Сервер аутентифікації Kerberos. 3 страница
Досить небезпечні так звані "скривджені" співробітники - нинішні й колишні.Як правило, вони прагнуть завдати шкоди, організації -"кривдникові",наприклад:
* зіпсувати устаткування;
* вмонтувати логічну бомбу, що згодом зруйнує програми й/або дані;
* видалити дані.
Скривджені співробітники, що були знайомі з порядками в організації й здатнізавдати чималої шкоди. Необхідно стежити за тим, щоб при звільненніспівробітника його права доступу (логічного і фізичного) до інформаційнихресурсів анулювалися.
Небезпечні, зрозуміло, стихійні лиха й події, які сприймаються як стихійнілиха: пожежі, повені, землетруси, урагани. По статистиці, на частку вогню, води йтому подібних "зловмисників" (серед яких найнебезпечніший - перебійелектроживлення) доводиться 13% втрат, нанесених інформаційним системам.
3.3. Деякі приклади загроз доступності
Загрози доступності можуть виглядати грубо - як ушкодження або навітьруйнування устаткування (у тому числі носіїв даних). Таке ушкодження можевикликатися природними причинами (найчастіше - грозами). На жаль, джерелабезперебійного живлення, що перебувають у масовому використанні незахищають від потужних короткочасних імпульсів, і випадки вигорянняустаткування - не рідкість.
У принципі, потужний короткочасний імпульс, здатний зруйнувати дані намагнітних носіях, можна згенерувати й штучним чином - за допомогою такзваних високоенергетичних радіочастотних гармат. Але, напевно, у нашихумовах подібну загрозу потрібко все-таки визнати надуманою.
Дійсно небезпечні - протікання водопроводу й опалювальної системи. Частоорганізації, щоб заощадити на орендній платі, знімають приміщення в будинкахстарої будівлі, роблять косметичний ремонт, але не міняють старі труби. Авторовікурсу довелось бути свідком ситуації, коли прорвало трубу з гарячою водою, ісистемний блок комп'ютера (це була робоча станція виробництва SunMicrosystems) виявився заповнений окропом. Коли окріп вилили, а комп'ютерпросушили, він відновив нормальну роботу, але краще таких дослідів непроводити...
Улітку, під час сильної спеки, намагаються зламатися кондиціонери, установленів серверних залах, набитих дорогим устаткуванням. У результаті значний збитокнаноситься й репутації, і гаманцю організації.
Загальновідомо, що періодично необхідно провадити резервне копіюванняданих. Однак навіть якщо ця пропозиція виконується, резервні носії найчастішезберігають недбало (до цього ми ще повернемося під час обговорення загрозконфіденційності), не забезпечуючи їхній захист від шкідливого впливу
навколишнього середовища. І коли потрібно відновити дані, виявляється, що цісамі носії ніяк не бажають читатися.
Перейдемо тепер до загроз доступності, які будуть хитріші засміченьканалізації. Мова йтиме про програмні атаки на доступність.
В якості виводу системи зі штатного режиму експлуатації може використатисяагресивне споживання ресурсів (звичайно - пропускні шляхи мереж,обчислювальних можливостей процесорів або оперативної пам'яті). Порозташуванню джерела загрози таке споживання підрозділяється на локальне йвилучене. При прорахунках у конфігурації системи, локальна програма здатнапрактично монополізувати процесор й/або фізичну пам'ять, звівши швидкістьвиконання інших програм до нуля.
Найпростіший приклад вилученого споживання ресурсів - атака, що одержаланайменування "SYN-повінь". Вона являє собою спробу переповнити таблицю"напіввідчинених" TCP-з'єднань сервера (установлення з'єднань починається, алене закінчується). Така атака щонайменше ускладнює встановлення новихз'єднань з боку легальних користувачів, тобто сервер виглядає як недоступний.
Стосовно атаки "Papa Smurf' уразливі мережі, що сприймають ping-пакети ізширокомовними адресами. Відповіді на такі пакети "з'їдають" пропускні шляхи.
