Мегафон 

Политика по информационной безопасности. Политика информационной безопасности и принципы ее организации

Программное обеспечение TSF вне ядра состоит из доверяемых приложений, которые используются, чтобы реализовать функции безопасности. Обратите внимание на то, что совместно используемые библиотеки, включая модули PAM в некоторых случаях, используются доверяемыми приложениями. Однако, не существует экземпляра, где сама совместно используемая библиотека рассматривается как доверяемый объект. Доверяемые команды могут быть сгруппированы следующим образом.

  • Системная инициализация
  • Идентификация и аутентификация
  • Сетевые приложения
  • Пакетная обработка
  • Управление системой
  • Аудит пользовательского уровня
  • Криптографическая поддержка
  • Поддержка виртуальной машины

Компоненты исполнения ядра могут быть разделены на три составляющие части: основное ядро, потоки ядра и модули ядра, в зависимости от того, как они будут выполняться.

  • Основное ядро включает код, который выполняется, чтобы предоставить услугу, такую как обслуживание системного вызова пользователя или обслуживание события исключения, или прерывание. Большинство скомпилированного кода ядра подпадает под эту категорию.
  • Потоки ядра. Чтобы выполнить определенные стандартные задачи, такие как очистка дисковых кэшей или освобождение памяти, путем выгрузки неиспользованных страничных блоков, ядро создает внутренние процессы или потоки. Потоки запланированы точно так же, как обычные процессы, но у них нет контекста в непривилегированном режиме. Потоки ядра выполняют определенные функции языка C ядра. Потоки ядра размещены в пространстве ядра, и работают только в привилегированном режиме.
  • Модуль ядра и модуль ядра драйверов устройств — фрагменты кода, которые могут быть загружены и выгружены в и из ядра по мере необходимости. Они расширяют функциональные возможности ядра без необходимости перезагружать систему. После загрузки объектный код модуля ядра может получить доступ к другому коду ядра и данным таким же образом, как статически скомпонованный код объекта ядра.
Драйвер устройства — специальный тип модуля ядра, который позволяет ядру получать доступ к аппаратным средствам, соединенным с системой. Эти устройства могут быть жесткими дисками, мониторами или сетевыми интерфейсами. Драйвер взаимодействует с остающейся частью ядра через определенный интерфейс, который позволяет ядру иметь дело со всеми устройствами универсальным способом, независимо от их базовых реализаций.

Ядро состоит из логических подсистем, которые обеспечивают различные функциональные возможности. Даже при том, что ядро — единственная исполняемая программа, различные сервисы, которые оно предоставляет, могут быть разделены и объединены в разные логические компоненты. Эти компоненты взаимодействуют, чтобы обеспечить определенные функции. Ядро состоит из следующих логических подсистем:

  • Файловая подсистема и подсистема ввода-вывода : Эта подсистема реализует функции, связанные с объектами файловой системы. Реализованные функции включают те, которые позволяют процессу создавать, поддерживать, взаимодействовать и удалять объекты файловой системы. К этим объектам относятся регулярные файлы, каталоги, символьные ссылки, жесткие ссылки, файлы, специфичные для определенных типов устройств, именованные каналы и сокеты.
  • Подсистема процессов : Эта подсистема реализует функции, связанные с управлением процессами и управлением потоками. Реализованные функции позволяют создавать, планировать, исполнять и удалять процессы и субъекты потоков.
  • Подсистема памяти : Эта подсистема реализует функции, связанные с управлением ресурсами памяти системы. Реализованные функции включают в себя те, которые создают и управляют виртуальной памятью, включая управление алгоритмами разбивки на страницы и таблицами страниц.
  • Сетевая подсистема : Эта подсистема реализует сокеты UNIX и Интернет-домена, а также алгоритмы, используемые для планирования сетевых пакетов.
  • Подсистема IPC : Эта подсистема реализует функции, связанные с механизмами IPC. Реализованные функции включают в себя те, которые упрощают управляемый обмен информацией между процессами, позволяя им совместно использовать данные и синхронизировать их выполнение при взаимодействии с общим ресурсом.
  • Подсистема модулей ядра : Эта подсистема реализует инфраструктуру, позволяющую поддерживать загружаемые модули. Реализованные функции включают загрузку, инициализацию и выгрузку модулей ядра.
  • Расширения безопасности Linux : Расширения безопасности Linux реализуют различные аспекты безопасности, которые обеспечиваются для всего ядра, включая каркас Модуля безопасности Linux (Linux Security Module, LSM). Каркас LSM служит основой для модулей, позволяющей реализовать различные политики безопасности, включая SELinux. SELinux — важная логическая подсистема. Эта подсистема реализует функции мандатного управления доступом, чтобы добиться доступа между всеми предметами и объектами.
  • Подсистема драйвера устройства : Эта подсистема реализует поддержку различных аппаратных и программных устройств через общий, не зависящий от устройств интерфейс.
  • Подсистема аудита : Эта подсистема реализует функции, связанные с записью критических по отношению к безопасности событий в системе. Реализованные функции включают в себя те, которые захватывают каждый системный вызов, чтобы записать критические по отношению к безопасности события и те, которые реализуют набор и запись контрольных данных.
  • Подсистема KVM : Эта подсистема реализует сопровождение жизненного цикла виртуальной машины. Она выполняет завершение инструкции, используемое для инструкций, требующих только небольших проверок. Для любого другого завершения инструкции KVM вызывает компонент пространства пользователя QEMU.
  • Крипто API : Эта подсистема предоставляет внутреннюю по отношению к ядру криптографическую библиотеку для всех компонентов ядра. Она обеспечивает криптографические примитивы для вызывающих сторон.

