Быть довольным в жизни - это приобретение большее, чем BugattiVeyron. Потому что, кто приобрел BugattiVeyron, все равно остался недоволен. © Александр Дьяков 1080 - | 854 - или читать все...
Обратная связь Пожаловаться на материал

Понятие, сущность и примеры процедур безопасности.


⇐ ПредыдущаяСтр 26 из 40Следующая ⇒

Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют как реализовываются политики безопасности.

Процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила создания паролей, правила о том, как защитить пароль и как часто заменять пароли. Процедура управления паролями описывает процессы создания новых паролей, распределения их, а также гарантированной смены паролей на критичных устройствах.

Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования его логина и пароля, применяемые сразу, как только данный пользователь увольняется из организации.

 

Процедура реагирования на события. Процедура является необходимым средством безопасности для большинства организаций и вступает в действие, когда обнаруживается вторжение в защищенную сеть организации или когда она сталкивается со стихийным бедствием.

Процедуру реагирования на события также называют процедурой обработки событий или процедурой реагирования на инциденты. К основным нарушениям безопасности относят: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, несанкционированный доступ и др.

 

Данная процедура определяет:

· à каковы обязанности членов команды реагирования;

· à какую информацию следует регистрировать и прослеживать;

· à как обрабатывать исследование отклонений от нормы и попытки вторжения;

· à кого уведомлять и когда;

· à кто может публиковать информацию и какова процедура ее выпуска;

· à как должен выполняться последующий анализ и кто будет в этом участвовать.

В команду реагирования могут быть включены должностные лица компании, менеджер отдела маркетинга (для связи с прессой), системный и сетевой администраторы и представитель соответствующих правоохранительных органов. Процедура должна указать, когда и в каком порядке они вызываются.

 

Процедура управления конфигурацией. Процедура определяется на корпоративном уровне или уровне подразделения. Она определяет процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений.

Процедура управления конфигурацией определяет:

· à кто имеет полномочия выполнять изменения конфигурации аппаратного и программного обеспечения;

· à как тестируется и инсталлируется новое аппаратное и программное обеспечение;

· à как документируются изменения в аппаратном и программном обеспечении;

· à кто должен быть проинформирован, когда вносятся изменения в аппаратном и программном обеспечении.

· Процесс управления конфигурацией важен по нескольким причинам:

· à он документирует внесенные изменения и обеспечивает возможность аудита;

· à он документирует возможный простой системы;

· à он дает способ координировать изменения так, чтобы одно изменение не помешало другому.

Схема разработки политики безопасности.

Разработка политики безопасности является ключевым этапом построения защищенной информационной системы или сети. Составление политики или политик безопасности является началом осуществления общей программы обеспечения безопасности организации. На основе разработанной политики безопасности создается детальная программа обеспечения безопасности, которая необходима для создания эффективной системы безопасности организации.

Основные этапы программы обеспечения безопасности включают в себя:

¨ определение ценности технологических и информационных активов организации;

¨ оценка рисков этих активов (сначала путем идентификации тех угроз, для которых каждый актив является целевым объектом, а затем оценкой вероятности того, что эти угрозы будут реализованы на практике);

¨ установление уровня безопасности, определяющего защиту каждого актива, то есть мер безопасности, которые можно считать рентабельными для применения;

¨ формирование на базе предыдущих этапов политики безопасности организации;

¨ привлечение необходимых финансовых ресурсов для реализации политики безопасности, приобретение и установка требуемых средств безопасности;

¨ проведение разъяснительных мероприятий и обучения персонала для поддержки сотрудниками и руководством требуемых мер безопасности;

¨ регулярный контроль пошаговой реализации плана безопасности с целью выявления текущих проблем, учета изменения внешнего окружения и внесение необходимых изменений в состав персонала.

К политикам безопасности предъявляются следующие основные требования:

¨ политики безопасности должны:

· указывать цели и причины, по которым нужна политика;

· описывать, что именно охватывается этими политиками;

· определить роли, обязанности и контакты;

· определить, как будут обрабатываться нарушения безопасности;

¨ политики безопасности должны быть:

· реальными и осуществимыми;

· краткими и доступными для понимания;

· сбалансированными по защите и производительности.

 

Первыми шагами по разработке политики безопасности являются следующие:

¨ создание команды по разработке политики;

¨ принятие решения об области действия и целях политики;

¨ принятие решения об особенностях разрабатываемой политики;

¨ определение лица или органа для работы в качестве официального интерпретатора политики.

