Політика безпеки при роботі в Інтернеті b> p>
Зміст p>
Введення
1.1.
Мета
1.2.
Для кого ця книга
1.3.
Основи Інтернету
1.4.
Навіщо розробляти політику безпеки для роботи в Інтернеті?
1.5.
Основні типи політики
2.
Загальні принципи
2.1.
Що там має бути
2.2.
Отримання дозволу
2.3.
Втілення політики в життя
2.4.
Приклади опису загальних принципів роботи в Інтернеті в політиках
3.Аналіз
ризику
3.1.
Загрози/видимість
3.2.
Уразливість/наслідки
3.3.
Матриця профілю
3.4.
Облік інформаційних цінностей
3.5.
Система загального призначення
3.6.
Критичні програми
3.7.
Класифікація даних
4.
Комерційні вимоги
4.1.
Віддалений доступ
4.2.
Комутоване з'єднання
4.3.
Telnet/X Windows
4.4.
Мобільні комп'ютери
4.5.
Електронна пошта
4.6.
Публікація інформації
4.7.
Дослідження
4.8.
Електронна комерція
4.9.
Електронний обмін даними
4.10.
Інформаційні транзакції
4.11.
Фінансові транзакції
4.12.
Постійна доступність для взаємодії
4.13.
Легкість використання
4.14.
Одноразова реєстрація
4.15.
Розробка інтерфейсу користувача
5.
Приклади областей, для яких потрібні політики
5.1.
Ідентифікація та автентифікація
5.2.
Контроль за імпортом програм
5.3.
Шифрування
5.4.
Архітектура системи
5.5.
Залагодження пригод з безпекою
5.6.
Організаційні заходи
5.7.
Навчання користувачів
6.
Політика безпеки брандмауерів
6.1.
Основи і мета
6.2.
Аутентифікація
6.3.
Аналіз можливостей маршрутизації і проксі-серверів
6.4.
Типи брандмауерів
6.5.
Архітектури брандмауера
6.6.
Інтранет
6.7.
Адміністрування брандмауера
6.8.
Довірчі взаємозв'язки у мережі
6.9.
Віртуальні приватні мережі (VPN)
6.10.
Відображення імен в адреси за допомогою DNS
6.11.
Цілісність системи
6.12.
Документація
6.13.
Фізична безпека брандмауера
6.14.
Дії при спробах порушення безпеки
6.15.
Відновлення сервісів
6.16.
Удосконалення брандмауера
6.17.
Перегляд політики безпеки для брандмауера
6.18.
Системні журнали (повідомлення про події та підсумкові звіти)
6.19.
Приклади політик
6.20.
Приклади специфічних політик для окремих сервісів
6.21.
Начальник відділу
6.22.
Співробітник відділу автоматизації
Введення b> p>
1.1. Мета b> p>
Цей документ створений для того, щоб допомогти організації створити узгоджену політику безпеки для роботи в Інтернеті. Він містить короткий
огляд Інтернету та його протоколів. Він розглядає основні види використання Інтернету та їх вплив на політику безпеки. Крім того, в ньому є приклади
політик безпеки для середовищ з низьким, середнім і високим рівнем загроз. p>
Читачі, яким потрібно більш загальна інформація про комп'ютерну безпеку,
можуть прочитати NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook. p>
1.2. Для кого ця книга
This document was written for readers involved in policy issues at three distinct levels: p>
Цей документ був написаний для тих, хто бере участь у розробці політики безпеки на трьох рівнях: p>
Особи з верхньої ланки управління організацією, яким потрібно
розуміти деякі ризики і наслідки використання Інтернету, щоб вони
могли раціонально розподілити ресурси і призначити відповідальних за ті чи
інші питання.
Начальники підрозділів організації, яким потрібно
розробляти специфічні політики безпеки
Адміністратори організації, яким потрібно розуміти, чому їм треба
застосовувати ті або інші програмно-апаратні засоби для захисту, і які
причини використання організаційних заходів і правил роботи в Інтернеті,
яким їм треба буде навчати користувачів Інтернету в організації.
