Роли и ответственности в безопасности сети
Число устанавливаемых ролей зависит от количества реализуемых процессов безопасности в организации. Обычно устанавливаются следующие роли:
¨ провайдер сервисов – менеджер группы и/или организации, который предоставляет сервисы обработки информации. Он отвечает за обеспечение безопасности компьютерной среды;
¨ менеджер данных – менеджер, отвечающий за управление безопасностью распределяемых данных. Он отвечает за:
· оценку уровня конфиденциальности данных с целью их классификации;
· установление определенного уровня защиты (в соответствии с этой классификацией);
· разрешение или запрет на доступ к данным под его личную ответственность;
¨ аудитор – лицо, ответственное за:
· исполнение политик безопасности;
· исполнение процессов безопасности;
· периодическое выполнение контрольной оценки безопасности;
· задание требований для приложений/инструментов/решений в целях обеспечения требуемой безопасности;
¨ администратор безопасности – это лицо, ответственное за настройку системных средств управления безопасностью и управление ими. Он отвечает за:
· обеспечение настройки безопасности системы в соответствии со стандартами и правилами (установка системных политик, включая парольную политику, политика аудита, политика входа в систему и стандартный доступ к типам ресурсов);
· управление атрибутами доступа пользователей путем замены паролей, определения новых и удаления старых идентификаторов пользователей;
· выполнение периодических проверок с целью контроля состояния безопасности компьютерной среды;
¨ пользователь данными – в обязанности пользователя данными входят:
· исполнение инструкций безопасности;
· использование своих полномочий доступа и системных полномочий только для разрешенного администрацией применения.
Аудит и оповещение. Аудит – способность регистрировать все важные с точки зрения безопасности действия, выполненные в компьютерной среде. Оповещение – способность оповещать об этих действиях в читабельной форме.
Аудит должен всегда давать ясную картину состояния безопасности. Схема аудита является мощным пассивным агентом безопасности. Нельзя забывать, что солидная доля угроз безопасности обусловлена обиженными или нечестными сотрудниками. Эффективное отслеживание активности угроз этого типа с помощью аудита является сильным сдерживающим средством.
При формировании политики аудита нужно учитывать два аспекта:
1. какие события важны для безопасности. Обычно регистрируют:
¨ все нарушения безопасности:
· неавторизованный доступ к системе;
· неправильный пароль;
· аннулированный пароль;
· неавторизованный доступ к ресурсу;
¨ все попытки доступа к чувствительным/важным областям систем;
¨ все выдаваемые команды безопасности, использующие административные полномочия;
¨ все попытки доступа к ресурсам операционных систем, за исключением доступа по умолчанию.
2. как долго должны храниться записи регистрации, и составить соответствующий план хранения.
Управление тревожной сигнализацией. Для обеспечения безопасности важно иметь возможность немедленного реагирования, когда предполагается, что компьютерная среда подвергается опасности атаки на систему в попытке получить неавторизованный доступ.
Последовательность процессов для обнаружения проблемы и выдачи сигнала тревоги следующая:
¨ каждое нарушение безопасности должно генерировать системное событие;
¨ одно системное событие не является достаточным для того, чтобы утверждать, что это опасность, т.е. подобные события должны накапливаться;
¨ совокупность таких событий должна затем сравниваться с заранее установленной пороговой величиной;
¨ если результат этой совокупности превышает пороговую величину, выдается сигнал тревоги.
В результате выполнения этих процессов можно игнорировать однократно неправильно введенный кем-то пароль, но обращать внимание, когда кто-то вводит много неправильных паролей, связанных со многими пользовательскими идентификаторами.
Для управления тревожной сигнализацией важно правильное определение ролей и ответственностей и назначение этих ролей и ответственностей соответствующим менеджерам. Система тревожной сигнализации должна не только анализировать тревожную ситуацию и своевременно выдать сигнал тревоги либо инициировать некоторый автоматический процесс, но и оповестить ответственных должностных лиц, способных оперативно принять необходимые меры.