Ядро — это основная часть операционной системы. Оно взаимодействует непосредственно с аппаратными средствами, реализует совместное использование ресурсов, предоставляет общие сервисы для приложений, и предотвращает прямой доступ приложений к аппаратно-зависимым функциям. К числу сервисов, предоставляемых ядром, относятся:

1. У правление выполнением процессов, включая операции их создания, завершения или приостановки и межпроцессоного обмена данными. Они включают:

  • Равнозначное планирование процессов для выполнения на ЦП.
  • Разделение процессов в ЦП с использованием режима разделения по времени.
  • Выполнение процесса в ЦП.
  • Приостановка ядра по истечениии отведенного ему кванта времени.
  • Выделение времени ядра для выполнения другого процесса.
  • Перепланирование времени ядра для выполнения приостановленного процесса.
  • Управление метаданными, связанными с безопасностью процесса, такими как идентификаторы UID, GID, метки SELinux, идентификаторы функциональных возможностей.
2. Выделение оперативной памяти для исполняемого процесса. Данная операция включает в себя:
  • Разрешение, выдаваемое ядром для процессов, на совместное использование части их адресного пространства при определенных условиях; однако, при этом ядро защает собственное адресное пространство процесса от внешнего вмешательства.
  • Если система испытывает нехватку свободной памяти, ядро освобождает память путем записи процесса временно в память второго уровня или раздел подкачки.
  • Согласованное взаимодействие с аппаратными средствами машины, чтобы установить отображение виртуальных адресов на физические адреса, которое устанавливает соответствие между адресами, сгенерированными компилятором, и физическими адресами.
3. Обслуживание жизненного цикла виртуальных машин, которое включает:
  • Установление ограничений для ресурсов, сконфигурированных приложением эмуляции для данной виртуальной машины.
  • Запуск программного кода виртуальной машины на исполнение.
  • Обработка завершения работы виртуальных машин или путем завершения инструкции или задержкой завершения инструкции для эмуляции пространства пользователя.
4. Обслуживание файловой системы. Это включает в себя:
  • Выделение вторичной памяти для эффективного хранения и извлечения пользовательских данных.
  • Выделение внешней памяти для пользовательских файлов.
  • Утилизация неиспользованного пространства для хранения данных.
  • Организация структуры файловой системы (использование понятных принципов структурирования).
  • Защита пользовательских файлов от несанкционированного доступа.
  • Организация контролируемого доступа процессов к периферийным устройствам, таким как терминалы, лентопротяжные устройства, дисководы и сетевые устройства.
  • Организация взаимного доступа к данным для субъектов и объектов, предоставление управляемого доступа, основанного на политике DAC и любой другой политике, реализуемой загруженной LSM.
Ядро Linux относится к типу ядер ОС, реализующих планирование с вытеснением задач. В ядрах, не обладающих такой возможностью, выполнение кода ядра продолжается до завершения, т.е. планировщик не способен к перепланированию задачи в то время, когда она находится в ядре. Кроме того, планирование исполнения кода ядра осуществляется совместно, без вытесняющего планирования, и исполнение этого кода продолжается до момента завершения и возврата к пространству пользователя, либо до явной блокировки. В вытесняющих ядрах возможно выгрузить задачу в любой точке, пока ядро находится в состоянии, в котором безопасно выполнять перепланирование.

