25633-1 (Политика безопасности при работе в Интернете), страница 2

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.

2.2. Получение разрешения

Что такое организация? Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в Интернете. Например, NIST - это агентство Министерства Торговли(МТ) США. Задачи NIST требуют постоянного взаимодействия с научными организациями в среде открытых систем. К другому подразделению МТ, Бюро переписи, предъявляется требование поддержания конфиденциальности ответов на вопросы при переписи. При таких различных задачах и требованиях разработка общей политики безопасности МТ, наверное, невозможна. Даже внутри NIST существуют большие различия в отношении задач и требований к их выполнению, поэтому большинство политик безопасности Интернета разрабатываются на более низком уровне.

Координация с другими проблемными политиками. Интернет - это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика Интернета должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например:

Физический доступ в здания и на территорию организации. Интернет - это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с Интернетом - это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении Интернета.

Взаимодействие со средствами массовой информации. Интернет может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер Интернета.

Электронный доступ. Интернет - это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети(например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с Интернетом и телефонной сетью существуют аналогичные угрозы и уязвимые места.

2.3. Претворение политики в жизнь

Не думайте, что как только ваша организация разработает большое число политик, директив или приказов, больше ничего не надо делать. Оглянитесь кругом и посмотрите, соблюдают ли формально написанные документы (это в России-то ?!). Если нет, то вы можете либо попытаться изменить сам процесс разработки документов в организации (вообще трудно, но тем не менее возможно), либо оценить, где имеются проблемы с ее внедрением и устранять их. (Если вы выбрали второе, вам вероятно понадобятся формальные документы).

Так как, к сожалению, разработка неформальной политики выходит за рамки данной публикации, этот очень важный процесс не будет здесь описан. Большинство политик обычно определяют то, что хочет большой начальник. Чтобы политика безопасности в Интернете была эффективной, большой начальник должен понимать, какой выбор нужно сделать и делать его самостоятельно. Обычно, если большой начальник доверяет разработанной политике, она будет корректироваться с помощью неформальных механизмов.

Некоторые замечания по поводу политики

Для эффективности политика должна быть наглядной. Наглядность помогает реализовать политику, помогая гарантировать ее знание и понимание всеми сотрудниками организации. Презентации, видеофильмы, семинары, вечера вопросов и ответов и статьи во внутренних изданиях организации увеличивают ее наглядность. Программа обучения в области компьютерной безопасности и контрольные проверки действий в тех или иных ситуациях могут достаточно эффективно уведомить всех пользователей о новой политике. С ней также нужно знакомить всех новых сотрудников организации.

Политики компьютерной безопасности должны доводиться таким образом, чтобы гарантировалась поддержка со стороны руководителей отделов, особенно, если на сотрудников постоянно сыплется масса политик, директив, рекомендаций и приказов. Политика организации - это средство довести позицию руководства в отношении компьютерной безопасности и явно указать, что оно ожидает от сотрудников в отношении производительности их работы, действий в тех или иных ситуациях и регистрации своих действий.

Для того чтобы быть эффективной, политика должна быть согласована с другими существующими директивами, законами, приказами и общими задачами организации. Она также должна быть интегрирована в и согласована с другими политиками (например, политикой по приему на работу). Одним из способов координации политик является согласование их с другими отделами в ходе разработки.

2.4. Примеры описания общих принципов работы в Интернете в политиках

В этом разделе приводятся краткие примеры политик. Конечно, возможны и другие форматы, другая степень детализации. Задача этих примеров - помочь читателю понять принципы их разработки.

Первый пример - организация, которая решила не ограничивать никоим образом взаимодействие с Интернетом. Хотя этот курс и чреват многим опасностями в отношении безопасности, он может оказаться наилучшим выбором для организации, которой требуется открытость или в которой нет постоянного контроля начальников отделов за работой подчиненных. В целом таким организациям можно посоветовать выделить наиболее важные данные и обрабатывать их отдельно. Например, некоторые университеты и колледжи нуждаются в подобной среде для обучения студентов (но не для административных систем).

Второй пример - типовая политика. Внутренние и внешние системы разделяются с помощью брандмауэра. Тем не менее, большинство интернетовских служб все-таки доступны внутренним пользователям. Как правило в качестве брандмауэра используется шлюз, присоединенный к двум сетям или хост-бастион. Тем не менее, этот подход также может быть реализован с помощью криптографии для создания виртуальных частных сетей или туннелей в Интернете.

Третий пример - организация, которой требуется больше безопасности, чем это могут дать интернетовские сервисы. Единственным сервисом, который нужен организации, является электронная почта. Компания обычно имеет информационный сервер в Интернете, но он не соединен с внутренними системами.

3.Анализ риска

В настоящее время выделение финансовых и человеческих ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль от вложений в них. Инвестиции в информационную безопасность могут рассматриваться как инвестиции для увеличения прибыли путем уменьшения административных затрат на ее поддержание или для защиты от потери прибыли путем предотвращения потенциальных затрат в случае негативных коммерческих последствий. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает ваша организация.

Говоря простым языком, риск - это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от:

• Уровня угроз, которым подвергается организация и видимость организации из внешнего мира

• Уязвимости организации к последствиям потенциальных инцидентов с безопасностью

• Государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации.

Отметим, что здесь не учитывается ценность информации или финансовые последствия инцидентов с безопасностью. В прошлом такие оценки стоимости требовались как составная часть формального анализа риска в попытке осуществить оценку ежегодной прибыли при затратах на безопасность. По мере того, как зависимость государственных и коммерческих организаций от глобальных сетей становилась большей, потери от инцидентов с безопасностью, которые практически невозможно оценить в деньгах, стали равными или большими, чем вычисляемые затраты. Время администраторов информационной безопасности может более эффективно потрачено на обеспечение гарантий внедрения "достаточно хорошей безопасности", чем на расчет стоимости чего-либо худшего, чем полная безопасность.

Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. В Интернете есть ряд источников информации по этому вопросу. Следующие разделы содержат методологию для быстрой разработки профиля риска вашей организации.

3.1. Угрозы/видимость

Угроза - это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Угрозы могут быть неумышленными, такими как те, что вызываются ошибками человека, сбоями оборудования или программ, или стихийными бедствиями. Умышленные угрозы могут быть разделены на ряд групп - от логичных (получение чего-либо без денег) до иррациональных (разрушение информации). Типичными угрозами в среде Интернета являются:

• Сбой в работе одной из компонент сети -сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влияние на безопасность.

• Сканирование информации - неавторизованный просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, используя различные механизмы - электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.

• Использование информации не по назначению - использование информации для целей, отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.

• Неавторизованное удаление, модификация или раскрытие информации - специальное искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.

• Проникновение - атака неавторизованных людей или систем, которая может привести к отказу в обслуживании или значительным затратам на восстановление после инцидента.

• Маскарад -попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.

Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы (рассматриваются в следующем разделе) и система должна быть видима из внешнего мира. Видимость системы - это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе.

Все организации, имеющие доступ к Интернету, в некоторой степени видимы для внешнего мира хотя бы с помощью своего имени в DNS. Тем не менее, некоторые организации видимы более, чем другие, и уровень видимости может меняться регулярным образом или в зависимости от каких-нибудь событий. Так Служба Внутреннего Контроля более видна, чем Орнитологический Отдел. Exxon стал более видимым после катастрофы в Valdez, а MFS стал менее видимым после приобретения его WorldCom.

Так как многие угрозы, основанные на Интернете, являются вероятностными по своей природе, уровень видимости организации напрямую определяет вероятность того, что враждебные агенты будут пытаться нанести вред с помощью той или иной угрозы. В Интернете любопытные студенты, подростки-вандалы, криминальные элементы, промышленные шпионы могут являться носителями угрозы. По мере того как использованеи глобальных сетей для электронной коммерции и критических задач увеличивается, число атак криминальных элементов и шпионов будет увеличиваться.

3.2. Уязвимость/последствия

Организации по-разному уязвимы к риску. Политики безопасности должны отражать уязвимость конкретной организации к различным типам инцидентов с безопасностью и делать приоритетными инвестиции в области наибольшей уязвимости.

Имеется два фактора, определяющих уязвимость организации. Первый фактор - последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям - устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее , средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.

Одним из важных шагов при определении возможных последствий является ведение реестра информационных ценностей, обсуждаемое более детально в пункте 3.4. Хотя это и кажется простым, поддержание точного списка систем , сетей, компьютеров и баз данных, использующихся в организации, является сложной задачей. Организации должны объединить этот список с результатами работ по классификации данных, рассматриваемыми в пункте 3.7, в ходе которых информация, хранимая в онлайновом режиме, классифицируется по степени важности для выполнения организацией своих задач.