Вилучене споживання ресурсів останнім часом проявляється в особливонебезпечній формі - як скоординовані розподілені атаки, коли на сервер з безлічірізних адрес із максимальною швидкістю направляються цілком легальні запитина з'єднання й/або обслуговування. Часом початку "моди" на подібні атакиможна вважати лютий 2000 року, коли жертвами виявилися кілька найбільшихсистем електронної комерції (точніше - власники й користувачі систем).Відзначимо, що якщо має місце архітектурний прорахунок у виглядірозбалансованості між пропускною здатністю мережі й продуктивністю сервера,то захиститися від розподілених атак на доступність украй важко.
Для виведення систем зі штатного режиму експлуатації можутьвикористовуватися уразливі місця у вигляді програмних й апаратних помилок.Наприклад, відома помилка в процесорі Pentium І дає можливість локальномукористувачеві шляхом виконання певної команди "підвісити" комп'ютер, так щодопомагає лише апаратний RESET.
Програма "Teardrop" видалено "підвішує" комп'ютери, експлуатуючи помилкув складанні фрагментованих ІР-пакетів.
3.4. Шкідливе програмне забезпечення
Одним з найнебезпечніших способів проведення атак є впровадження всистеми, які атакують, шкідливого програмного забезпечення. Ми виділимонаступні межі шкідливого ПЗ:
* шкідлива фікція;
* спосіб поширення;
* зовнішнє подання.
Частину, що здійснює руйнівну функцію, будемо називати "бомбою" (хоча,можливо, більш вдалими термінами були б "заряд" або "боєголовка"). Загаломкажучи, спектр шкідливих функцій необмежений, оскільки "бомба", як і будь-якаінша програма, може володіти якою завгодно складною логікою, але звичайно"бомби" призначаються для:
* впровадження іншого шкідливого ПЗ;
* отримання контролю над системою, яку атакують;
• агресивного споживання ресурсів;
• зміни або руйнування програм й/або даних.По механізму поширення розрізняють:
* віруси - код, що володіє здатністю до поширення (можливо, зі змінами)шляхом впровадження в інші програми;
* "хробаки" - код, здатний самостійно, тобто без впровадження в іншіпрограми, викликати поширення своїх копій по ІС й їхнє виконання (дляактивізації вірусу потрібен запуск зараженої програми).
Віруси звичайно поширюються локально, у межах вузла мережі; дляпередачі по мережі їм потрібна зовнішня допомога, така як пересилання
зараженого файлу. "Хробаки", навпаки, орієнтовані з першу чергу на подорожіпо мережі.
Іноді саме поширення шкідливого ПЗ викликає агресивне споживанняресурсів і, отже, є шкідливою функцією. Наприклад, "хробаки" "з'їдають"пропускні шляхи мережі й ресурси поштових систем. Із цієї причини для атак надоступність вони не мають потреби у вбудовуванні спеціальних "бомб".
Шкідливий код, що виглядає як функціонально корисна програма,називається троянським. Наприклад, звичайна програма, будучи ураженоювірусом, стає троянською; часом троянські програми виготовляють вручну йпідсувають довірливим користувачам у якому-небудь привабливому пакунку.
Відзначимо, що дані нами визначення й наведена класифікація шкідливогоПЗ відрізняються від загальноприйнятих.
Вікно небезпеки для шкідливого ПЗ з'являється з випуском нового різновиду"бомб", вірусів й/або "хробаків" і перестає існувати з відновленням бази данихантивірусних програм і накладенням інших необхідних латок.
За традицією із усього шкідливого ПЗ найбільша увага громадськостізосереджується на частку вірусів. Однак до березня 1999 року з повним правомможна було стверджувати, що "незважаючи на експонентний ріст числа відомихвірусів, аналогічного росту кількості інцидентів, викликаних ними, незареєстровано. Дотримання нескладних правил "комп'ютерної гігієни" практичнозводить ризик зараження до нуля. Там, де працюють, а не грають, числозаражених комп'ютерів становить лише частки відсотка".