Под политикой безопасности организации понимают совокупность документиро­ванных управленческих решений, направленных на защиту информации и ассоции­рованных с ней ресурсов. Политика безопасности является тем средством, с помо­щью которой реализуется деятельность в компьютерной информационной системе организации. Вообще политики безопасности определяются используемой компь­ютерной средой и отражают специфические потребности организации.

Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты обычно обладают соб­ственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика безопасности в качестве согласованной плат­формы по обеспечению безопасности корпоративной системы. По мере роста ком­пьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.

Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, ко­торые четко предписывают, как должны выполняться конкретные задачи безопас­ности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, ме­неджер по персоналу может иметь доступ к частной информации любого сотруд­ника, в то время как специалист по отчетности может иметь доступ только к фи­нансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.

Политика безопасности определяет позицию организации по рациональному ис­пользованию компьютеров и сети, а также процедуры по предотвращению и реаги­рованию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик от бизнес-политик до специфич­ных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

Основные понятия политики безопасности

Политика безопасности определяет стратегию управления в области информаци­онной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признают­ся реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация кото­рой должна обеспечить информационную безопасность. Под эту программу выде­ляются ресурсы, назначаются ответственные, определяется порядок контроля вы­полнения программы и т.п.

Для того чтобы ознакомиться с основными понятиями политик безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, при­надлежащую некоей организации, и связанную с ней политику безопасности .

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом бо­лее конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматри­ваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно не­зависимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важ­ность защиты сетевой среды, описать их роль в обеспечении безопасности, а так­же распределить конкретные обязанности по защите информации, циркулирую­щей в сети.

Область применения. В сферу действия данной политики попадают все аппарат­ные, программные и информационные ресурсы, входящие в локальную сеть предприя­тия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации. Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

    обеспечение уровня безопасности, соответствующего нормативным докумен­там;

    следование экономической целесообразности в выборе защитных мер (рас­ходы на защиту не должны превосходить предполагаемый ущерб от наруше­ния информационной безопасности);

    обеспечение безопасности в каждой функциональной области локальной сети;

    обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

    обеспечение анализа регистрационной информации;

    предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

    выработка планов восстановления после аварий и иных критических ситуа­ций для всех функциональных областей с целью обеспечения непрерывности работы сети;

    обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безо­пасности до пользователей и за контакты с ними.

обеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты бе­зопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Более подробные сведения о ролях и обязанностях должностных лиц и пользо­вателей сети приведены ниже.

Санкции. Нарушение политики безопасности может подвергнуть локальную сетьи циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руковод­ством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут по­требоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик бе­зопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базо­вой политике специализированные политики безопасности. Организации меньше­го размера нуждаются только в некотором подмножестве специализированных по­литик. Многие из этих документов поддержки могут быть довольно краткими - объемом в одну - две страницы.

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний .

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Такие решения могут включать в себя следующие элементы:

    формулировка целей, которые преследует организация в области информа­ционной безопасности, определение общих направлений в достижении этих целей;

    формирование или пересмотр комплексной программы обеспечения инфор­мационной безопасности, определение ответственных лиц за продвижение программы;

    обеспечение материальной базы для соблюдения законов и правил;

    формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в об­ласти информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важ­ных баз данных, на первом плане должна стоятьцелостность данных. Для организа­ции, занимающейся продажами, важна актуальность информации о предоставляе­мых услугах и ценах, а также еедоступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться оконфиден­циальности информации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и коорди­нация использования этих ресурсов, выделение специального персонала для защи­ты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если поли­тика регламентирует некоторые аспекты использования сотрудниками своих до­машних компьютеров. Возможна и такая ситуация, когда в сферу влияния вклю­чаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выра­ботке программы безопасности и по проведению ее в жизнь, то есть политика мо­жет служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать суще­ствующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполни­тельскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровень политики безопасности определяет решение вопросов, касаю­щихся отдельных аспектов информационной безопасности, но важных для различ­ных систем, эксплуатируемых организацией.

Примеры таких вопросов - отношение к доступу в Интернет (проблема сочета­ния свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т.д.