 

Процесс проектирования политики безопасности целесообразно унифицировать. Унифицированный процесс проектирование политик безопасности состоит из следующих этапов.

Создание команды по разработке политики безопасности организации. Команда создается руководством организации, которое должно осознавать важность информационной безопасности и полностью реализовать свою позитивную роль в успешной разработке, принятии и внедрении этой политики.

В состав команды включают квалифицированных специалистов, хорошо разбирающихся в требованиях бизнеса, информационных технологиях и безопасности, юриста и члена руководства, который сможет проводить в жизнь эту политику безопасности. К работе этой команды должны быть также привлечены администраторы безопасности и системные администраторы, представитель от сообщества пользователей.

Размер команды по разработке политики зависит от масштаба и области действия политики. Крупномасштабные политики могут потребовать команды из 5÷10 человек, в то время как для политики небольшого масштаба достаточно только одного или двух человек.

Анализ требований бизнеса. Члены команды с различными позициями и точками зрения должны проанализировать требования бизнеса к использованию компьютерных и сетевых сервисов. Когда мнения некоторых членов этой команды не совпадают, столкновения их интересов и пересечения разных отраслей знания при обсуждении требований бизнеса позволяют получить более полную и объективную картину, чем при обычном опросе людей, работающих в области маркетинга, продаж или разработки.

На этом этапе анализируются и решаются следующие вопросы:

· какие компьютерные и сетевые сервисы требуются для бизнеса и как эти требования могут быть удовлетворены при условии обеспечения безопасности?

· скольким сотрудникам необходимы доступ в Интернет, использование электронной почты и интранет-сервисов?

· зависят ли компьютерные и сетевые сервисы от удаленного доступа к внутренней сети?

· имеются ли требования по веб-доступу?

· требуются ли клиентам данные технической поддержки через Интернет?

Анализ рисков. Использование информационных систем и сетей связано с определенной совокупностью рисков. Этот этап является важнейшим этапом формирования политики безопасности (рис. 2.2).

На этапе анализа рисков осуществляются следующие действия:

· идентификация и оценка стоимости технологических и информационных активов;

· анализ тех угроз, для которых данный актив является целевым объектом;

· оценка вероятности того, что угроза будет реализована на практике;

· оценка рисков этих активов.

Оценка риска выявляет как самые ценные, так и наиболее уязвимые активы, она позволяет точно установить, на какие проблемы нужно обратить особое внимание. Отчет об оценке рисков является инструментом при формировании политики сетевой безопасности.

 

Установление уровня безопасности. Здесь определяется защита каждого актива, то есть меры безопасности, которые можно считать рентабельными для применения. Стоимость защиты конкретного актива не должна превышать стоимости самого актива.

Рис. 2.2. Схема разработки политики безопасности

С этой целью составляется подробный перечень всех активов, который включает такие материальные объекты, как серверы и рабочие станции, и такие нематериальные объекты, как данные и программное обеспечение. Идентифицируются каталоги, которые содержат конфиденциальные файлы или файлы целевого назначения. После идентификации этих активов проводится определение стоимости замены каждого актива с целью назначения приоритетов в перечне активов.

Переоценка рисков. Производится с целью контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

 

После проведения описанной выше работы переходят к непосредственному составлению политики безопасности. В политике безопасности орга­низации должны быть определены используемые стандарты, правила и процессы безопасности.

Стандарты указывают, каким критериям должно следовать управление безопасностью. Правила подробно описывают принципы и способы управления безопасностью. Процессы должны осуществлять точную реализацию правил в соответствии с принятыми стандартами.

Кроме того, политика безопасности должна определить значимые для безопасности роли и указать ответственности этих ролей. Роли устанавливаются во время формирования процессов.

Обычно процесс состоит из одного или более действий, где каждое действие включает четыре компонента (рис. 2.3):

 

Рис. 2.3. Графическое представление действия в рамках процесса

 

1. Вход, например запрос пользователем нового пароля.

2. Механизм, реализующий данное действие и указывающий средства или роли, с помощью которых это действие выполняется. Он определяет, какие роли вовлечены в это конкретное действие (например, пользователь, запрашивающий новый пароль, и администратор безопасности).

3. Управление – описывает алгоритм или условия, которые управляют этим действием (например, при запросе нового пароля инициатор запроса должен успешно пройти аутентификацию).

4. Выход – является результатом этого действия (например, сообщение пользователю нового пароля).