У березні 1999 року, з появою вірусу "Melissa", ситуація кардинальним чиномзмінилася. "Melissa" - це макровірус для файлів MS-Word, що поширюється задопомогою електронної пошти в приєднаних файлах. Коли такий (заражений)приєднаний файл відкривають, він розсилає свої копії по першим 50 адресам задресної книги Microsoft Outlook. У результаті поштові сервери піддаються атаціна доступність.
У цьому випадку нам хотілося б відзначити два моменти.
1. Як уже говорилося, пасивні об'єкти відходять у минуле; так званий
активний уміст стає нормою. Файли, які по всіх ознаках повинні були бвідноситься до даних (наприклад, документи у форматах MS-Word абоPostscript, тексти поштових повідомлень), здатні містити інтерпритованікомпоненти, які можуть запускатися неявним чином при відкритті файлу.Як і всяке в цілому прогресивне явище, таке "підвищення активностіданих" має свій зворотний бік (у розглянутому випадку - відставання врозробці механізмів безпеки й помилки в їхній реалізації). Пересічнікористувачі ще не швидко навчаться застосовувати інтерпритованікомпоненти "у мирних цілях" (або хоча б довідаються про їхнє існування),а перед зловмисниками відкрилося власне кажучи необмежене поледіяльності. Як не банально це звучить, але якщо для стрілянини погоробцях викочується гармата, то постраждає в основномустріляючий.
2. Інтеграція різних сервісів, наявність серед них мережевих, загальна зв'язність багаторазово збільшують потенціал для атак на доступність, полегшуютьпоширення шкідливого ПЗ (вірус "Melissa" - класичний тому приклад).Образно кажучи, багато інформаційних систем, якщо не вжити захиснихзаходів, виявляються "в одному човні" (точніше - у кораблі без перебирань),так що досить однієї пробоїни, щоб "човен" відразу пішов на дно.Як це часто буває, слідом за "Melissa" з'явилися на світ ціла серія вірусів,"хробаків" і їхніх комбінацій: "Explorer.zip" (червень 1999), "Bubble Boy"(листопад 1999), "ILOVEYOU" (травень 2000) і т.д. Не те що б від них бувособливо великий збиток, але суспільний резонанс вони викликали чималий.Активний уміст, крім інтерпритованих компонентів документів й інших файлівданих, має ще одне популярне обличчя - так звані мобільні агенти. Це програми,які завантажуються на інші комп'ютери й там виконуються. Найбільш відоміприклади мобільних агентів - Java-аплети, що завантажують накористувальницький комп'ютер й інтерпритовані Internet-навігаторами.Виявилося, що розробити для них модель безпеки, що залишає досить
можливостей для корисних дій, не так вже й просто; ще складніше реалізуватитаку модель без помилок. У серпні 1999 року стали відомі недоліки в реалізаціїтехнологій Active й Java у рамках Microsoft Internet Explorer, які давалиможливість розміщати на Web-серверах шкідливі аплети, що дозволяютьодержувати повний контроль над системою-візитером.
Для впровадження "бомб" часто використовуються помилки типу"переповнення буфера", коли програма, працюючи з областю пам'яті, виходить замежі припустимого й записує в потрібні зловмисникові місця певні дані. Так діявще в 1988 році знаменитий "хробак Морріса"; у червні 1999 року хакери знайшлиспосіб використати аналогічний метод стосовно Microsoft Internet InformationServer (IIS), щоб одержати контроль над Web-сервером. Вікно небезпеки охопиловідразу біля півтора мільйона серверних систем...
Не забуті сучасними зловмисниками й випробувані троянські програми.Наприклад, "троянці" Back Orifice й Netbus дозволяють одержати контроль надкористувацькими системами з різними варіантами MS-Windows.
Таким чином, дія шкідливого ПЗ може бути спрямована не тільки протидоступності, але й проти інших основних аспектів інформаційної безпеки.
3.5. Основні загрози цілісності
На другому місці по масштабу збитку (після ненавмисних помилок інедоглядів) стоять крадіжки й підробки. За даними газети USA Today, ще в 1992році в результаті подібних протиправних дій з використанням персональнихкомп'ютерів американським організаціям був нанесений загальний збиток урозмірі 882 мільйонів доларів. Можна припустити, що реальний збиток бувнабагато більше, оскільки багато організацій по зрозумілих причинахприховують такі інциденти; не викликає сумнівів, що в наші дні збиток відтакого роду дій виріс багаторазово.
У більшості випадків винуватцями виявлялися штатні співробітникиорганізацій, відмінно знайомі з режимом роботи й заходами захисту. Це ще разпідтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про їх значноменше, ніж про зовнішні.
Раніше ми розводили поняття статичної й динамічної цілісності. 3 метоюпорушення статичної цілісності зловмисник (як правило, штатний співробітник)може:
* увести невірні дані;
* змінити дані.
Іноді змінюються змістовні дані, іноді - службова інформація. Показовийвипадок порушення цілісності мав місце в 1996 році. Службовець Oracle(особистий секретар віце-президента) пред'явила судовий позов,обвинувачуючи президента корпорації в незаконному звільненні після того, яквона відкинула його залицяння. На доказ своєї правоти жінка показалаелектронний лист, нібито відправлений її начальником президентові. Змістлиста для нас зараз не важливий; важливий час відправлення. Справа в тому,що віце-президент пред'явив, у свою чергу, файл із реєстраційною інформацієюкомпанії стільникового зв'язку, з якого виявлялося, що в зазначений час вінрозмовляв по мобільному телефону, перебуваючи далеко від свого робочогомісця. Таким чином, у суді відбулося протистояння "файл проти файлу".Очевидно, один з них був фальсифікований або змінений, тобто булапорушена його цілісність. Суд вирішив, що підробили електронний лист(секретарка знала пароль віце-президента, оскільки їй було доручено йогоміняти), і позов був відхилений...
(Теоретично можливо, що обидва файли, які фігурували на суді булисправжніми, коректними з погляду цілісності, а лист відправили пакетнимизасобами, однак, на наш погляд, це була б дуже дивною для віце-президента дія).
З наведеного випадку можна зробити висновок не тільки про загрозипорушення цілісності, але й про небезпеку сліпої довіри комп'ютерної інформації.Заголовки електронного листа можуть бути підроблені; лист у цілому може бутифальсифікований особою, що знає пароль відправника (ми наводили відповідніприклади). Відзначимо, що останнє можливо навіть тоді, коли цілісністьконтролюється криптографічними засобами. Тут має місце взаємодія різнихаспектів інформаційної безпеки: якщо порушено конфіденційність, можепостраждати цілісність.
Ще один урок: загрозою цілісності є не тільки фальсифікація або змінаданих, але й відмова від зроблених дій. Якщо немає засобів забезпечити"безвідмовність", комп'ютерні дані не можуть розглядатися як доказ.
Потенційно уразливі з погляду порушення цілісності не тільки дані, але йпрограми. Впровадження розглянутого вище шкідливого ПЗ - приклад подібногопорушення.
Загрозами динамічної цілісності є порушення атомарності транзакцій,перевпорядкування, крадіжка, дублювання даних або внесення додатковихповідомлень (мережних пакетів і т.п.). Відповідні дії в мережевомусередовищі називаються активним прослуховуванням.
3.6. Основні загрози конфіденційності
Конфіденційну інформацію можна розділити на предметну й службову.Службова інформація (наприклад, паролі користувачів) не відноситься до певноїпредметної області, в інформаційній системі вона відіграє технічну роль, але їїрозкриття особливо небезпечно, оскільки воно несе в собі одержаннянесанкціонованого доступу до всієї інформації, у тому числі предметної.
Навіть якщо інформація зберігається в комп'ютері або призначена длякомп'ютерного використання, загрози її конфіденційності можуть носитинекомп'ютерний і взагалі нетехнічний характер.
Багатьом людям доводиться виконувати ролі користувачів не однієї, а цілогоряду систем (інформаційних сервісів). Якщо для доступу до таких системвикористовуються багаторазові паролі або інша конфіденційна інформація, тонапевно ці дані будуть зберігатися не тільки в голові, але й у записній книжціабо на листках паперу, які користувач часто залишає на робочому столі, а інодіпросто губить. І справа тут не в неорганізованості людей, а в споконвічнійнепридатності парольної схеми. Неможливо пам'ятати багато різних паролів;рекомендації з їх регулярного (по можливості - частої) зміні тільки збільшуютьположення, змушуючи застосовувати нескладні схеми чергування або взагалінамагатися звести справу до двох-трьох легких запам'ятовувань (і настільки жлегко вгадуваних) паролів.
Описаний клас уразливих місць можна назвати розміщенням конфіденційнихданих у середовищі, де їм не забезпечений (найчастіше - і не може бутизабезпечений) необхідний захист. Загроза ж полягає в тому, що хтось невідмовиться довідатися секрети, які самі просяться в руки. Крім паролів, щозберігаються в записних книжках користувачів, у цей клас потрапляє передачаконфіденційних даних у відкритому вигляді (у розмові, у листі, по мережі), щоуможливлює перехоплення даних. Для атаки можуть використовуватися різнітехнічні засоби (підслуховування або прослуховування розмов, пасивнепрослуховування мережі й т.п.), але ідея одна - здійснити доступ до даних у тоймомент, коли вони найменш захищені.
Загрозу перехоплення даних варто брати до уваги не тільки при початковомуконфігуруванні ІС, але й, що дуже важливо, при всіх змінах. Досить небезпечноюзагрозою є, виставки, на які багато організацій, недовго думаючи, відправляютьустаткування з виробничої мережі, з усіма даними, що зберігаються на них.Залишаються колишніми паролі, при вилученому доступі вони продовжуютьпередаватися у відкритому вигляді. Це погано навіть у межах захищеної мережіорганізації; в об'єднаній мережі виставки - це занадто суворе випробуваннячесності всіх учасників.
Ще один приклад зміни, про яку часто забувають, - зберігання даних нарезервних носіях. Для захисту даних на основних носіях застосовуються розвиненісистеми керування доступом; копії ж нерідко просто лежать у шафах й одержатидоступ до них може багато хто.
Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсноє критичною, а дані передаються по багатьох каналах, їхній захист може виявитисядосить складним та дорогим. Технічні засоби перехоплення добре пророблені,доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу,може будь-хто, так що цю загрозу потрібно брати до уваги по відношенню нетільки до зовнішніх, але й до внутрішніх комунікацій.
Крадіжки устаткування є загрозою не тільки для резервних носіїв, але й длякомп'ютерів, особливо портативних. Часто ноутбуки залишають без догляду нароботі або в автомобілі, іноді просто гублять.
Небезпечною нетехнічною загрозою конфіденційності є методи морально-психологічного впливу, такі як маскарад - виконання дій під виглядом особи, щоволодіє повноваженнями для доступу до даних (див., наприклад, статтю АйреВінклера "Завдання: шпигунство" в Jet Info, І996,19).
До неприємних загроз, від яких важко захищатися, можна віднестизловживання повноваженнями. У багатьох типах систем привілейованийкористувач (наприклад системний адміністратор) здатний прочитати кожен(незашифрований) файл, одержати доступ до пошти будь-якого користувача й т.д.Інший приклад - завдання збитків при сервісному обслуговуванні. Звичайносервісний інженер одержує необмежений доступ до устаткування й маєможливість діяти в обхід програмних захисних механізмів.
Такими є основні загрози, які завдають найбільшої шкоди суб'єктамінформаційних відносин.
Розділ 4. Адміністративний рівень інформаційної безпеки
4.1. Основні поняття
До адміністративного рівня інформаційної безпеки відносять діїзагального характеру, які робляться керівництвом організації.
Головна мета заходів адміністративного рівня - сформувати програмуробіт в області інформаційної безпеки й забезпечити її виконання, виділяючинеобхідні ресурси й контролюючи стан справ.
Основою програми є політика безпеки, що відбиває підхід організації дозахисту своїх інформаційних активів. Керівництво кожної організації повинноусвідомити необхідність підтримки режиму безпеки й виділити значні ресурсивпровадження цих заходів.
Політика безпеки будується на основі аналізу ризиків, які визнаютьсяреальними для інформаційної системи організації. Коли ризики проаналізованій стратегія захисту визначена, складається програма забезпеченняінформаційної безпеки. Під цю програму виділяються ресурси, призначаютьсявідповідальні, визначається порядок контролю виконання програми й т.п.
Термін "політика безпеки" є не зовсім точним перекладом англійськогословосполучення "security policy", однак у цьому випадку калька кращевідбиває зміст цього поняття, ніж лінгвістично більш вірні "правила безпеки". Ми матимемо на увазі не окремі правила або їхні набори (такого роду рішеннявиносяться на процедурний рівень, мова про який попереду), а стратегіюорганізації в області інформаційної безпеки. Для вироблення стратегії впровадження її в життя потрібні, безсумнівно, політичні рішення, прийняті нанайвищому рівні.
Під політикою безпеки ми будемо розуміти сукупність документованихрішень, прийнятих керівництвом організації й спрямованих на захистінформації й асоційованих з нею ресурсів.
Таке трактування, звичайно, набагато ширше, ніж набір правилрозмежування доступу (саме це означав термін "security policy" в "Помаранчевій книзі" в побудованих на її основі нормативних документах інших країн).
ІС організації й пов'язані з нею інтереси суб'єктів - це складна система, для розгляду якої необхідно застосовувати об'єктно-орієнтований підхід і поняття рівня деталізації. Доцільно виділити, принаймні, три таких рівні, що ми вже робили в прикладі й зробимо ще раз далі.
Щоб розглядати ІС предметно, з використанням актуальних даних, варто скласти карту інформаційної системи. Ця карта, зрозуміло, повинна бути виготовлена в об'єктно-орієнтованому стилі, з можливістю варіювати не тільки рівень деталізації, але й видимі межі об'єктів. Технічним засобом складання, супроводу й візуалізації подібних карт може слугувати вільно розповсюджуваний каркас якої-небудь системи керування.
Політика безпеки
Із практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації. До верхнього рівня можна віднести рішення, що стосуються організації в цілому. Вони носять досить загальний характер й, як правило, виходять від керівництва організації. Зразковий список подібних рішень може містити в собі наступні елементи:
* рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки, призначення відповідальних за впровадження програми;
* формулювання цілей, які переслідує організація в області інформаційної безпеки, визначення загальних напрямків у досягненні цих цілей;
* забезпечення бази для дотримання законів і правил;
* формулювання адміністративних рішень з питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня мети організації в області інформаційної безпеки формулюються в термінах цілісності, доступності й конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення числа втрат, ушкоджень або перекручувань даних. Для організації, що займається продажем комп'ютерної техніки, імовірно, важлива актуальність інформації про надавані послуги й ціни і її доступність максимальній кількості потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виноситься керування захисними ресурсами й координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки.
Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть усі комп'ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп'ютерів). Можлива, однак, і така ситуація, коли в сферу впливу включаються лише найбільш важливі системи.
У політиці повинні бути визначені обов'язки посадових осіб з вироблення програми безпеки й впровадження її в життя. У цьому сенсі політика безпеки є основою підзвітності персоналу.
Політика верхнього рівня має справу із трьома аспектами законослухняності й виконавчої дисципліни. По-перше, організація повинна дотримуватися існуючих законів. По-друге, варто контролювати дії осіб, відповідальних за вироблення програми безпеки. Нарешті, необхідно забезпечити певний ступінь виконавчості персоналу, а для цього потрібно виробити систему заохочень і покарань.
Загалом кажучи, на верхній рівень варто виносити мінімум питань. Подібне винесення доцільно, коли воно обіцяє значну економію засобів або коли інакше вчинити просто неможливо.
Тобто необхідно включати в документ, що характеризує політику безпеки організації, наступні розділи:
* вступний, підтверджуючий занепокоєність вищого керівництва проблемами інформаційної безпеки;
* організаційний, який має опис підрозділів, комісій, груп і т.д., відповідальних за роботу в області інформаційної безпеки;
* класифікаційний, що описує наявні в організації матеріальні й інформаційні ресурси й необхідний рівень їхнього захисту;
* штатний, що характеризує заходи безпеки, які застосовуються до персоналу (опис посад з погляду інформаційної безпеки, організація навчання й перепідготовки персоналу, порядок реагування на порушення режиму безпеки й т.п.);
* розділ, що висвітлює питання фізичного захисту;
* керівний розділ, що описує підхід до керування комп'ютерами й комп'ютерними мережами;
* розділ, що описує правила розмежування доступу до виробничої інформації;
* розділ, що характеризує порядок розробки й супроводу систем;
* розділ, що описує заходи, спрямовані на забезпечення безперервної роботи організації;
* юридичний розділ, що підтверджує відповідність політики безпеки чинному законодавству.
До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань - відношення до передових (але, можливо, недостатньо перевірених) технологій, доступ в Internet (як поєднати можливість доступу до інформації із захистом від зовнішніх загроз), використання домашніх комп'ютерів, застосування користувачами неофіційного програмного забезпечення й т.д.
Політика середнього рівня повинна для кожного аспекту висвітлювати наступні теми:
Опис аспекту. Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як ПЗ, що не було схвалено й/або закуплене на рівні організації.
Область застосування. Варто визначити, де, коли, як, стосовно кого й чому застосовується дана політика безпеки. Наприклад, чи стосується політика, пов'язана з використанням неофіційного програмного забезпечення, організацій-субпідрядників? Чи стосується вона співробітників, що користуються портативними й домашніми комп'ютерами й змушених переносити інформацію на виробничі машини?
Позиція організації з даного аспекту. Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони, вироблення процедури прийому подібного ПЗ й т.п. Позицію можна сформулювати у більш загальному вигляді, як набір цілей, які переслідує організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їхній перелік), у різних організаціях може сильно відрізнятися.
Ролі й обов'язки. В "політичний" документ необхідно включити інформацію про посадових осіб, відповідальних за реалізацію політики безпеки. Наприклад, якщо для використання неофіційного програмного забезпечення співробітникам потрібен дозвіл керівництва, повинно бути відомо, у кого і як його можна одержати. Якщо неофіційне програмне забезпечення використовувати не можна, варто знати, хто стежить за виконанням даного правила.
Законослухняність. Політика повинна містити загальний опис заборонених дій і покарань за них.
Крапки контакту. Повинно бути відомо, куди варто звертатися за роз'ясненнями, допомогою й додатковою інформацією. Звичайно "крапкою контакту" слугують певні посадові особи, а не конкретна людина, що займає в цей момент дану посаду.
Політика безпеки нижнього рівня стосується конкретних інформаційних сервісів. Вона містить у собі два аспекти - мету й правила їхнього досягнення, тому її часом важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, розглянута політика повинна визначатися більш докладно. Є багато речей, специфічних для окремих видів послуг, які не можна одним чином регламентувати в рамках всієї організації. У той же час, ці речі на стільки важливі для забезпечення режиму безпеки, що рішення, які їх стосуються повинні прийматися на управлінському, а не технічному рівні. Наведемо кілька прикладів питань, на які варто дати відповідь щодо політики безпеки нижнього рівня:
* хто має право доступу до об'єктів, підтримуваним сервісом?
* за яких умов можна читати й модифікувати дані?
* як організований вилучений доступ до сервісу?
При формулюванні цілей політики нижнього рівня можна виходити з міркувань цілісності, доступності й конфіденційності, але не можна на цьому зупинятися. її мета повинна бути більш конкретною. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити й модифікувати інформацію. У більш загальному випадку мета повинна зв'язувати між собою об'єкти сервісу й дії з ними.