УК Украины УК РФ  
Защита... потому что это наше дело

Захист. Бо то є наша справа

Автора!
 

eManual.ru - вся техническая документация
Система авторегистрации в каталогах, статьи про раскрутку сайтов, web дизайн, flash, photoshop, хостинг, рассылки; форум, баннерная сеть, каталог сайтов, услуги продвижения и рекламы сайтов

Аналитика

Улаживание происшествий с безопасностью

Введение в обнаружение происшествия

Методы обнаружения происшествия

Ответные действия

Ответственность должностных лиц за безопасность

Допустимое использование

Сохранение конфиденциальности личной информации (privacy)

Обучение пользователей

Заключение

Происшествие с безопасностью - это событие, которое нанесло или может нанести вред (отрицательно сказаться на) работе компьютеров и сетей, последствием которого могут быть компьютерное мошенничество, использование компьютеров не по назначению, потеря или разрушение собственности организации или информации. Примерами происшествий являются проникновения в компьютерные системы, использование уязвимых мест в компьютерных системах, заражение компьютеров вирусами или другими вредоносными программами.

Хотя при защите соединения с Интернет в основном защищаются от внешних угроз, неправильное использование соединений с Интернет внутренними пользователями часто тоже является значительной угрозой. (Как показывает статистика, основное количество происшествий с безопасностью (более 75%) происходит именно по вине сотрудников фирм). Внутренние пользователи могут получить доступ к большому числу внутренних баз данных через VPN или интранеты, которого не имели ранее. Они могут также взаимодействовать с другими системами в Интернет, что может привести к тому, что ваш компьютер станет компьютером, с которого будет организована атака. Улаживание происшествий должно охватывать и внутренние происшествия, а не только те, которые вызываются внешними угрозами.

Введение в обнаружение происшествия

Обнаружение происшествия играет важную роль в реализации политики безопасности организации. Вместе с развитием информационных систем должны развиваться и системы безопасности для поддержания своей эффективности. Использование распределенных систем привело к появлению большого числа уязвимых мест. Требуются гарантии того, что сеть безопасна. Системы обнаружения происшествий могут частично обеспечить такие гарантии.

Обнаружения происшествия выполняет две важные функции в защите информационных ценностей.

Во-первых, оно является обратной связью, позволяющей уведомить сотрудников отдела информационной безопасности об эффективности компонент системы безопасности. Отсутствие обнаруженных вторжений при наличии надежной и эффективной системы обнаружения происшествий является свидетельством того, что оборона периметра надежна.

Во-вторых, оно является пусковым механизмом, приводящим в действие запланированные ответные меры безопасности.

Эта статья содержит обзор различных методов, которые могут быть использованы для обнаружения вторжения в компьютерные информационные системы. Приводится достаточно представительный список средств, которые используют организации сегодня, так как постоянно будут появляться новые средства. Не все из этих средств могут быть использованы в любой сети. Вместо этого вы должны использовать те средства, которые являются уместными в контексте ваших ценностей, вашей оценки риска, вашего обоснования затрат на защиту, и ваших ресурсов, которые могут быть использованы в таких ситуациях. Безопасность обычно реализуется с помощью комбинации технических и организационных методов. Необходимо принять решение о том, какую роль будут играть технические методы в реализации или обеспечении безопасности. Методы, приведенные здесь, в основном являются техническими, но некоторые из них нуждаются в сопровождении организационными мерами, связанными с ними.

Методы обнаружения происшествия

Обнаружение происшествия может быть реализовано несколькими способами, и выбор метода должен основываться на типе защищаемой сети, используемой системе для защиты периметра, и уровня защиты, требуемого политикой безопасности организации. Независимо от того, какой метод используется, организация должна иметь специальную группу для расследования происшествий. Это могут быть ответственные за прием звонков от пользователей о подозрениях на происшествие или это может быть специальная группа, использующая предупредительные меры и средства для предотвращения происшествий.

Одним из методов является пассивное ожидание заявлений от пользователей о подозрительных событиях. Обычно в заявлениях может сообщаться, что какие-то файлы изменились или были удалены, или что диски на серверах заполнены до отказа по непонятным причинам. Достоинством этого метода является то, что его легко реализовать. Но у него имеется ряд серьезных недостатков. Такой метод не обеспечит дополнительной защиты информационных систем или гарантий выполнения политики безопасности. Умные атакующие вообще не будут делать ничего такого, что приведет к появлению подозрительных симптомов. Со временем станет ясно, что сеть была атакована, но будет слишком поздно, чтобы предотвратить ущерб организации. В худшем случае первым признаком того, что что-то не в порядке, может оказаться появление в организации сотрудников правоохранительных органов или репортеров.