Компоненты архитектуры безопасности: физическая безопасность, логическая безопасность, защита ресурсов, определение административных полномочий, роли и ответственности в безопасности сети, аудит и оповещение.

Руководство по архитектуре безопасности детально определяет контрмеры против угроз, раскрытых при оценке рисков. Руководство описывает компоненты архитектуры безопасности сети, рекомендует конкретные продукты безопасности и дает инструкции, как их развернуть и управлять ими. В частности, это руководство может содержать рекомендации, где следует поставить межсетевые экраны, когда использовать шифрование, где разместить веб-серверы и как организовать управление коммуникациями с бизнес-партнерами и заказчиками. Руководство по архитектуре безопасности определяет также гарантии безопасности, аудит и средства контроля.

Физическая безопасность. Физическая защита ресурсов и активов организации достигается с помощью аппаратных средств и размещения соответствующих компьютерных и коммуникационных средств в физически защищенных помещениях или зонах.

Без обеспечения физической безопасности будут подвергаться серьезным угрозам такие важные аспекты информационной безопасности, как конфиденциальность, доступность и целостность информации. Реализация физической защиты заключается в определении тех компонентов компьютерной среды, которые должны быть физически защищены. К таким компонентам относятся:

¨ центральные процессоры и системные блоки;

¨ компоненты инфраструктуры локальной сети LAN (системы управления LAN, мосты, маршрутизаторы, коммутаторы, активные порты и др.);

¨ системы, связанные с LAN;

¨ медиа-память.

Затем устанавливают два или три типа областей с различными уровнями безопасности, такими как:

¨ открытые области – в них допускаться все сотрудники компью­терной среды;

¨ контролируемые области – они должны быть закрыты, когда находятся без присмотра;

¨ особо контролируемые области – области, куда ограничен доступ даже зарегистрированным авторизованным пользователям.

Далее каждая такая область назначается одному компоненту системы или топологии системных компонентов в зависимости от степени их конфиденциальности.

 

 

Логическая безопасность. Она характеризует уровень защиты ресурсов и активов в сети. Логическая безопасность включает средства безопасности, осуществляющие идентификацию и аутентификацию пользователей, управление доступом, межсетевое экранирование, аудит и мониторинг сети, управление удаленным доступом и т.д.

 

Защита ресурсов. Ресурсы (файлы, базы данных, программы, данные) делятся на две группы:

 

1. Ресурсы операционной системы – объекты данных, которые связаны с системными сервисами или функциями; они включают системные программы и файлы, подсистемы и программные продукты. Ресурсы операционной системы обычно находятся под управлением и ответственностью провайдера сервиса. Ресурсы операционной системы не всегда являются ограниченными для чтения, хотя список исключений должен быть установлен и соответственно защищен. Типичным примером такого исключения является база данных, в которой хранятся пароли и идентификаторы пользователей.

2. Ресурсы пользователей – объекты данных, которые связаны с отдельными пользователями или группами пользователей. Ресурсы пользователей должны быть защищены в соответствии с требованиями собственника данных.

 

Определение административных полномочий. Некоторые из пользователей, находящихся в сети, имеют особые полномочия. Такие полномочия нужны для управления компьютерными системами и безопасностью. Эти административные полномочия можно разделить на две категории:

¨ полномочия системного администратора;

¨ полномочия администратора безопасности.

Полномочия системного администратора позволяют администратору выполнить действия, необходимые для управления компьютерными системами. Эти полномочия могут дать возможность администратору обойти контроль безопасности, но это должно рассматриваться как злоупотребление полномочиями.

Полномочия администратора безопасности дают возможность администратору выполнять действия, необходимые для управления безопасностью. Эти полномочия позволяют администратору осуществлять изменение системных компонентов или считывать конфиденциальные данные. Однако, если считывание конфиденциальных данных выполнено администратором без соответствующей потребности бизнеса, это должно рассматриваться как злоупотребление своими полномочиями.

 

 

Полномочия системного администратора и администратора безопасности являются одинаково важными для безопасности. С учетом этого необходимо выполнить следующее:

¨ определить для каждой системной платформы или системы управления доступом те полномочия, которые могут быть признаны в указанных категориях;

¨ назначить полномочия администраторам в соответствии с индивидуальной ответственностью;

¨ периодически проверять назначение идентификаторов авторизованным пользователям.

Дата добавления: 2018-06-01; просмотров: 980; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая21222324252627282930Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.037)