Специализированные политики безопасности
Существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие специфичны для определенных компьютерных окружений.
С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:
¨ политики, затрагивающие значительное число пользователей;
¨ политики, связанные с конкретными техническими областями.
К специализированным политикам, затрагивающим значительное число пользователей, относятся:
à политика допустимого использования;
à политика удаленного доступа к ресурсам сети;
à политика защиты информации;
à политика защиты паролей и др.
К специализированным политикам, связанным с конкретными техническими областями, относятся:
à политика конфигурации межсетевых экранов;
à политика по шифрованию и управлению криптоключами;
à политика безопасности виртуальных защищенных сетей VPN;
à политика по оборудованию беспроводной сети и др.
Политика допустимого использования. Целью политики допустимого использования является установление стандартных норм безопасного использования компьютерного оборудования и сервисов в компании, а также соответствующих мер безопасности сотрудников с целью защиты корпоративных ресурсов и собственной информации. Конкретный тип и количество политик допустимого использования зависят от результатов анализа требований бизнеса, оценки рисков и корпоративной культуры в организации.
Политика допустимого использования применяется к сотрудникам, консультантам, временным служащим и другим работникам в компании, включая сотрудников сторонних организаций. Эта политика указывает пользователям, какие действия разрешаются, а какие запрещены.
Политика допустимого использования устанавливает:
à ответственность пользователей за защиту любой информации, используемой и/или хранимой их компьютерами;
à возможность читать и копировать файлы, которые не являются собственными документами пользователей, но доступны им;
à уровень допустимого использования для электронной почты и доступа в сеть.
Существует много видов политики допустимого использования. В частности, могут быть политики допустимого использования для компьютеров, передачи данных, коммуникаций электронной почты, портативных персональных компьютеров, веб-доступа и др.
Для политики допустимого использования не существует специального формата. В этой политике должно быть указано имя сервиса, системы или подсистемы (например, политика использования компьютера, электронной почты, портативных компьютеров и паролей) и описано в самых четких терминах разрешенное и запрещенное поведение. В этой политике должны быть также подробно описаны последствия нарушения ее правил и санкции, накладываемые на нарушителя.
Разработка политики допустимого использования выполняется квалифицированными специалистами по соответствующему сервису, системе или подсистеме под контролем комиссии (команды), которой поручена разработка политики безопасности организации.
Политика удаленного доступа. Целью политики удаленного доступа является установление стандартных норм безопасного удаленного соединения любого хоста с сетью компании. Эти стандартные нормы призваны минимизировать ущерб компании из-за возможного неавторизованного использования ресурсов компании. К такому ущербу относятся утрата интеллектуальной собственности компании, потеря конфиденциальных данных, искажение имиджа компании, повреждения критических внутренних систем компании и т.д.
Эта политика касается всех сотрудников, поставщиков и агентов компании при использовании ими для удаленного соединения с сетью компании компьютеров или рабочих станций, являющихся собственностью компании либо находящихся в личной собственности.
Политика удаленного доступа:
à намечает и определяет допустимые методы удаленного соединения с внутренней сетью;
à существенна в большой организации, где сети территориально распределены и простираются до домов;
à должна охватывать по возможности все распространенные методы удаленного доступа к внутренним ресурсам.
Политика удаленного доступа должна определить:
à какие методы разрешаются для удаленного доступа;
à каковы ограничения на данные, к которым можно получить удаленный доступ;
à кто может иметь удаленный доступ.
Защищенный удаленный доступ должен быть строго контролируемым. Применяемая процедура контроля должна гарантировать, что доступ к надлежащей информации или сервисам получат только прошедшие проверку люди. Сотрудник компании не должен передавать свои логин и пароль никогда и никому, включая членов своей семьи. Управление удаленным доступом не должно быть настолько сложным, чтобы это приводило к возникновению ошибок.
Сотрудники компании с правами удаленного доступа должны обеспечить, чтобы принадлежащие им или компании персональный компьютер либо рабочая станция, которые удаленно подсоединены к корпоративной сети компании, не были связаны в это же время с какой-либо другой сетью, за исключением персональных сетей, находящихся под полным контролем пользователя.
Сотрудники компании с правами удаленного доступа к корпоративной сети компании должны обеспечить, чтобы их соединение удаленного доступа имело такие же характеристики безопасности, как обычное локальное соединение с компанией.
Все хосты, которые подключены к внутренним сетям компании с помощью технологий удаленного доступа, должны использовать самое современное антивирусное обеспечение, это требование относится и к персональным компьютерам компании.
Любой сотрудник компании, уличенный в нарушении данной политики, может быть подвергнут дисциплинарному взысканию вплоть до увольнения с работы.
Процедуры безопасности
Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют как реализовываются политики безопасности.
Процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила создания паролей, правила о том, как защитить пароль и как часто заменять пароли. Процедура управления паролями описывает процессы создания новых паролей, распределения их, а также гарантированной смены паролей на критичных устройствах.
Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования его логина и пароля, применяемые сразу, как только данный пользователь увольняется из организации.
Процедура реагирования на события. Процедура является необходимым средством безопасности для большинства организаций и вступает в действие, когда обнаруживается вторжение в защищенную сеть организации или когда она сталкивается со стихийным бедствием.
Процедуру реагирования на события также называют процедурой обработки событий или процедурой реагирования на инциденты. К основным нарушениям безопасности относят: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, несанкционированный доступ и др.
Данная процедура определяет:
à каковы обязанности членов команды реагирования;
à какую информацию следует регистрировать и прослеживать;
à как обрабатывать исследование отклонений от нормы и попытки вторжения;
à кого уведомлять и когда;
à кто может публиковать информацию и какова процедура ее выпуска;
à как должен выполняться последующий анализ и кто будет в этом участвовать.
В команду реагирования могут быть включены должностные лица компании, менеджер отдела маркетинга (для связи с прессой), системный и сетевой администраторы и представитель соответствующих правоохранительных органов. Процедура должна указать, когда и в каком порядке они вызываются.
Процедура управления конфигурацией. Процедура определяется на корпоративном уровне или уровне подразделения. Она определяет процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений.
Процедура управления конфигурацией определяет:
à кто имеет полномочия выполнять изменения конфигурации аппаратного и программного обеспечения;
à как тестируется и инсталлируется новое аппаратное и программное обеспечение;
à как документируются изменения в аппаратном и программном обеспечении;
à кто должен быть проинформирован, когда вносятся изменения в аппаратном и программном обеспечении.
Процесс управления конфигурацией важен по нескольким причинам:
à он документирует внесенные изменения и обеспечивает возможность аудита;
à он документирует возможный простой системы;
à он дает способ координировать изменения так, чтобы одно изменение не помешало другому.