1.3. Основи Інтернету
Інтернет - це всесвітня "мережа мереж", яка використовує для взаємодії стек протоколів TCP/IP (Transmission Control Protocol/Internet
Protocol). Інтернет був створений для полегшення взаємодії між організаціями, що виконують урядові замовлення. У 80-і роки до нього
підключилися навчальні заклади, урядові агентства, комерційні фірми та міжнародні організації. У 90-х років Інтернет переживає феноменальний
зростання. Зараз до Інтернету приєднані мільйони користувачів, приблизно половина з яких - комерційні користувачі. Зараз Інтернет використовується
як основа Національної Інформаційної Інфраструктури США (NII). p>
1.4. Навіщо розробляти політику
безпеки для роботи в Інтернеті?
Хоча підключення до Інтернету та надає величезні вигоди через доступ до колосального обсягу інформації, воно ж є небезпечним для сайтів з низьким
рівнем безпеки. Інтернет страждає від серйозних проблем з безпекою, які, якщо їх ігнорувати, можуть призвести до катастрофи для непідготовлених
сайтів. Помилки при проектуванні TCP/IP, складність адміністрування хостів, вразливі місця в програмах, і ряд інших чинників у сукупності роблять
незахищені сайти вразливими до дій зловмисників. p>
Організації повинні відповісти на наступні питання, щоб правильно врахувати можливі наслідки підключення до Інтернету в області безпеки: p>
Чи можуть хакери зруйнувати внутрішні системи?
Чи може бути скомпрометована (змінена чи прочитана) важлива
інформація організації при її передачі по Інтернету?
Чи можна перешкодити роботі організації?
Все це - важливі питання. Існує багато технічних рішень для боротьби з основними проблемами безпеки Інтернету. Тим не менш, всі вони мають свою
ціну. Багато рішень обмежують функціональність заради посилення безпеки. Інші вимагають йти на значні компроміси щодо легкості
використання Інтернету. Треті вимагають вкладення значних ресурсів - робочого часу для впровадження і підтримки безпеки і грошей для купівлі та
супроводження обладнання та програм. p>
Мета політики безпеки для Інтернету - прийняти рішення про те, як організація збирається захищатися. Політика зазвичай складається з двох частин --
загальних принципів і конкретних правил роботи (які еквівалентні специфічній політиці, описаної нижче). Загальні принципи визначають підхід до безпеки в
Інтернеті. Правила ж визначають що дозволено, а що - заборонено. Правила можуть доповнюватися конкретними процедурами і різними посібниками. p>
Щоправда, існує і третій тип політики, який зустрічається в літературі з безпеки в Інтернеті. Це - технічний підхід. У цій публікації під
технічним підходом будемо розуміти аналіз, який допомагає виконувати принципи і правила політики. Він, в основному, дуже технічний і складний для розуміння керівництвом
організації. Тому він не може використовуватися так само широко, як політика. Тим не менше, він є обов'язковим при описі можливих рішень, що визначають
компроміси, які є необхідним елементом при описі політики. p>
Щоб політика для Інтернету була ефективною, розробники політики повинні розуміти зміст компромісів, на які їм треба буде піти. Ця політика також
не повинна суперечити іншим керівним документам організації. Дана публікація намагається дати технічним фахівцям інформацію, яку їм треба
буде пояснити розробникам політики для Інтернету. Вона містить ескізний проект політики, на основі якого потім можна буде прийняти конкретні
технічні рішення. p>
Інтернет - це важливий ресурс, який змінив стиль діяльності багатьох людей і організацій. Тим не менше, Інтернет страждає від серйозних і широко
розповсюджених проблем з безпекою. Багато організацій було атаковано або зондувати зловмисниками, в результаті чого вони понесли великі фінансові втрати
і втратили свій престиж. У деяких випадках організації були змушені тимчасово відключитися від Інтернету і витратили значні кошти на
усунення проблем з конфігураціями хостів та мереж. Сайти, які необізнаність або ігнорують ці проблеми, піддають себе ризику мережевої атаки
зловмисниками. Навіть ті сайти, які впровадили у себе заходи щодо забезпечення безпеки, піддаються тим же небезпекам через появу нових уразливих
місць в мережевих програмах та наполегливості деяких зловмисників. p>
Фундаментальна проблема полягає в тому, що Інтернет при проектуванні і не задумувався як захищена мережа. Деякими його проблемами в поточній версії
TCP/IP є: p>
Легкість перехоплення даних і фальсифікації адрес машин у мережі --
основна частина трафіку Інтернету - це нешифрованих дані. E-mail,
паролі і файли можуть бути перехоплені, використовуючи легко доступні
програми.
Уразливість засобів TCP/IP - ряд засобів TCP/IP не був
спроектований бути захищеними і може бути скомпрометований кваліфікованими
зловмисниками; засоби, що використовуються для тестування особливо
уразливі.
Відсутність політики - багато сайтів через незнання сконфігуровані
таким чином, що надають широкий доступ до себе з боку
Інтернету, не з огляду на можливість зловживання цим доступом; багато
сайти дозволяють роботу більшого числа сервісів TCP/IP, ніж їм потрібно
для роботи і не намагаються обмежити доступ до інформації про свої
комп'ютерах, яка може допомогти зловмисникам.
Складність конфігурації - засоби керування доступом хоста
складні; часто складно правильно настроїти та перевірити
ефективність установок. Кошти, що помилково неправильно
сконфігуровані, можуть призвести до несанкціонованого доступу.
1.5. Основні типи політики
Термін Політика комп'ютерної безпеки має різні значення для різних людей. Це може бути директива одного з керівників
організації з організації програми комп'ютерної безпеки., що встановлює її цілі і призначати відповідальних за її виконання. Чи це
може бути рішення начальника відділу щодо безпеки електронної пошти або факсів. Або це можуть бути правила забезпечення безпеки для конкретної
системи (це такі типи політик, про які експерти в комп'ютерної безпеки кажуть, що вони реалізуються програмно-апаратними засобами і
організаційними заходами). У цьому документі під політикою комп'ютерної безпеки будемо розуміти документ, в якому описані рішення щодо
безпеки. Під це визначення підпадають всі типи політики, описані нижче. p>
При прийнятті рішень адміністратори стикаються з проблемою здійснення вибору на основі обліку принципів діяльності організації, співвідношення важливості
цілей, і наявності ресурсів. Ці рішення включають визначення того, як будуть захищатися технічні й інформаційні ресурси, а також як повинні поводитися
службовці в тих чи інших ситуаціях. p>
Необхідним елементом політики є прийняття рішення щодо даного питання. Воно задасть напрямок діяльності організації. Для того щоб
політика була успішною, важливо, щоб було обгрунтовано вибрано один напрям з декількох можливих. p>
2.
Загальні принципи
2.1. Що там має бути
Як описано в "NIST Computer Security Handbook", зазвичай політика має включати в себе наступні частини:. p>
Предмет політики. b> Для того, щоб описати політику з даної області, адміністратори спочатку повинні визначити саму область за допомогою обмежень і
умов у зрозумілих усьому термінах (або ввести деякі з термінів). Часто також корисно явно вказати мету або причини розробки політики - це може
допомогти домогтися дотримання політики. У відношенні політики безпеки в Інтернеті організації може знадобитися уточнення, чи охоплює ця політика
всі з'єднання, через які ведеться робота з Інтернетом (прямо чи опосередковано) або власне з'єднання Інтернет. Ця політика також може
визначати, чи враховуються інші аспекти роботи в Інтернеті, що не мають відношення до безпеки, такі як персональне використання з'єднань з
Інтернетом. p>
Опис позиції організації. b> Як тільки предмет політики описаний, дано визначення основних понять і розглянуті умови застосування політики,
треба в явній формі описати позицію організації (тобто рішення її керівництва) з даного питання. Це може бути твердження про дозвіл або заборону
користуватися Інтернетом і за яких умов. p>
Застосовність. b> Проблемні політики вимагають включення до них описи застосовності. Це означає, що треба уточнити де, як, коли, ким і до чого
застосовується дана політика. p>
Ролі та обов'язки b>. Потрібно описати відповідальних посадових осіб та їх обов'язки щодо розробки та впровадження різних аспектів політики. Для
такого складного питання, як безпека в Інтернеті, організації може знадобитися ввести відповідальних за аналіз безпеки різних архітектур
або за затвердження використання тієї чи іншої архітектури. p>
Дотримання політики. b> Для деяких видів політик Інтернету може виявитися доречним опис, з деяким ступенем детальності, порушень,
які неприйнятні, і наслідків такої поведінки. Можуть бути явно описані покарання і це повинно бути пов'язане з загальними обов'язками співробітників у
організації. Якщо до співробітників застосовуються покарання, вони повинні координуватися з відповідними посадовими особами та відділами. Також може
виявитися корисним поставити завдання конкретного відділу в організації стежити за дотриманням політики. p>
Консультанти з питань безпеки та довідкова інформація. b> Для будь-якої проблемної політики потрібні відповідальні консультанти, з ким можна
зв'язатися і отримати більш докладну інформацію. Так як посади мають тенденцію змінюватися рідше, ніж люди, що їх займають, розумно призначити особу,
що займає конкретну посаду як консультанта. Наприклад, з деяких питань консультантом може бути один з менеджерів, за іншими - начальник
відділу, співробітник технічного відділу, системний адміністратор або співробітник служби безпеки. Вони повинні вміти роз'яснювати правила роботи в Інтернеті або
правила роботи на конкретній системі. p>
2.2. Отримання дозволу
Що таке організація? b> Політика (хороша політика) може бути написана тільки для групи людей з близькими цілями. Тому організації може
потрібно розділити себе на частини, якщо вона надто велика або має занадто різні цілі, щоб бути суб'єктом політики безпеки в Інтернеті.
Наприклад, NIST - це агентство Міністерства Торгівлі (МТ) США. Завдання NIST вимагають постійної взаємодії з науковими організаціями в середовищі відкритих
систем. До іншого підрозділу МТ, Бюро перепису, ставиться вимога підтримки конфіденційності відповідей на запитання під час перепису. За таких
різних задачах і вимогах розробка спільної політики безпеки МТ, напевно, неможлива. Навіть всередині NIST існують великі відмінності щодо
завдань і вимог до їх виконання, тому більшість політик безпеки Інтернету розробляються на більш низькому рівні. p>
Координація з іншими проблемними політиками. b> Інтернет - це лише один з безлічі способів, якими організація зазвичай взаємодіє з
зовнішніми джерелами інформації. Політика Інтернету повинна бути узгоджена з іншими політиками щодо взаємин із зовнішнім світом. Наприклад: p>
фізичний доступ в будівлі та на територію організації. b> Інтернет - це як би електронні двері до організації. В одну і ту ж двері може увійти
як добро, так і зло. Організація, територія якої відкрита для входу, напевно, вже прийняла рішення на основі аналізу ризиків, що відкритість або
необхідна для виконання організацією своїх завдань, або загроза занадто мала, що їй можна знехтувати. Аналогічна логіка застосовна до електронної двері. Тим
не менше, існують серйозні відмінності. Фізичні загрози більш прив'язані до конкретного фізичного місця. А зв'язок з Інтернетом - це зв'язок з усім світом.
Організація, чия територія знаходиться в спокійному і безпечному місці, може дозволяти вхід на свою територію, але мати строгу політику щодо
Інтернету. p>
Взаємодія із засобами масової інформації. b> Інтернет може бути формою для спілкування із суспільством. Багато організацій інструктують співробітників,
як їм поводитися з кореспондентами або серед людей при роботі. Ці правила слід було б перенесті і на електронну взаємодію. Багато співробітники не
розуміють громадський характер Інтернету. p>
Електронний доступ. b> Інтернет - це не єдина глобальна мережа. Організації використовують телефонні мережі та інші глобальні мережі (наприклад,
SPRINT) для організації доступу віддалених користувачів до своїх внутрішніх систем. При з'єднанні з Інтернетом і телефонною мережею існують аналогічні
загрози та вразливі місця. p>
2.3. Втілення політики в життя
Не думайте, що як тільки ваша організація розробить велике число політик, директив чи наказів, більше нічого не треба робити. Озирніться довкола
і подивіться, чи дотримуються формально написані документи (це в Росії-то?!). Якщо ні, то ви можете або спробувати змінити сам процес розробки
документів в організації (взагалі важко, але тим не менш можливо), або оцінити, де є проблеми з її впровадженням та усувати їх. (Якщо ви обрали
друга, ймовірно вам знадобляться формальні документи). p>
Тому що, на жаль, розробка неформальній політики виходить за рамки цієї публікації, це дуже важливий процес не буде тут описаний. Більшість
політик зазвичай визначають те, що хоче великий начальник. Щоб політика безпеки в Інтернеті була ефективною, великий начальник повинен розуміти,
який вибір треба зробити і робити його самостійно. Зазвичай, якщо великий начальник довіряє розробленої політику, вона буде коригуватися з допомогою
неформальних механізмів. p>
Деякі зауваження з приводу політики b> p>
Для ефективності політика повинна бути наочною. Наочність допомагає реалізувати політику, допомагаючи гарантувати її знання та розуміння всіма
співробітниками організації. Презентації, відеофільми, семінари, вечори питань і відповідей і статті у внутрішніх виданнях організації збільшують її наочність.
Програма навчання в області комп'ютерної безпеки і контрольні перевірки дій в тих чи інших ситуаціях можуть досить ефективно повідомити всіх
користувачів про нову політику. З нею також треба знайомити всіх нових співробітників організації. p>
Політики комп'ютерної безпеки повинні доводиться таким чином, щоб гарантувалася
підтримка з боку керівників відділів, особливо, якщо на співробітників постійно сиплеться маса політик, директив, рекомендацій та наказів. Політика
організації - це засіб довести позицію керівництва щодо комп'ютерної безпеки і явно вказати, що вона очікує від співробітників щодо
продуктивності їхньої роботи, дій в тих чи інших ситуаціях і реєстрації своїх дій. p>
Для того щоб бути ефективною, політика повинна бути узгоджена з іншими існуючими директивами, законами, наказами та загальних завдань організації.
Вона також повинна бути інтегрована в і узгоджена з іншими політиками (наприклад, політикою по прийому на роботу). Одним із способів координації
політик є узгодження їх з іншими відділами в ході розробки. p>
2.4. Приклади опису загальних принципів роботи
в Інтернеті в політиках
У цьому розділі наводяться короткі приклади політик. Звичайно, можливі й інші формати, друга ступінь деталізації. Завдання цих прикладів - допомогти
читачеві зрозуміти принципи їх розробки. p>
Перший приклад - організація, яка вирішила не обмежувати жодним чином взаємодія з Інтернетом. Хоча цей курс і загрожує багатьом небезпеками в
щодо безпеки, він може виявитися найкращим вибором для організації, якої потрібно відкритість чи в якій немає постійного контролю начальників
відділів за роботою підлеглих. Загалом таких організацій можна порадити виділити найбільш важливі дані та обробляти їх окремо. Наприклад, деякі
університети та коледжі мають потребу в подібному середовищі для навчання студентів (але не для адміністративних систем). p>
Другий приклад - типова політика. Внутрішні і зовнішні системи розділяються за допомогою брандмауера. Тим не менше, більшість інтернетівських служб все-таки
доступні внутрішнім користувачам. Як правило в якості брандмауера використовується шлюз, приєднаний до двох мереж чи хост-бастіон. Тим не менше,
цей підхід також може бути реалізований за допомогою криптографії для створення віртуальних приватних мереж або тунелів в Інтернеті. p>
Третій приклад - організація, якої потрібно більше безпеки, ніж це можуть дати інтернетівські сервіси. Єдиним сервісом, який потрібен
організації, є електронна пошта. Компанія зазвичай має інформаційний сервер в Інтернеті, але він не з'єднаний з внутрішніми системами. p>
3.Аналіз
ризику
В даний час виділення фінансових і людських ресурсів на забезпечення безпеки обмежена, і потрібно показати прибуток від вкладень в
них. Інвестиції в інформаційну безпеку можуть розглядатися як інвестиції для збільшення прибутку шляхом зменшення адміністративних витрат на
її підтримку або для захисту від втрати прибутку шляхом запобігання потенційних витрат у разі негативних комерційних наслідків. У будь-якому
випадку вартість засобів забезпечення безпеки повинна відповідати ризику і прибутку для того середовища, в якій працює ваша організація. p>
Говорячи простою мовою, ризик - це ситуація, коли загроза використовує вразливе місце для нанесення шкоди вашій системі. Політика безпеки забезпечує
основу для впровадження засобів забезпечення безпеки шляхом зменшення числа вразливих місць і як наслідок зменшує ризик. Для того щоб розробити
ефективну і недорогу політику безпеки для захисту з'єднань з Інтернетом, потрібно виконати той чи інший аналіз ризику для оцінки необхідної
жорсткості політики, який визначить необхідні витрати на засоби забезпечення безпеки для виконання вимог політики. Те, наскільки
жорсткою буде політика, залежить від: p>
Рівня погроз, яким піддається організація і видимість
організації із зовнішнього світу
Вразливості організації до наслідків потенційних інцидентів з
безпекою
Державних законів і вимог вищестоящих організацій,
які можуть явно визначати необхідність проведення того чи іншого виду
аналізу ризику або диктувати застосування конкретних засобів забезпечення
безпеки для конкретних систем, програм або видів інформації.