Другим методом является периодический анализ журналов, поиск в них сообщений о необычных событиях. Такими событиями могут быть большое число неудачных попыток аутентификации, большое число попыток нарушить полномочия по доступу к файлам, необычные пакеты в сетевом трафике, и т.д. Этот метод обеспечивает некоторую дополнительную защиту по сравнению с пассивным ожиданием заявлений от пользователей. При довольно частом аудите он может дать достаточно информации, чтобы ограничить последствия атаки. Как правило, современные компьютеры и сети предоставляют требуемые возможности по аудированию в качестве опций конфигурации систем. Часто эти возможности по умолчанию отключены и должны быть явно включены. Этот метод требует принятия постоянных организационных мер. Его эффективность зависит от согласованного и частого просмотра администраторами системных журналов. Если протоколирование встроено в операционную систему или приложение, и эта операционная система или приложение недостаточно защищены от атак, этот метод может быть обойден умными атакующими, которые скрывают свои следы с помощью отключения режима протоколирования в ходе их проникновения, или путем очистки системных журналов.

Можно легко создать средства мониторинга на основе стандартных утилит операционной системы, используя вместе различные программы. Например, может быть создан список контрольных проверок правильности установок полномочий по доступу к файлам. Этот список может потом периодически сопоставляться с текущими установками полномочий по доступу. Различия могут свидетельствовать о неавторизованных модификациях, произведенных в системе.

Важно не делать наблюдение по графику!!!

Системные администраторы могут периодически выполнять многие из команд, используемых для наблюдения, в течение дня. Если они, кроме того, выполняют ряд команд в случайные моменты времени, злоумышленнику становится труднее предсказать ваши действия. Средства проверки целостности для Unix, такие как Tripwire, вычисляют эталонные контрольные суммы для файлов или файловых систем, а при последующих проверках вычисляют заново и сравнивают с эталонными для обнаружения модификаций. Эти средства требуют опытного администратора для установки. Требуются определенные затраты времени системного администратора, чтобы гарантировать правильность проверок целостности. Так как механизмы безопасности не являются частью операционной системы или приложения, становится гораздо менее вероятным, что атакующий сможет скрыть свои следы. Эти средства могут быть полезны только для выявления атак, связанных с модификацией системных модулей и не могут выявить другие атаки, например, те, в ходе которых информация крадется с помощью копирования файлов.

Сигналы тревоги и предупреждения от систем управления доступом периметра безопасности могут являться признаком начала атаки. Некоторые системы управления доступом, такие как брандмауэры и системы управления доступа удаленных пользователей, могут быть сконфигурированы так, что будут подавать сигналы тревоги при нарушении определенных правил доступа, превышения числа ошибок и т.д. Эти сигналы тревоги могут быть звуковыми, визуальными, сообщениями электронной почты, сообщениями пейджера или сообщениями системам управления сетью, например, SNMP- пакетами. После установки эти средства обнаружения достаточно просто администрировать, так как система может быть сконфигурирована так, что будет посылать сигналы тревоги сетевому администратору, который уже наблюдает за другими параметрами состояния сети, то есть специально выделенный сотрудник не требуется. Тем не менее, будут обнаруживаться только те происшествия, в ходе которых злоумышленник пересекает периметр безопасности. Вторжения из внешних сетей через скрытые или неизвестные каналы не будут обнаружены, так же, как и неавторизованный доступ к критическим серверам сотрудниками организации. Другим фактором, который надо учитывать, является то, что если атакующий смог проникнуть через периметр безопасности системы, то нет гарантий, что он не отключил подачу сигнала тревоги на этой системе.

Существуют автоматизированные средства, которые выполняют анализ трафика в реальном масштабе времени, и используют экспертные системы для обнаружения необычной активности, которая может оказаться признаком атаки. Эти средства могут размещаться на отдельном хосте и устанавливаться на каждой критической системе, или выполнять функции по контролю сегментов сетей и устанавливаться в центральных местах для наблюдения за трафиком. После установки этих средств могут быть обнаружены как внешние, так и внутренние атаки. Так как они не зависят от операционной системы, установленной на сервере или хосте и систем управления доступом периметра безопасности, то атакующим, даже если они и проникли в эти системы, гораздо труднее обойти их.