Политика безопасности среднего уровня должна определять для каждого аспек­та информационной безопасности следующие моменты:

    описание аспекта - позиция организации может быть сформулирована в до­статочно общем виде как набор целей, которые преследует организацияв данном аспекте;

    область применения - следует специфицировать, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности;

    роли и обязанности - документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;

    санкции - политика должна содержать общее описание запрещенных дей­ствий и наказаний за них;

    точки контакта - должно быть известно, куда следует обращаться за разъяс­нениями, помощью и дополнительной информацией. Обычно «точкой кон­такта» служит должностное лицо.

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, - поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Приведем несколько примеров вопросов, на которые следует дать ответ при сле­довании политике безопасности нижнего уровня:

    кто имеет право доступа к объектам, поддерживаемым сервисом;

    как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений цело­стности, доступности и конфиденциальности, но она не должна на них останавли­ваться. В общем случае цели должны связывать между собой объекты сервисаи осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мера­ми. Обычно наиболее формально задаются права доступа к объектам.

Приведем более детальное описание обязанностей каждой категории персонала.

Руководители подразделений отвечают за доведение положений политики безо­пасности до пользователей. Они обязаны:

    постоянно держать в поле зрения вопросы безопасности. Следить за тем, что­бы то же самое делали их подчиненные;

    проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима бе­зопасности и выбирая эффективные средства защиты;

    организовать обучение персонала мерам безопасности. Обратить особое вни­мание на вопросы, связанные с антивирусным контролем;

    информировать администраторов локальной сети и администраторов серви­сов об изменении статуса каждого из подчиненных (переход на другую рабо­ту, увольнение и т.п.);

    обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающе­го достаточной квалификацией для выполнения этой роли.

Администраторы локальной сети обеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности. Они обязаны:

    обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

    оперативно и эффективно реагировать на события, таящие угрозу. Инфор­мировать администраторов сервисов о попытках нарушения защиты;

    использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относя­щуюся к сети в целом и к файловым серверам в особенности;

    не злоупотреблять своими большими полномочиями. Пользователи имеют право на тайну;

    разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обна­ружении и ликвидации вредоносного кода;

    регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

    выполнять все изменения сетевой аппаратно-программной конфигурации;

    гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

    периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопа­сности. Они обязаны:

    управлять правами доступа пользователей к обслуживаемым объектам;

    оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении ин­формации для их наказания;

    регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

    выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

    ежедневно анализировать регистрационную информацию, относящуюся к сер­вису. Регулярно контролировать сервис на предмет вредоносного программ­ного обеспечения;

    периодически производить проверку надежности защиты сервиса. Не допус­кать получения привилегий неавторизованными пользователями.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуа­циях. Они обязаны:

    знать и соблюдать законы, правила, принятые в данной организации, полити­ку безопасности, процедуры безопасности. Использовать доступные защит­ные механизмы для обеспечения конфиденциальности и целостности своей информации;

    использовать механизм защиты файлов и должным образом задавать права доступа;

    выбирать качественные пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

    информировать администраторов или руководство о нарушениях безопасно­сти и иных подозрительных ситуациях;

    не использовать слабости в защите сервисов и локальной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

    всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

    обеспечивать резервное копирование информации с жесткого диска своего компьютера;

    знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предуп­реждения проникновения вредоносного кода, его обнаружения и уничтоже­ния;

    знать и соблюдать правила поведения в экстренных ситуациях, последова­тельность действий при ликвидации последствий аварий.

Управленческие меры обеспечения информационной безопасности. Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее вы­полнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая по­литика безопасности, отражающая комплексный подход организации к защите сво­их ресурсов и информационных активов

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

  • Уточнение важности информационных и технологических активов предприятия;
  • определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
  • Определение рисков на угрозы активам;
  • Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
  • Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
  • Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

  • указывать на причины и цели создания политики безопасности;
  • осматривать, какие границы и ресурсы охватываются политикой безопасности;
  • определить ответственных по политике безопасности;
  • определить условие не выполнение и так званное наказание
  • политики безопасности должны быть реальными и осуществимыми;
  • политики безопасности должны быть доступными, краткими и однозначными для понимания;
  • должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

  • создание адекватной команды для создание политики;
  • решить вопросы об возникающих особенностях при разработки.
  • решить вопросы об области действии и цели создании политики;
  • решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на . Сделав основные шаги нужно проанализировать есть ли выход локальной сети( или ) в интернет. Ведь при выходе сети в интернет возникает вопрос о . Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и .Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

Рисунок 1

На этом этапе реализуются следующие шаги:

  • анализ которые непосредственно обозначены для объекта защиты;
  • оценка и идентификация цены информационных и технологических активов;
  • осмотр вероятности реализации угроз на практике;
  • осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

  • Вход , допустим это пользователь делает запрос на создания нового пароля;
  • , определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора ;
  • Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
  • Выход , это результат процесса. Получение пароля.

