4 Кто может иметь административные привилегии?

Одно из решений, которое должно быть тщательно взвешено, относится к выбору лиц, имеющих доступ к административным привилегиям и паролям для ваших сервисов. Очевидно, подобный доступ должны иметь системные администраторы, но неизбежны ситуации, когда за привилегиями будут обращаться другие пользователи, что следует с самого начала предусмотреть в политике безопасности. Ограничение прав - один из способов защититься от угроз со стороны своих пользователей. Необходим, однако, сбалансированный подход, когда ограничение прав не мешает людям делать свое дело. Разумнее всего давать пользователям ровно те права, которые нужны им для выполнения своих обязанностей.

Далее, сотрудники, имеющие специальные привилегии, должны быть подотчетны некоторому должностному лицу, и это также необходимо отразить в политике безопасности предприятия. Если «привилегированные» люди перестают быть подотчетными, вы рискуете потерять контроль над своей системой и лишиться возможности расследовать случаи нарушения режима безопасности.

1.2.3.5 Каковы права и обязанности пользователей?

Политика безопасности должна содержать положения о правах и обязанностях пользователей применительно к использованию компьютерных систем и сервисов предприятия. Должно быть явно оговорено, что пользователи обязаны понимать и выполнять правила безопасной эксплуатации систем. Ниже приведен перечень тем, которые целесообразно осветить в данном разделе политики безопасности:

•  Каковы общие рамки использования ресурсов? Существуют ли ограничения на ресурсы и каковы они?

•  Что является злоупотреблением с точки зрения производительности системы?

•  Разрешается ли пользователям совместное использование счетов?

•  Как «секретные» пользователи должны охранять свои пароли?

•  Как часто пользователи должны менять пароли? Каковы другие аналогичные ограничения и требования?

•  Как обеспечивается резервное копирование - централизованно или индивидуально?

•  Как реагировать на случаи просмотра конфиденциальной информации?

•  Как соблюдается конфиденциальность почты?

•  Какова политика в отношении неправильно адресованной почты или отправлений по спискам рассылки или в адрес дискуссионных групп (непристойности, приставания и т.п.)?

•  Какова политика по вопросам электронных коммуникаций (подделка почты и т.п.)?

Каждая организация должна разработать политику защиты права сотрудников на тайну. Рекомендуется, чтобы эта политика охватывала все возможные среды, а не только электронную почту.

Предлагается пять критериев оценки подобной политики:

•  Согласуется ли политика с существующим законодательством и с обязанностями по отношению к третьим сторонам?

•  Не ущемляются ли без нужды интересы работников, работодателей или третьих сторон?

•  Реалистична ли политика и вероятно ли ее проведение в жизнь?

•  Затрагивает ли политика все виды передачи и хранения информации, используемые в организации?

•  Объявлена ли политика заранее и получила ли она одобрение всех заинтересованных сторон?

1.2.3.6 Каковы права и обязанности администраторов безопасности по отношению к другимпользователям?

Должен соблюдаться баланс между правом пользователей на тайну и обязанностью администратора безопасности собирать достаточно информации для разрешения проблем и расследования случаев нарушения режима безопасности. Политика должна определять границы, в пределах которых администратор безопасности вправе исследовать пользовательские файлы с целью разрешения проблем и для иных нужд, и каковы права пользователей. Можно также сформулировать положение относительно обязанности администраторов соблюдать конфиденциальность информации, полученной при оговоренных выше обстоятельствах. Политика должна содержать ответы на несколько вопросов:

•  Может ли администратор отслеживать или читать пользовательские файлы при каких-либо обстоятельствах?

•  Какие обязательства администратор при этом берет на себя?

•  Имеют ли право администраторы исследовать сетевой трафик?

1.2.3.7 Как работать с конфиденциальной информацией?

Прежде чем предоставлять пользователям доступ к вашим сервисам, следует определить, каков уровень защиты данных на вашей системе. Тем самым вы сможете определить уровень конфиденциальности информации, которую пользователи могут у вас размещать. Наверное, вы не хотите, чтобы пользователи хранили секретные сведения на компьютерах, которые вы не собираетесь как следует защищать. Следует сообщить пользователям, какие сервисы (при наличии таковых) пригодны для хранения конфиденциальной информации. Должны рассматриваться различные способы хранения данных (на диске, ленте, файловом сервере и т.д.). Этот аспект политики должен быть согласован с правами системных администраторов по отношению к обычным пользователям.

1.2.4  Что делать, когда политику безопасности нарушают

Очевидно, что любая официальная политика, вне зависимости от ее отношения к информационной безопасности, время от времени нарушается. Нарушение может явиться следствием пользовательской небрежности, случайной ошибки, отсутствия должной информации о текущей политике или ее непонимания. Возможно также, что некое лицо или группа лиц сознательно совершают действия, прямо противоречащие утвержденной политике безопасности.

Необходимо заранее определить характер действий, предпринимаемых в случае обнаружения нарушений политики, чтобы эти действия были быстрыми и правильными. Следует организовать расследование, чтобы понять, как и почему нарушение стало возможным. После этого нужно внести коррективы в систему защиты. Тип и серьезность коррективов зависят от типа случившегося нарушения.

1.2.4.1 Выработка ответа на нарушение политики

Политику безопасности могут нарушать самые разные лица. Некоторые из них являются своими, местными пользователями, другие нападают извне. Полезно определить сами понятия «свои» и «чужие», исходя из административных, правовых или политических положений. Эти положения очерчивают характер санкций, которые можно применить к нарушителю - от письменного выговора до привлечения к суду. Таким образом, последовательность ответных действий зависит не только от типа нарушения, но и от вида нарушителя; она должна быть продумана задолго до первого инцидента, хотя это и непросто.

Следует помнить, что правильно организованное обучение - лучшая защита. Вы обязаны поставить дело так, чтобы не только внутренние, но и внешние легальные пользователи знали положения вашей политики безопасности. Если вы будете располагать свидетельством подобного знания, это поможет вам в будущих правовых акциях, когда таковые понадобятся.

Проблемы с нелегальными пользователями в общем те же. Нужно получить ответы на вопросы о том, какие типы пользователей нарушают политику, как и зачем они это делают. В зависимости от результатов расследования вы можете просто заткнуть дыру в защите и удовлетвориться полученным уроком или предпочтете более крутые меры.

1.2.4.2 Что делать, когда местные пользователи нарушают политику безопасности стороннейорганизации

Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным пользователям, нарушающим политику безопасности сторонней организации. Кроме того, необходимо позаботиться о защите от ответных действий сторонней организации. При выработке политики безопасности следует учесть все юридические положения, применимые к подобным ситуациям.

1.2.4.3 Спецификация контактов с внешними организациями и определение ответственных

Политика безопасности предприятия должна содержать процедуры для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие организации, команды «быстрого реагирования», средства массовой информации. В процедурах должно быть определено, кто имеет право на такие контакты и как именно они совершаются. Среди прочих нужно дать ответы на следующие вопросы:

•  Кто и по каким вопросам может общаться с прессой?

•  Когда следует обращаться в правоохранительные органы?

•  Если соединение выполняется из сторонней организации, имеет ли право системный администратор обратиться в эту организацию?

•  Какого рода сведения об инцидентах могут выходить за пределы организации?

Детальная информация по контактам должна быть постоянно доступна вместе с ясно определенными процедурами отработки этих контактов.

1.2.4.4 Каковы обязанности по отношению к соседям и другим пользователям Интернет?

Рабочая группа по политике безопасности (Security Policy Working Group, SPWG) сообщества Интернет опубликовала документ под названием «Основы политики для безопасной работы в Интернет». В нем Интернет трактуется как совместное предприятие, в котором пользователи должны помогать друг другу в поддержании режима безопасности. Это положение следует учитывать при разработке политики предприятия. Главный вопрос состоит в том, какой информацией можно делиться с соседями, а какой нет. Ответ зависит как от типа организации (военная, учебная, коммерческая и т.д.), так и от характера возможных угроз.

1.2.4.5 Процедурные вопросы реагирования на нарушения

Помимо политических положений необходимо продумать и написать процедуры, исполняемые в случае обнаружения нарушений режима безопасности. Такие процедуры должны быть заготовлены заранее и отрепетированы для всех видов нарушений.

1.2.5  Пресекать или следить?

Когда на организацию совершается нападение, грозящее нарушением информационной безопасности, стратегия ответных действий может строиться под влиянием двух противоположных подходов.

Если руководство опасается уязвимости предприятия, оно может предпочесть стратегию «защититься и продолжить». Главной целью подобного подхода является защита информационных ресурсов и максимально быстрое восстановление нормальной работы пользователей. Действиям нарушителя оказывается максимальное противодействие, дальнейший доступ предотвращается, после чего немедленно начинается процесс оценки нанесенных повреждений и восстановления. Возможно, при этом придется выключить компьютерную систему, закрыть доступ в сеть или предпринять иные жесткие меры. Оборотная сторона медали состоит в том, что пока злоумышленник не выявлен, он может вновь напасть на эту же или другую организацию прежним или новым способом.

Другой подход, «выследить и осудить», опирается на иные философию и систему целей. Основная цель состоит в том, чтобы позволить злоумышленнику продолжать свои действия, пока организация не сможет установить его личность. Такой подход предпочитают правоохранительные органы. К сожалению, эти органы не смогут освободить организацию от ответственности, если пользователи обратятся в суд с иском по поводу ущерба, нанесенного их программам и данным.

Судебное преследование - не единственный возможный исход установления личности нарушителя. Если виновным оказался штатный сотрудник или студент, организация может предпочесть дисциплинарные меры. В политике безопасности должны быть перечислены допустимые варианты наказания и критерии выбора одного или нескольких из них в зависимости от личности виновного.

Руководство организации должно заранее тщательно взвесить различные возможности при выборе стратегии ответных действий. В принципе стратегия может зависеть от конкретных обстоятельств нападения. Возможен и выбор единой стратегии на все случаи жизни. Нужно принять во внимание все за и против и проинформировать пользователей о принятом решении, чтобы они в любом случае осознавали степень своей уязвимости.