Успешность применения этих систем зависит от точности предсказания последовательностей событий, являющихся признаками проникновения, и это не всегда возможно. Если программа настроена на слишком специфическую последовательность событий, то поведение реального атакующего может не соответствовать ему. Если же указаны слишком общие последовательности событий, то система будет выдавать слишком много ложных сигналов тревоги. Этот подход требует использования сложных методик, которые могут чрезмерно усложнить использование этого средства.

Существуют также средства, которые анализируют статистические аномалии и делают на их основе выводы о наличии атаки. Это делается путем создания статистического профиля различных субъектов сетевой активности, таких как отдельные пользователи, группы пользователей, приложения, сервера и т.д., и последующего наблюдения за поведением таких субъектов. Если наблюдаемое поведение выходит за рамки статистического профиля, то это - признак возможной атаки. Этот подход также требует использования сложных методик, которые сильно затрудняют использование этого средства.

Использование электронных подписей для программ может помочь установить авторство модулей программ. При периодическом анализе подлинности модулей в защищаемых системах можно выявить подмену программ злоумышленником. Этот подход теоретически позволяет защититься от атак, которые не обнаруживаются средствами периметра безопасности сети, от таких атак, которые используют скрытые каналы, или от атак внутренних пользователей, которые достаточно умны, чтобы обойти средства защиты хоста. Возможные достоинства этого подхода должны быть сопоставлены с низкой вероятностью атак такого рода и сложностью защиты, а также его возможностями обнаружить только модификации программ, такие как замена программ троянскими конями.

Ответные действия

Политика компьютерной безопасности должна определить, какой подход должен использоваться сотрудниками организации в ходе ответных мер при подозрении на атаку. Порядок действий в таких ситуациях должен быть определен заранее и размножен в письменном виде. Должен быть учтен ряд типовых проблем, возникающих при происшествии, чтобы их решение было логичным с точки зрения интересов организации, а не подсказанным паникой, которая может возникнуть при обнародовании факта атаки. Ниже приводятся вопросы, на которые надо обязательно заранее дать ответ:

  • Кто будет отвечать за принятие решений об ответных действиях? Следует ли привлекать сотрудников правоохранительных органов? Будет ли ваша организация сотрудничать с другими при попытках установить личность злоумышленника?
  • Будет ли атака отражена сразу после ее обнаружения, или вы позволите потенциальному злоумышленнику продолжить свои действия? Если вы позволите ему продолжать, то могут быть получены дополнительные улики, позволяющие выявить способ атаки, что позволит предотвратить ее в будущем, а также возможно выследить злоумышленника и довести дело до суда.

Ответы на эти вопросы должны быть частью порядка улаживания происшествия. Если такой порядок не определен, то его надо разработать. Системы обнаружения атаки и порядок улаживания происшествия, кратко описанные здесь, являются только частью программы компьютерной безопасности в организации. Хотя отдельные компоненты имеют самостоятельную ценность (управление доступом, обнаружение атаки, и т.д.), чтобы результат был максимальным, все компоненты должны быть согласованы друг с другом на основании политики безопасности, разработанной для конкретной сети.

Политика обнаружения атаки - низкий риск

Программно-аппаратные средства:

  • Функции протоколирования в операционных системах и приложениях должны быть включены на всех хостах и серверах.
  • Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.

Организационные меры:

  • Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.
  • Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.
  • Должен производиться еженедельный анализ системных журналов хостов и серверов во внутренней, защищенной сети.
  • Пользователи должны знать о необходимости сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.
  • Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.

Политика обнаружения атаки -средний риск

  • Программно-аппаратные средства:
  • На всех хостах и серверах должны быть включены функции протоколирования.
  • Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.
  • Все критические сервера должны иметь дополнительные средства наблюдения за работой пользователей.
  • На всех важных серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой.
  • Таким образом должны быть защищены сервера DNS, сервера аутентификации, сервера безопасности для Unix, контроллеры домена и сервера Exchange для среды Windows NT, и любые сервера приложений, которые считаются важными для решения задач организации.

Организационные меры:

  • Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.
  • Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.
  • Должен производиться еженедельный анализ системных журналов хостов и серверов во внутренней, защищенной сети.
  • Пользователи должны пройти курс обучения и знать о необходимости сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.
  •  Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.
  • Должны периодически запускаться средства обнаружения атаки на хост, такие как tripwire.
  • Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью и обмениваться информацией об угрозах, уязвимых местах и происшествиях.
  • Если критические системы не были скомпрометированы, организация должна сначала попытаться выследить злоумышленника, а потом устранить последствия атаки.
  • (ФИО сотрудника) отвечает за принятие решения о том, какие действия будут приниматься для устранения уязвимых мест или попыток получить дополнительную информацию о злоумышленнике. Этот человек должен иметь образование, позволяющее решать юридические проблемы, возникающие в связи с происшествием.

Политика обнаружения атаки - высокий риск

Программно-аппаратные средства:

  • На всех хостах и серверах должны быть включены функции протоколирования.
  • Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.
  • На всех серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой.
  • На всех критических серверах должны быть установлены дополнительные средства обнаружения атак, которые работают по принципам, отличным от тех, которые используются основными средствами этого рода, установленными на всех серверах.
  • Например, если основным средством обнаружения атаки является tripwire, которое использует сравнение контрольных сумм для проверки целостности системы, то на важных серверах должны быть установлены экспертные системы, использующие статистические аномалии для выявления атаки.
  • Во всех местах сети, в которых происходит концентраций трафика, должны быть установлены средства обнаружения атак, следящие за появлением в трафике признаков атак, соответствующим признакам, имевшим место при известных атаках.

Организационные меры:

  • Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.
  • Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.
  • Должен производиться ежедневный анализ системных журналов хостов и серверов во внутренней, защищенной сети.
  • Пользователи должны пройти курс обучения и знать о необходимости сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.
  • Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.
  • На всех хостах должны ежедневно запускаться средства обнаружения атаки на хост, такие как tripwire.
  • Системы анализа трафика для обнаружения вторжения должны периодически проверяться на предмет правильности работы и корректной конфигурации.
  • Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью и обмениваться информацией об угрозах, уязвимых местах и происшествиях.
  • Организация должна попытаться возбудить уголовное дело против злоумышленника, но не должна оставлять не заделанными уязвимые места, чтобы получить больше информации о злоумышленнике.

Организационные меры:

  • Политика безопасности Интернет должна быть тесно связана с повседневным использованием Интернет сотрудниками организации и повседневным управлением сетью и компьютерами. Она также должна быть интегрирована в культуру организации посредством обучения.

Ответственность должностных лиц за безопасность

Этот документ в основном описывает технические стороны политики. Но административные вопросы, такие как распределение обязанностей за поддержание безопасности, порой более важны.

Этот раздел описывает дополнительные аспекты безопасности в Интернет, которые должны быть учтены с помощью организационных мер.

Помимо массы технических и административных обязанностей сетевого администратора, связанных с поддержанием работоспособности сетей организации, ряд его обязанностей напрямую связан с соединением с Интернет. Этот раздел описывает проблемы, которые не были рассмотрены в других разделах.

  • Распределение ответственности за поддержание безопасности.
  • Наказание за нарушение политики безопасности.
  • Допустимое использование Интернет, включая ограничение на доступ к определенным WWW-сайтам или группам новостей USENET, и т.д., в соответствии с политикой организации.
  • Разработка политики в отношении конфиденциальности личной информации, включая электронную почту и наблюдение за сетью.
  • Ответственность должностных лиц за безопасность

Успех политики безопасности больше зависит от усилий и опытности людей, реализующих политику, чем от сложных технических средств контроля. Эффективная безопасность в Интернет начинается с сетевого администратора (часто называемого администратором ЛВС или системным администратором).

Сетевые администраторы отвечают за реализацию безопасности в ЛВС в той степени, в которой это требуется при соединении с Интернет. Если имеется несколько сетевых администраторов, важно, чтобы их обязанности были согласованы. Например, атака на веб-сервер организации может потребовать приведения в действие планов обеспечения непрерывной работы и восстановления веб-сервера, выполняемых веб-администратором, а также усиления наблюдения за сетью и ее аудирования, выполняемых сетевым администратором, и усиленного контроля потоков данных через брандмауэр, выполняемого администратором брандмауэра.