Рисунок 2

Компоненты архитектуры безопасности

Физическая безопасность , важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

  • открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
  • контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
  • особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Ресурсы делят на две категории, которые подвержены угрозам:

  • Ресурсы ОС;
  • Ресурсы пользователя.
  • Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру ;
  • должны определить полномочия для каждой системы и платформы;
  • проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

  • каждое нарушение безопасности должно давать сигнал события;
  • Одно событие не есть поводом для утверждения, они должны накапливаться;
  • должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Рисунок — 3

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

  • Анализ информационных предприятия, который могут нанести максимальный ущерб.
  • Создание политики безопасности, которая внедряет которые входят в рамки задач предприятия.
  • Разработать планы действий при ЧС для уменьшения ущерба.
  • Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.
  • Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
  • Осмотр бизнес-стратегии предприятия.
  • Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рисунок — 4

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

  • анализа информационных угроз и методов их уменьшения
  • создание норм и правил безопасности разных уровней предприятия
  • уточнение методов защиты, которые будут реализованы на предприятии
  • конкретное определение процедур безопасности
  • анализ ожиданий относительно результатов от сотрудников и компании в целом
  • реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Рисунок — 5

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз , сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

  • управление бизнесом
  • отдел защиты информации
  • техническое управление
  • департамент управления рисками
  • отдел системного/сетевого администрирования
  • юридический отдел
  • департамент системных операций
  • отдел кадров
  • служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

  • назначения ценности информационных активов
  • управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
  • управление информационной безопасностью
  • обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

  • Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
  • Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
  • Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
  • Комплексность — должны учитываться все направления безопасности.
  • Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
  • Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
  • Своевременность — все противодействия угрозам должны быть своевременны.
  • Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
  • Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
  • Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Таблица 1.

Система Описание Уровень риска Типы пользователей
АТМ-коммутаторы Основные сетевые устройства Высокий Сетевые администраторы
Сетевые маршрутизаторы Сетевые устройства распределения Высокий Сетевые администраторы
Коммутаторы доступа Сетевые устройства доступа Средний Сетевые администраторы
ISDN/dial up -серверы Сетевые устройства доступа Средний
Межсетевые экраны Сетевые устройства доступа Высокий Администратор безопасности
Серверы DNS и ВРСЗ Сетевые приложения Средний Сетевые и системные администраторы
Внешние почтовые серверы Сетевые приложения Низкий
Внутренние почтовые серверы Сетевые приложения Средний Администраторы и пользователи
Серверы баз данных Oracle Сетевые приложения Средний или высокий Администраторы баз данных и пользователи

Под предупреждением нарушений специалисты Cisco считают подтверждение модификаций в системах безопасности. К таким изменениям можно отнести:

  • списки контроля доступа
  • конфигурация межсетевых экранов
  • версия ПЗ
  • конфигурация SNMP

Также согласно RFC 2196 должна быть обработка инцидента. Обработка инцидента — алгоритм реагирования на разные ситуации. Шаги по обработке:

  • определения приоритета и типа атаки
  • анализ времени начала/конца атаки
  • анализ источника атаки
  • анализ затронутых устройств атакой
  • запись в журнал
  • действия по остановки или уменьшения последствий атаки
  • изолирования пострадавших участков системы
  • уведомление соответствующих лиц
  • защита доказательств атаки
  • восстановление работоспособности изолированных участков

Пример подхода компании Microsoft

В сеть предприятия каждый день приходит близко 8 млн. почтовых сообщений, и 6.5 млн сообщений циркулируют внутри компании. Microsoft создала стратегию безопасности, которая состоит из:

  • миссия корпоративной безопасности
  • принципы операционной безопасности
  • модель принятия решений, которая основана на осмотре рисков
  • тактическое определение приоритета работы по уменьшению рисков

Подход компании Symantec

Политика определяет, почему предприятие защищает свои данные и активы. Стандарты — что предприятие будет делать для защиты и управления безопасностью информации. Процедуры описывают, как именно предприятие будет выполнять то, что описано в документах выше стоящих. Компания Symantec описывает следующие этапы разработки политики безопасности.

  • Анализ и оценка информационных активов — что нужно защищать и с какими целями и задачами.
  • Анализ угроз безопасности — выявление источников потенциальных проблем. Анализ возможных ущербом относительно угроз.
  • Анализ информационных рисков — самый сложный этап, так как нужно определить вероятности угроз и сопутствующий ущерб.
  • Определение ответственности — выбор людей или команду которая должна заниматься такими вопросами на предприятии.
  • Создание комплексного документа — создание политики на основе дополнительных документов то ли законодательных то ли внутри корпоративных.
  • Реализация — Политика должна четко описывать механизмы реализации защитных действий.
  • Управление программой безопасности — область применения.

Что во внимании? Для эффективной работы политики нужно что бы:

  • учитывались цели бизнеса
  • была реальной
  • держала баланс между безопасностью и производительностью
  • все сотрудники могли ознакомится с содержимым политики
  • не противоречила другим документам компании и требованием законодательства
  • определяла четко ответственность сотрудников
  • была обновляемой

Вне зависимости от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ обычно состоят из следующих этапов (рисунок 1):

– определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;

– оценка рисков;

– выбор контрмер, обеспечивающих режим ИБ;

– управление рисками;

– аудит системы управления ИБ;

– выработка политики безопасности.

DIV_ADBLOCK315">

Этап 3. Структуризация контрмер по защите информации по следующим основным уровням: административному, процедурному, программно-техническому.

Этап 4. Установление порядка сертификации и аккредитации КИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, в том числе периодического пересмотра положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы в области ИБ. Известно, что выработка политики безопасности организации – наименее формализованный этап. Однако в последнее время именно здесь сосредоточены усилия многих специалистов по защите информации.

Этап 5. Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания. На этом этапе определяются границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ строится именно в этих границах. Само описание границ системы рекомендуется выполнять по следующему плану:

– структура организации. Представление существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы ;

– ресурсы информационной системы, подлежащие защите. Целесообразно рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методика получения результатов по этим критериям;

· выработка принципов классификации информационных активов компании и оценивания их защищенности;

· оценка информационных рисков и управление ими;

· обучение сотрудников компании методам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками компании;

· консультирование менеджеров компании по вопросам управления информационными рисками;

· согласование частных политик и регламентов безопасности среди подразделений компании;

· контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;

· взаимодействие со службой персонала компании по проверке личных данных сотрудников при найме на работу;

· организация мероприятий по устранению нештатных ситуаций или чрезвычайных происшествий в области защиты информации в случае их возникновения;

Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Обычно субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т. е. ее не искаженности .

Существует различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда – служебная информация. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т. п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства. Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО – пример подобного нарушения.

Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя. Например, "троянцы" Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows.

Угроза нарушения конфиденциальности

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".

Конфиденциальность информации – субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая н необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной. Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как «маскарад» – выполнение действий под видом лица, обладающего полномочиями для доступа к данным. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя.

В настоящее время наиболее распространены так называемые «фишинговые» атаки. Фи́шинг (fishing – рыбная ловля) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов (Rambler, Mail. ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники. ru). Целью фишеров сегодня являются клиенты банков и электронных платёжных систем . Так например в США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках в 2009 году.

Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.

Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.

Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливаливающей критерии для оценивания рисков и т.д.

Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа - задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть досточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.

BS ISO/IEC 27001:2005 4.2.1 b) Политика СУИБ:

Определить политику СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, которая:

    включает в себя основу для определения ее целей и устанавливает общее направление и принципы деятельности по отношению к информационной безопасности;

    учитывает требования бизнеса и требования законодательной или нормативной базы, а также контрактные обязательства в области безопасности;

    объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение СУИБ;

    устанавливает критерии для оценивания рисков (см. 4.2.1с)); и

    утверждена руководством.

ПРИМЕЧАНИЕ: В этом Международном стандарте политика СУИБ рассматривается в качестве надмножества политики информационной безопасности. Эти политики могут быть описаны в одном документе.

BS ISO/IEC 17799:2005 5.1.1 Документированная политика информационной безопасности:

Механизм контроля

Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.

Руководство по внедрению

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать следующие заявления:

    определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);

    заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;

    основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;

    краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:

      соответствие требованиям законодательства, нормативной базы и договоров;

      требования к повышению осведомленности, обучению и тренингам в области безопасности;

      управление непрерывностью бизнеса;

      последствия нарушений политики информационной безопасности;

    определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;

    ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

Другая информация

Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации. Дополнительная информация содержится в ISO/IEC 13335-1:2004.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить