Данное Руководство призвано помочь в выработке политики безопасности и соответствующих процедур для организаций, имеющих выход в Интернет. В Руководстве перечисляются вопросы и факторы, которые следует проанализировать при формировании собственной политики безопасности предприятия. Даются некоторые рекомендации, обсуждается ряд смежных тем.
Руководство содержит лишь основные элементы, необходимые для выработки политики и процедур безопасности. Чтобы получить эффективный набор защитных средств, ответственным лицам придется принять много решений, заключить многочисленные соглашения, после чего настанет черед доведения политики безопасности до сотрудников и ее реализации.
Данная работа рассчитана на руководителей и системных администраторов. Она не предназначается для программистов и разработчиков защищенных программ и систем. Основной упор делается на политику и процедуры, необходимые для поддержки технических средств, выбранных организацией.
В первую очередь Руководство предназначено для организаций, подключенных к Интернет. В то же время мы надеемся, что оно будет полезным для всех предприятий, имеющих сетевые контакты любого рода. Как введение в политику безопасности, данный документ поможет и организациям с изолированными компьютерными системами.
В Руководстве слова "организация" и "предприятие" трактуются как синонимы, обозначающие собственника компьютеров и иных сетевых ресурсов. В число сетевых ресурсов входят хосты, на которых работают пользователи, а также маршрутизаторы, терминальные серверы, ПК и другие устройства, имеющие связь с Интернет. Организация может быть конечным пользователем сервисов Интернет или поставщиком соответствующих услуг. Тем не менее, Руководство в основном рассчитано на конечных пользователей.
Предполагается, что организация может вырабатывать собственные политику и процедуры безопасности при согласии и поддержке реальных владельцев ресурсов.
Интернет — это совокупность сетей и машин, использующих семейство протоколов TCP/IP, соединенных шлюзами и разделяющих общие пространства имен и адресов [1] .
Термин "системный администратор" относится ко всем тем, кто отвечает за повседневную работу ресурсов. Администрирование может выполнять группа людей или независимая компания.
Понятие "руководитель" обозначает сотрудника организации, вырабатывающего или одобряющего политику безопасности. Часто (но не всегда) руководитель одновременно является собственником ресурсов.
Рабочая группа IETF по политике безопасности (Security Policy Working Group, SPWG) стремится выработать рекомендации для политики безопасности в рамках Интернет [23] . Эти рекомендации могут быть одобрены владельцами региональных сетей или иных ресурсов. Данное Руководство, возможно, окажется полезным инструментом реализации предлагаемой политики. Тем не менее, для обеспечения безопасности мало реализовать рекомендуемую политику, поскольку она затрагивает лишь сетевые аспекты и ничего не говорит о локальной защите.
Данный документ отвечает на вопросы о том, что входит в политику безопасности, какие процедуры необходимы для обеспечения безопасности, что нужно делать в ситуациях, угрожающих безопасности. При выработке политики следует помнить не только о защите локальной сети, но также о нуждах и требованиях других подсоединенных сетей.
Руководство не является собранием рецептов по информационной безопасности. У каждой организации свои нужды; разница между корпорацией и академическим институтом весьма значительна. В то же время план защитных мероприятий, чтобы быть реальным, должен соответствовать потребностям и традициям конкретной организации.
В Руководстве не рассматриваются детали оценки рисков, планирования аварийных мероприятий, физической безопасности. Эти вещи необходимы для выработки и проведения в жизнь эффективной политики безопасности, но мы полагаемся в упомянутых вопросах на другие документы. Нами будут даны лишь общие указания.
Вопросы проектирования и реализации защищенных систем или программ также не будут нами рассматриваться.
Как правило, интерес к информационной безопасности пропорционален имеющемуся в организации ощущению таящихся вокруг рисков и угроз.
За последние двадцать пять лет компьютерный мир претерпел радикальные изменения. Тогда, двадцать пять лет назад, большинство компьютеров находилось в ведении вычислительных центров. Они содержались в запертых помещениях, а обслуживающий персонал отвечал за тщательность администрирования и физическую безопасность. Связи с внешним миром были явлением редким. Редко возникали и угрозы информационной безопасности, исходившие в подавляющем большинстве случаев от штатных сотрудников. Угрозы состояли в неправильном использовании полномочий со стороны авторизованных пользователей, в подделке электронных документов, в вандализме и т.п. Для предотвращения подобных угроз было вполне достаточно стандартных мер: замков на дверях и учета использования всех ресурсов.
Вычислительная среда 1990-х совершенно иная. Многие системы размещены в частных офисах и небольших лабораториях и администрируются людьми, не состоящими в штате данной организации. Немало компьютеров подключено к Интернет; тем самым они оказываются связанными со всем миром, от Австралии до Америки.
Изменились и угрозы безопасности. Традиционный совет гласит: "Не записывайте пароли на листке и не кладите этот листок в стол, где его может кто-нибудь найти". С общемировыми связями через Интернет, злоумышленник, находящийся на противоположной стороне Земли, может среди ночи проникнуть в Вашу систему и выкрасть пароль, несмотря на то, что здание Вашей организации закрыто на все замки. Вирусы и черви могут передаваться от машины к машине. По Интернет'у могут разгуливать "электронные воры", высматривающие незакрытые окна и двери. Теперь злоумышленник может за несколько часов проверить наличие слабых мест в защите сотен компьютеров.
Системные администраторы и руководители должны знать современные угрозы, связанные с ними риски, размер возможного ущерба, а также набор доступных мер для предотвращения и отражения нападений.
В качестве иллюстрации некоторых проблем, связанных с информационной безопасностью, рассмотрим, вслед за [2] , следующие сценарии. (Их автор — Russell Brand, которому мы выражаем признательность.)
Системный программист получает сообщение о том, что главный подпольный бюллетень крэкеров распространяется с административной машины, находящейся в его ведении, и попадает в пять тысяч американских и западноевропейских компьютеров.
Спустя восемь недель тот же программист получил официальное уведомление, что информация из одного бюллетеня была использована для выведения из строя на пять часов службы "911" в одном большом городе.
Пользователь звонит и сообщает, что он не может войти в систему под своим именем в 3 часа утра субботы. Администратор также не смог войти в систему. После перезагрузки и входа в однопользовательский режим он обнаруживает, что файл паролей пуст. К утру понедельника выясняется, что между данной машиной и местным университетом в привилегированном режиме было передано несколько файлов.
Во вторник утром на университетском компьютере была найдена копия стертого файла паролей вместе с аналогичными файлами с дюжины других машин.
Спустя неделю программист обнаруживает, что файлы инициализации системы изменены враждебным образом.
Программист получает сообщение о том, что в компьютер правительственной лаборатории было совершено вторжение с подведомственной ему машины. Программисту предлагают предоставить регистрационную информацию для отслеживания нападавшего.
Спустя неделю программист получает список подведомственных компьютеров, подвергшихся успешным атакам крэкеров.
Программисту звонит репортер и интересуется подробностями проникновения на компьютеры организации. Программист отвечает, что ничего не слышал о таких проникновениях.
Через три дня выясняется, что случай проникновения имел-таки место. Глава организации использовал в качестве пароля имя жены.
Обнаруживаются модификации системных бинарных файлов.
После восстановления файлы в тот же день вновь оказываются модифицированными. Так повторяется несколько недель.
С подобными проблемами может столкнуться любая организация, имеющая выход в Интернет. Вы должны иметь заранее заготовленные ответы по крайней мере на следующие вопросы:
Формирование политики и процедур безопасности на самом деле означает выработку плана действий по информационной защите. Один из возможных подходов к решению данной задачи предложил Fites с коллегами (см. [3] ):
В настоящем Руководстве основной упор делается на два последних этапа, однако следует помнить и о критической важности первых трех этапов для принятия эффективных решений в области безопасности. Давно известна истина, гласящая, что стоимость защиты не должна превосходить ущерб от осуществления угрозы. Без реалистичного представления о том, что защищается и каковы вероятные угрозы, следовать старому совету будет очень трудно.
Данный документ, кроме вводной, содержит еще шесть частей.
По форме каждая часть представляет собой обсуждение вопросов, которые организация должна рассмотреть при выработке политики безопасности и формировании процедур, реализующих эту политику. В некоторых случаях анализируются имеющиеся альтернативы и аргументы в пользу выбора какой-либо из них. Мы старались по возможности избегать диктата, поскольку многое зависит от местных условий. Не все из рассматриваемых вопросов важны для всех организаций, но организации должны хотя бы бегло ознакомиться с каждым из них, чтобы не упустить ничего существенного.
В плане общей структуры обсуждение политики безопасности предшествует рассмотрению процедур, реализующих политику.
Разд. Выработка официальной политики предприятия в области информационной безопасности посвящен выработке официальной политики предприятия, касающейся доступа к вычислительным ресурсам. Рассматриваются также вопросы нарушения политики. Политика определяет набор необходимых процедур, поэтому руководителю следует сначала определиться по политическим вопросам, и только после этого переходить к процедурным. Ключевым компонентом формирования политики безопасности является производимая в той или иной форме оценка рисков, позволяющая определить, что необходимо защищать и каков объем ресурсов, которые разумно выделить на защиту.
Когда политика выработана, можно приступать к созданию процедур, решающих проблемы безопасности. В Разд. Выработка процедур для предупреждения нарушений безопасности определяются и предлагаются действия, которые необходимо предпринять при возникновении подозрений по поводу совершения неавторизованных операций. Анализируются также ресурсы, необходимые для предотвращения нарушений режима безопасности.
В Разд. Типы процедур безопасности перечисляются типы процедур, служащих для предотвращения нападений. Профилактика — основа безопасности. По данным группы реагирования на нарушения безопасности и ее координационного центра (Computer Emergency Response Team/Coordination Center, CERT/CC), не менее 80% инцидентов, которые им довелось наблюдать, объяснялись плохим выбором паролей.
Разд. Реакция на нарушения безопасности посвящен реагированию на нарушения безопасности, то есть кругу вопросов, с которыми организация сталкивается, когда кто-то отступает от политики безопасности. Когда такое случается, приходится принимать целый комплекс решений, но многие из них можно продумать заранее. По крайней мере, следует договориться о распределении обязанностей и способах взаимодействия. И здесь определяющую роль играет политика безопасности, рассматриваемая в Разд. Выработка официальной политики предприятия в области информационной безопасности .
Тема Разд. Выработка мер, предпринимаемых после нарушения — меры, предпринимаемые после ликвидации нарушения безопасности. Планирование защитных действий — это непрерывный циклический процесс. Очередной инцидент — прекрасный повод для пересмотра и улучшения политики и процедур.
Завершает Руководство список литературы.
|
|
|
|
| Предисловие редакторов | Содержание | Выработка официальной политики предприятия в области информационной безопасности |
| Copyright ╘ 1993-2000, Jet Infosystems |