От размера сети организации зависит, какие административные функции должны выполняться одним и тем же человеком или группой людей.

Организация должна явно указать ФИО сотрудника или отдел, ответственный за поддержание безопасности соединения с Интернет. Часто эта обязанность возлагается на сетевого администратора, но может быть дана и отдельной организации, профессионально занимающейся компьютерной безопасностью. В этом случае, сетевой администратор и ответственный за безопасность должны хорошо координировать свои действия и ответственный за безопасность должен хорошо разбираться в технических деталях протоколов в Интернет.

Сотрудник или отдел, ответственный за безопасность в Интернет, может иметь большие технические возможности, позволяющие ему конфигурировать брандмауэр, создавать и удалять пользователей систем и просматривать системные журналы. За этими действиями должно осуществляться наблюдение с помощью принципа разделения обязанностей (если есть несколько сетевых администраторов) или путем тщательного отбора человека на эту должность.

Недовольный или вступивший в сговор с преступниками сетевой администратор - это очень большая проблема !!!

Организации с высоким риском могут использовать следующие политики:

  • При выборе кандидатур на ключевые должности должен осуществляться тщательный отбор. Кандидаты на такие важные должности как системный или сетевой администратор, сотрудник отдела безопасности и другие должности, которые считаются руководством организации важными, должны пройти тщательный отбор перед тем, как им будут даны их полномочия.
  • Сотрудникам, назначенным на должности системных и сетевых администраторов и другие должности, доступ предоставляется последовательно. Другими словами, новый сотрудник, назначенный на должность администратора, не получает всех полномочий в системе, если его работа не требует этого. Если его обязанности увеличиваются, он получает больше привилегий.
  • Начальники системных и сетевых администраторов отвечают за определение круга их обязанностей таким образом, чтобы администраторы не имели чересчур много системных и сетевых привилегий.
  • К сожалению, политику безопасности не всегда соблюдают. Для любой из политик, рассмотренных в этом руководстве, организации стоит указать наказания за несоблюдение политики. Для большей части политик наказывать необходимо только тогда, когда нарушение является серьезным.
  • Администратор ЛВС может временно блокировать доступ любого пользователя, если это требуется для поддержания работоспособности компьютера или сети. (Более строгая политика может потребовать получения разрешения от ответственного за информационную безопасность перед блокированием или разблокировкой доступа).

Допустимое использование

Организациям необходимо определить правила допустимого использования Интернет, аналогично тому, как определяются правила использования служебного телефона. Хотя кажется, что можно просто сказать что-то вроде следующего "Интернет может использоваться только для коммерческих задач организации", это требование является невыполнимым. Если политика не может быть реализована, то нарушения неизбежны и политика не сможет быть основанием для применения к нарушителям наказаний.

Организации с высоким уровнем риска, которых не устраивает вариант периодического использования Интернет сотрудниками в личных целях, могут принять некоторое альтернативное решение, более уместное и реализуемое в рамках конкретной организации:

Для использования Интернет сотрудниками необходимо использовать либо отдельный канал связи, либо коммутируемое подключение у провайдера Интернет. Машины, использующие этот сервис, не должны быть соединены с внутренними сетями и могут использоваться периодически в соответствии с политикой организации в отношении допустимого использования Интернет.

Могут использоваться программные средства, такие как брандмауэр, для блокирования доступа к сайтам в Интернет, не включенным в список разрешенных в организации сайтов.

Для организаций с любым уровнем риска некоторые виды использования соединения с Интернет должны быть запрещены в любом случае. Такими видами использования являются:

  • компрометация персональных данных пользователей
  • внесение помех в работу компьютеров или искажение программ и данных, находящихся на компьютерах
  • использование компьютерных систем и их ресурсов по назначению
  • чрезмерное использование ресурсов, которые нужны для работы организации (люди, пропускная способность канала, процессорное время)
  • использование нелицензионных копий программ
  • использование компьютера для начала атаки на другие компьютерные системы
  • использование государственных, корпоративных или университетских компьютеров для личных целей или в целях, для которых они не предназначены
  • неавторизованное сканирование и зондирование, а также другое
  • исследование узлов сети недопустимым образом
  • использование, приводящее к загрузке, выгрузке, модификации или удалению файлов на других машинах сети, на которых такие действия считаются неавторизованными.

Независимо от типа политики организации в области допустимого использования Интернет главным фактором, влияющим на поведение пользователей, является их обучение. Пользователи должны быть знать, что они являются составной частью репутации организации и использование ими Интернет влияет на репутацию. Пользователи должны знать, что каждое посещение ими сайтов Интернет оставляет на них следы, и знать, почему организация оставляет за собой право наблюдать за использованием Интернет. Администраторы должны знать о своих обязанностях в отношении используемых программно-аппаратных средств (например, для блокирования доступа к сайтам, наблюдения за работой) для реализации принятой в организации политики.

Политика использования Интернет - низкий риск

  • Интернет считается важной ценностью организации.
  • Пользователям рекомендуется использовать Интернет и учиться делать это профессионально.
  • С помощью такого открытого доступа сотрудники должны лучше выполнять свои обязанности.
  • Сотрудники не должны использовать Интернет для своих личных целей, и не должны посещать вредные и порнографические сайты, а также не должны получать доступ или использовать информацию, которая считается оскорбительной.
  • Деятельность сотрудников, нарушающих это, будет контролироваться и они будут наказаны, вплоть до уголовного наказания.
  • Доступ к Интернет с компьютера, принадлежащего организации или через соединение, принадлежащее организации, должен соответствовать требованиям политик, касающихся допустимого использования техники организации.
  • Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.
  • Пользователи, посылающие письма в группы новостей USENET и списки рассылки, должны включать пункт о том, что это их личное мнение, в каждое сообщение.
  • Невозможно составить список всех возможных видов неавторизованного использования, поэтому дисциплинарные наказания применяются только после того, как другие способы исчерпали себя.

Примерами неприемлемого использования, которое приводит к наказаниям, являются :

  • неавторизованные попытки получить доступ к компьютеру
  • использование рабочего времени и ресурсов организации для личной выгоды
  • кража или копирование файлов без разрешения
  • посылка конфиденциальных файлов организации во внешние компьютеры или в другие внутренние компьютеры неавторизованными на это людьми
  • отказ помогать сотрудникам отдела информационной безопасности, посылка писем- пирамид по электронной почте.

Политика использования Интернет - средний риск

  • Компьютеры и сети организации могут использоваться только для выполнения служебных обязанностей.
  • Допускается редкое их использование в личных целях.
  • Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение.
  • Все сотрудники должны бережно использовать свои компьютеры.

Другой подход может быть таким:

  • Сетевое оборудование организации, включая сервера, доступные из Интернет, а также подключенные к ним компьютеры и установленные на них программы могут использоваться только для разрешенных целей.
  • Начальники подразделений могут разрешить иногда иной доступ, если он не мешает выполнять служебные обязанности, не является слишком продолжительным и частым, служит интересам организации, таким как повышение квалификации ее сотрудников, и не приводит к дополнительным расходам для организации.
  • Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения, выраженная в письме - личная точка зрения, а не точка зрения организации.
  • Личные бюджеты пользователей онлайновых сервисов не должны использоваться с компьютеров организации.
  • Для получения доступа к платным сервисам с компьютера организации, она должна предварительно осуществить подписку на них и заплатить за это деньги.
  • Пользователям выдаются пароли для работы на компьютерах организации, чтобы защитить критическую информацию и сообщения от неавторизованного использования или просмотра.
  • Такие пароли не защищают от просмотра информации руководством организации.
  • Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей.
  • Начальники подразделений отвечают за обеспечение гарантий того, что их подчиненные понимают политику допустимого использования Интернет.
  • Доступ к Интернет с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации.
  • Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Политика использования Интернет - высокий риск

  • Организация полностью соединена с Интернет и другими сетями.
  • В целом, пользователи имеют неограниченный доступ к сети. Но доступ из Интернет или других сетей к ресурсам организации разрешен только тогда, когда это требуется для выполнения служебных обязанностей.
  • Для личного использования Интернет сотрудниками имеется отдельный сервер доступа. Этот сервис должен использоваться только для отдельных сотрудников с обоснованием доступа к нему. С его помощью можно получать доступ только с тем сайтам, которые одобрены организацией. Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры. Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения, выраженная в письме - личная точка зрения, а не точка зрения организации.
  • Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей
  • Доступ к Интернет с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации.
  • Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Сохранение конфиденциальности личной информации (privacy)

Политика конфиденциальности личной информации при использовании Интернет должна быть согласована с политиками конфиденциальности личной информации в других областях. Хотя технически довольно просто наблюдать за сотрудниками, это плохая идея (но очень высокоэффективная при проведении любых расследований). На безопасность очень большое влияние оказывает мораль сотрудников.

Сотрудники должны знать, что протоколы их работы на компьютерах могут быть сообщены посторонним организациям.

Низкий и средний риск

Соединение с Интернет - это ресурс организации. Деятельность сотрудников организации в Интернет может наблюдаться, протоколироваться и периодически проверяться для того, чтобы организация имела гарантии того, сотрудники работают правильно, и могла защититься от неавторизованного использования Интернет.

Кроме того, организация может получить доступ к любой информации пользователей или к любому взаимодействию пользователей. Организация может разгласить информацию, полученную таким образом, уполномоченным на это третьим лицам, включая правоохранительные органы. Использование (список ресурсов) означает согласие пользователя с тем, что за его деятельностью осуществляется контроль.

Обучение пользователей

Большинство компьютерных пользователей организации попадает в одну из трех категорий:

  • интернет-мастера;
  • пользователи, обладающие знаниями, но не обладающие опытом; 
  • пользователи, которые знают Интернет, провели в нем много времени, но не знают, как он устроен.

Большинство пользователей знает, что с использованием Интернет связан риск, но не понимает, с чем он связан, и как его избежать. Они часто не умеют распознать проблему с безопасностью, или как обезопасить себя при повседневном использовании Интернет. Они не знают последствий недопустимого или неавторизованного использования Интернет.

Доведите до пользователей их обязанности в области безопасности, и научите их, как надо себя вести - это изменит их поведение.

Пользователи не могут соблюдать политики, которые они не понимают. Обучение также способствует индивидуальной отчетности, которая является самым важным способом повышения компьютерной безопасности. Не зная необходимых мер безопасности и как их применять, пользователи не смогут до конца отвечать за свои действия. Обучение также необходимо сетевым администраторам, которым требуются специальные навыки для понимания и реализации технологий, требуемых для обеспечения безопасности соединения с Интернет. Риски, связанные с Интернет, должны быть доведены до руководства организацией, чтобы обеспечить его поддержку.

Все пользователи, администраторы и руководители подразделений, имеющие доступ к Интернет, должны пройти начальный инструктаж в области безопасности и периодически проходить его снова.

Обучение опытных пользователей должно быть, в основном, сосредоточено на вопросе допустимого использования Интернет. Должен быть сделан упор на ролях и их ответственности, помимо технических проблем безопасности. Технических специалистов надо обучать их обязанностям при реализации технических сторон политики на их системах и сетях.

Пользователи, которые уже что-то знают, должны обучаться способам использования Интернет.

Неграмотным же пользователям требуется объяснять все. Они должны узнать, что такое Интернет, какие виды сервисов он предоставляет, кто является его пользователями, и как установить с ним соединение. Кроме того, они должны узнать все то, что изучают более грамотные пользователи.

Обучение безопасности в Интернет - низкий риск

Организация должна проводить периодическое обучение в области безопасности всех руководителей, операторов и конечных пользователей так, как это описано в политике организации. Такое обучение должно дополняться доведением новых проблем с безопасностью, постоянно возникающих в Интернет. Пользователям рекомендуется просматривать списки рассылки, связанные с безопасностью, чтобы быть в курсе всех проблем и технологий и знать все новости, сообщаемые отделом информационной безопасности.

Обучение безопасности в Интернет - средний риск

В организации должна быть достаточно либеральная политика в отношении использования Интернет, но опытные пользователи должны повышать свой уровень в отношении эффективного использования Интернет и рисков, связанных с ним. Следует добавить приведенные ниже положения к тем, что указаны для организации с низким риском.

Обучение безопасности в Интернет должно включать проведение как комплексных, так и индивидуальных занятий со специалистами центров по обучению безопасности, краткое доведение информации о новостях и советов по использованию, а также другое необходимое обучение, как это принято в организации. При обучении обязательно должны быть изучены следующие вопросы использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование. Администраторы брандмауэра и ЛВС, а также технический персонал сетей, подключенных к Интернет, должны пройти курс обучения в области контроля за безопасностью в сети, достоинств и недостатков различных подходов, возможных видов атак, сетевой архитектуры и вопросов, связанных с политикой безопасности. