Компоненты архитектуры безопасности
Руководство по архитектуре безопасности детально определяет контрмеры против угроз, раскрытых при оценке рисков. Руководство описывает компоненты архитектуры безопасности сети, рекомендует конкретные продукты безопасности и дает инструкции, как их развернуть и управлять ими. В частности, это руководство может содержать рекомендации, где следует поставить межсетевые экраны, когда использовать шифрование, где разместить веб-серверы и как организовать управление коммуникациями с бизнес-партнерами и заказчиками. Руководство по архитектуре безопасности определяет также гарантии безопасности, аудит и средства контроля.
Физическая безопасность. Физическая защита ресурсов и активов организации достигается с помощью аппаратных средств и размещения соответствующих компьютерных и коммуникационных средств в физически защищенных помещениях или зонах.
Без обеспечения физической безопасности будут подвергаться серьезным угрозам такие важные аспекты информационной безопасности, как конфиденциальность, доступность и целостность информации. Реализация физической защиты заключается в определении тех компонентов компьютерной среды, которые должны быть физически защищены. К таким компонентам относятся:
¨ центральные процессоры и системные блоки;
¨ компоненты инфраструктуры локальной сети LAN (системы управления LAN, мосты, маршрутизаторы, коммутаторы, активные порты и др.);
¨ системы, связанные с LAN;
¨ медиа-память.
Затем устанавливают два или три типа областей с различными уровнями безопасности, такими как:
¨ открытые области – в них допускаться все сотрудники компьютерной среды;
¨ контролируемые области – они должны быть закрыты, когда находятся без присмотра;
¨ особо контролируемые области – области, куда ограничен доступ даже зарегистрированным авторизованным пользователям.
Далее каждая такая область назначается одному компоненту системы или топологии системных компонентов в зависимости от степени их конфиденциальности.
Логическая безопасность. Она характеризует уровень защиты ресурсов и активов в сети. Логическая безопасность включает средства безопасности, осуществляющие идентификацию и аутентификацию пользователей, управление доступом, межсетевое экранирование, аудит и мониторинг сети, управление удаленным доступом и т.д.
Защита ресурсов. Ресурсы (файлы, базы данных, программы, данные) делятся на две группы:
1. Ресурсы операционной системы – объекты данных, которые связаны с системными сервисами или функциями; они включают системные программы и файлы, подсистемы и программные продукты. Ресурсы операционной системы обычно находятся под управлением и ответственностью провайдера сервиса. Ресурсы операционной системы не всегда являются ограниченными для чтения, хотя список исключений должен быть установлен и соответственно защищен. Типичным примером такого исключения является база данных, в которой хранятся пароли и идентификаторы пользователей.
2. Ресурсы пользователей – объекты данных, которые связаны с отдельными пользователями или группами пользователей. Ресурсы пользователей должны быть защищены в соответствии с требованиями собственника данных.
Определение административных полномочий. Некоторые из пользователей, находящихся в сети, имеют особые полномочия. Такие полномочия нужны для управления компьютерными системами и безопасностью. Эти административные полномочия можно разделить на две категории:
¨ полномочия системного администратора;
¨ полномочия администратора безопасности.
Полномочия системного администратора позволяют администратору выполнить действия, необходимые для управления компьютерными системами. Эти полномочия могут дать возможность администратору обойти контроль безопасности, но это должно рассматриваться как злоупотребление полномочиями.
Полномочия администратора безопасности дают возможность администратору выполнять действия, необходимые для управления безопасностью. Эти полномочия позволяют администратору осуществлять изменение системных компонентов или считывать конфиденциальные данные. Однако, если считывание конфиденциальных данных выполнено администратором без соответствующей потребности бизнеса, это должно рассматриваться как злоупотребление своими полномочиями.
Полномочия системного администратора и администратора безопасности являются одинаково важными для безопасности. С учетом этого необходимо выполнить следующее:
¨ определить для каждой системной платформы или системы управления доступом те полномочия, которые могут быть признаны в указанных категориях;
¨ назначить полномочия администраторам в соответствии с индивидуальной ответственностью;
¨ периодически проверять назначение идентификаторов авторизованным пользователям.