Відзначимо, що тут не враховується цінність інформації або фінансові наслідки інцидентів з безпекою. У минулому такі оцінки вартості
були потрібні як складова частина формального аналізу ризику в спробі здійснити оцінку щорічного прибутку при витратах на безпеку. У міру того, як
залежність державних і комерційних організацій від глобальних мереж ставала більшою, втрати від інцидентів з безпекою, які практично
неможливо оцінити в грошах, стали рівними або більшими, ніж витрати обчислюються. Час адміністраторів інформаційної безпеки може більше
ефективно витрачено на забезпечення гарантій впровадження "досить гарною безпеки", ніж на розрахунок вартості чогось гіршого, ніж повна
безпеку. p>
Для організацій, діяльність яких регулюється законами, або які обробляють інформацію, від якої залежить життя людей, можуть виявитися більш
прийнятними формальні методи оцінки ризику. В Інтернеті є ряд джерел інформації з цього питання. Наступні розділи містять методологію для швидкої
розробки профілю ризику вашої організації. p>
3.1. Загрози/видимість
Загроза - це будь-яка подія, яка потенційно може завдати шкоди організації шляхом розкриття, модифікації або руйнування інформації, або відмови
в обслуговуванні критичними сервісами. Загрози можуть бути ненавмисними, такими як ті, що викликаються помилками людини, збоями устаткування або програм, або
стихійними лихами. Умисні загрози можуть бути розділені на ряд груп - від логічних (отримання чого-небудь без грошей) до ірраціональних (руйнування
інформації). Типовими погрозами в середовищі Інтернету є: p>
Збій у роботі однієї з компонент мережі-збій через помилки при
проектуванні або помилок устаткування або програм може призвести до
відмови в обслуговуванні або компрометації безпеки через неправильне
функціонування однієї з компонент мережі. Вихід з ладу брандмауера або
помилкові відмови в авторизації серверами аутентифікації є прикладами
збоїв, які впливають на безпеку.
Сканування інформації - неавторизований перегляд критичної
інформації зловмисниками або авторизованими користувачами може
відбуватися, використовуючи різні механізми - електронний лист з невірним
адресатом, роздруківка принтера, неправильно сконфігуровані списки
управління доступом, спільне використання кількома людьми одного
ідентифікатора і т.д.
Використання інформації не за призначенням - використання
інформації для цілей, відмінних від авторизованих, може призвести до відмови
в обслуговуванні, зайвим витратам, втрати репутації. Винуватцями цього
можуть бути як внутрішні, так і зовнішні користувачі.
Неавторизоване видалення, модифікація або розкриття інформації --
спеціальне спотворення інформаційних цінностей, що може призвести до
втрати цілісності або конфіденційності інформації.
Проникнення - атака неавторизованих людей або систем, яка
може призвести до відмови в обслуговуванні або значних витрат на
відновлення після інциденту.
Маскарад-спроби замаскуватися під авторизованого користувача
для крадіжки сервісів або інформації, або для ініціації фінансових
транзакцій, які призведуть до фінансових втрат або проблем для
організації.
Наявність загрози не обов'язково означає, що вона завдасть шкоди. Щоб стати ризиком, загроза повинна використовувати вразливе місце в засобах забезпечення
безпеки системи (розглядаються в наступному розділі) і система повинна бути видима із зовнішнього світу. Видимість системи - це захід як інтересу
зловмисників до цієї системи, так і кількості інформації, доступної для загального користування на цій системі. p>
Всі організації, які мають доступ до Інтернету, в деякій мірі видимі для зовнішнього світу хоча б за допомогою свого імені в DNS. Тим не менш, деякі
організації видимі більше, ніж інші, і рівень видимості може змінюватися регулярним чином або в залежності від яких-небудь подій. Так Служба
Внутрішнього Контролю більше видно, ніж Орнітологічний Відділ. Exxon став більш видимим після катастрофи в Valdez, а MFS став менш видимим після придбання
його WorldCom. p>
Так як багато хто загрози, що базуються на Інтернеті, є ймовірносними за своєю природою, рівень видимості організації безпосередньо визначає ймовірність
того, що ворожі агенти будуть намагатися нанести шкоду за допомогою тієї чи іншої загрози. В Інтернеті цікаві студенти, підлітки-вандали, кримінальні
елементи, промислові шпигуни можуть бути носіями загрози. У міру того як використання глобальних мереж для електронної комерції та критичних
завдань збільшується, число атак кримінальних елементів і шпигунів буде збільшуватися. p>
3.2. Уразливість/наслідки
Організації по-різному вразливі до ризику. Політики безпеки повинні відображати вразливість конкретної організації до різних типів інцидентів з
безпекою і робити пріоритетними інвестиції в області найбільшою уразливості. p>
Є два чинники, що визначають уразливість організації. Перший фактор - наслідки інциденту з безпекою. Майже всі організації вразливі до
фінансових втрат - усунення наслідків інцидентів з безпекою може вимагати значних вкладень, навіть якщо постраждали некритичні сервіси.
Тим не менше, засоби переносу ризику (страхування або пункти в договорах) можуть гарантувати, що навіть фінансові втрати не приведуть до кризи
організації. p>
Одним з важливих кроків при визначенні можливих наслідків є ведення реєстру інформаційних цінностей, обговорювану більш детально в пункті
3.4. Хоча це і здається простим, підтримка точного списку систем, мереж, комп'ютерів і баз даних, що використовуються в організації, є складною
завданням. Організації повинні об'єднати цей список з результатами робіт за класифікацією даних, що розглядаються в пункті
3.7, в ході яких інформація, що зберігається в онлайновому режимі, класифікується за ступенем важливості для виконання організацією своїх завдань. p>
Більш серйозні наслідки виникають, коли порушується внутрішня робота організації, що призводить до збитків через втрачених можливостей, втрат
робочого часу та робіт з відновлення роботи. Найбільш серйозні наслідки - це коли зачіпаються зовнішні функції, такі як доставка продукції споживачам
або прийом замовлень. Ці наслідки інциденту з безпекою безпосередньо викликають фінансові збитки через порушення роботи служб, або з-за потенційної втрати
довіри клієнтів в майбутньому. p>
Другий фактор - це врахування політичних або організаційних наслідків. У деяких корпораціях верхній рівень керівництва організацією може подумати,
прочитавши статтю у відомій газеті про проникнення в їхню мережу, що сталася катастрофа, навіть якщо за це організація не зазнала жодних фінансових
збитків. У більш відкритих середовищах, таких як університети або наукові центри, керівництво може на підставі інциденту прийняти рішення про введення обмежень
на доступ. Ці фактори треба враховувати при визначенні уразливості організації до інцидентів з безпекою. p>
3.3. Матриця профілю
Таблиця 3.1 Матриця профілю ризику h2>
Загрози b>
Рейтинг b>
Видимість b>
Рейтинг b>
Число очок b>
Ні одна із загроз не вважається реальною
1
Дуже маленька
1
Можливість виникнення загроз важко оцінити
3
Середня, періодичні публікації про організацію
3
Загрози реальні, мав місце ряд випадків їх виникнення
5
Велика, постійні публікації про організацію
5
Наслідки b>
Рейтинг b>
Вразливість b>
Рейтинг b>
Число очок b>
Фінансових втрат не буде, можливі наслідки враховані в бюджеті чи вжито заходів щодо переносу ризику
1
Інциденти вважаються прийнятними як необхідна умова бізнесу; керівництво організації з
розумінням ставиться до цього
1
Будуть зачеплені внутрішні функції організації, перевищений бюджет, втрачені можливості отримати прибуток
3
Інцидент вплине на позицію середньої ланки управління, зникне доброзичливе ставлення
начальства до безпеки
3
Будуть порушені зовнішні функції організації, нанесена велика фінаносвий збиток
5
Керівники організації стануть жорсткіше ставитися до безпеки, постраждають взаємини з
діловими партнерами
5
Загальна кількість очок: b>
Рейтинг: Значення для погроз множиться на значення для видимості, а значення для наслідків множиться на значення для уразливості. Потім ці два числа
складаються: p>
2 - 10: низький ризик
11 - 29: середній ризик
30 - 50: високий ризик
3.4. Облік інформаційних цінностей
Щоб гарантувати захист усіх інформаційних цінностей, і те, що поточна обчислювальна середу організації може бути швидко відновлена після інциденту
з безпекою, кожний мережевий адміністратор повинен вести облік інформаційних систем в його зоні відповідальності. Список повинен містити в собі всі
існуючу апаратну частину обчислювальної Середовища, програми, електронні документи, бази даних та канали зв'язку. p>
Для кожної інформаційної цінності повинна бути описана наступна інформація: p>
Тип: обладнання, програма, дані
Використовується в системі загального призначення або критичному
додатку
Відповідальний за дану інформаційну цінність
Її фізична або логічне місце розташування
Обліковий номер, де це можливо.
3.5. Система загального призначення
Система загального призначення - це "взаємопов'язаний набір інформаційних ресурсів, які знаходяться під єдиним адміністративним управлінням, що дозволяють
вирішувати загальні (неспецифічні) завдання або забезпечувати їх виконання ". Зазвичай завданням систем загального призначення є забезпечення обробки або
взаємодії між додатками. Системи загального призначення вкл?? сподіваються в себе комп'ютери, мережі і програми, які забезпечують роботу великої кількості
додатків, і звичайно адмініструються і супроводжуються відділом автоматизації в організації. p>
Політика безпеки для систем загального призначення як правило застосовується і для Інтернету, тому що сервера, комунікаційні програми та шлюзи,
забезпечують зв'язок з Інтернетом, звичайно перебувають під єдиним управлінням. p>
3.6. Критичні програми
Всі додатки вимагають деякого рівня безпеки, і адекватна безпека для більшості з них забезпечується засобами безпеки
систем загального призначення, в рамках яких вони функціонують. Тим не менш, деякі програми, з-за специфічного характеру зберігається та обробляється
в них інформації, потребують спеціальних заходів контролю і вважаються критичними. Критичне додаток - це завдання, яке вирішується за допомогою комп'ютерів або мереж,
від успішності вирішення якої серйозно залежить можливість існування організації або виконання нею свого призначення. p>
Прикладами критичних додатків можуть служити системи білінгу, обліку заробітної плати, інші фінансові системи і т.д. Так як більшість
користувачів витрачає основну частину свого часу на взаємодію з одним із критичних додатків, потрібне включення курсів з інформаційної
безпеки в програми перепідготовки кадрів для цих систем. p>
Більшість критичних додатків зараз не вимагають зв'язку з Інтернетом, тим не менше, ця ситуація зміниться в майбутньому. Сучасні операційні системи
включають в себе можливості для зв'язку з Інтернетом. p>
3.7. Класифікація даних
Для того щоб розробити ефективну політику безпеки, інформація, що зберігається або обробляється в організації, повинна бути класифікована в
відповідно до її критичністю до втрати конфіденційності. На основі цієї класифікації потім можна легко розробити політику для вирішення (або
заборони) доступу до Інтернету або для передачі інформації через Інтернет. p>
Більшість організацій використовують такі класи, як "Комерційна таємниця" і "Для службового користування". Класи, що використовуються в
політики інформаційної безпеки, повинні бути узгоджені з іншими існуючими класами. p>
Дані повинні бути розбиті на 4 класу безпеки, кожен з яких має свої вимоги щодо забезпечення безпеки - КРИТИЧНА ІНФОРМАЦІЯ, КОМЕРЦІЙНА
ТАЄМНИЦЯ, ПЕРСОНАЛЬНА ІНФОРМАЦІЯ і для внутрішнього користування. Ця система класифікації повинна використовуватися у всій організації. Особи, відповідальні за
інформаційні цінності, що відповідають за призначення їм класу, і цей процес має контролюватися керівництвом організації. Класи визначаються наступним
так: p>
КРИТИЧНА ІНФОРМАЦІЯ: Цей клас застосовується до інформації,
що вимагає спеціальних заходів безпеки для забезпечення гарантій її
цілісності, щоб захистити її від неавторизованої модифікації або
видалення. Це - інформація, яка вимагає більш високих гарантій ніж
про