Следующий контрольный перечень помогает сделать выбор между стратегиями «защититься и продолжить» и «выследить и осудить».

При каких обстоятельствах предпочесть стратегию «защититься и продолжить»:

•  Активы организации недостаточно защищены.

•  Продолжающееся вторжение сопряжено с большим финансовым риском.

•  Нет возможности или намерения осудить злоумышленника.

•  Неизвестен круг пользователей.

•  Пользователи неопытны, а их работа уязвима.

•  Пользователи могут привлечь организацию к суду за нанесенный ущерб.

При каких обстоятельствах предпочесть стратегию «выследить и осудить»:

•  Активы и системы хорошо защищены.

•  Имеются хорошие резервные копии.

•  Угроза активам организации меньше потенциального ущерба от будущих повторных вторжений.

•  Имеет место согласованная атака, повторяющаяся с большой частотой и настойчивостью.

•  Организация притягивает злоумышленников и, следовательно, подвергается частым атакам.

•  Организация готова идти на риск, позволяя продолжить вторжение.

•  Действия злоумышленника можно контролировать.

•  Доступны развитые средства отслеживания, так что преследование нарушителя имеет шансы науспех.

•  Обслуживающий персонал обладает достаточной квалификацией для успешного выслеживания.

•  Руководство организации желает осудить злоумышленника.

•  Системный администратор знает, какого рода информация обеспечит успешное преследование.

•  Имеется тесный контакт с правоохранительными органами.

•  В организации есть человек, хорошо знающий соответствующие законы.

•  Организация готова к искам собственных пользователей по поводу программ и данных, скомпрометированных во время выслеживания злоумышленника.

1.2.6 Толкование политики безопасности

Важно определить, кто будет интерпретировать политику безопасности. Это может быть отдельное лицо или подразделение. Вне зависимости от того, насколько хорошо она написана, политика безопасности время от времени нуждается в разъяснении, а заодно и в пересмотре.

1.2.7 Гласность политики безопасности

Письменный документ с изложением политики должен быть доступен не только руководителям и сотрудникам, ответственным за информационную безопасность, он должен быть доступен всем сотрудникам организации. Более того, обеспечение доступа к документу еще не гарантия его действенности.

После того как положения политики безопасности записаны и одобрены, необходимо начать активный процесс, гарантирующий, что политика воспринята и обсуждена. Почтовую рассылку нельзя признать достаточной мерой. Прежде чем политика вступит в силу, следует отвести время для дискуссий, чтобы все заинтересованные пользователи могли высказать свое мнение и указать на недостатки политики. В идеале политика должна соблюдать баланс между безопасностью и производительностью труда, удобством работы.

Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном понимании ими предложенной политики. (Творцы политики порой бывают несколько косноязычны.) В собраниях должны участвовать все: от высшего руководства до младших специалистов. Безопасность - забота общая.

Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем допускать сотрудника к работе, разумно получить его подпись под свидетельством о том, что он прочитал и понял политику безопасности. В ситуациях, чреватых судебным разбирательством после нарушения политики, бумага с подписью может оказаться весьма кстати.

1.3 Организация системы безопасности

Управлять информационной безопасностью невозможно без соответствующих структур. Для инициирования и контроля за реализацией информационной безопасности внутри организации должна быть создана определенная структура управления. Она должна включать как штатные, так и внештатные органы управления.

1.3.1  Инфраструктура информационной безопасности

Для согласования политики информационной безопасности, распределения функций, координирования мер безопасности в организации следует проводить совещания руководящих лиц. В случае необходимости, нужно обеспечить возможность получения консультаций специалистов и сделать эту информацию доступной для всех. Для отслеживания основных тенденций в области стандартизации, критериев оценки, а также для определения наиболее подходящих пунктов транспортного соединения в случае инцидентов, затрагивающих проблемы безопасности, должны быть установлены контакты с внешними специалистами по обеспечению безопасности. Следует всячески поощрять многопрофильные подходы к обеспечению информационной безопасности, например, совместную работу аудиторов, пользователей и администраторов в этом направлении.

1.3.2 Совещание руководящих лиц по информационной безопасности

Ответственность за обеспечение информационной безопасности несут все руководящие сотрудники. Следует предусмотреть необходимость проведения совещаний высших руководящих лиц для обеспечения четкого руководства и поддержки инициатив по проведению мероприятий безопасности. В случае отсутствия достаточного количества вопросов для проведения регулярных совещаний по безопасности рекомендуется включать эти вопросы в повестку дня других регулярных совещаний.

Обычно на таких совещаниях рассматриваются следующие вопросы:

•  обзор и согласование политики информационной безопасности и распределение ответственности;

•  мониторинг основных рисков, которым подвергаются информационные ресурсы;

•  анализ инцидентов, затрагивающих проблемы безопасности;

•  одобрение основных инициатив и планов по повышению уровня информационной безопасности.

Рекомендуется, чтобы один из руководителей нес основную ответственность за координацию политики информационной безопасности.

Страницы: 1, 2, 3, 4, 5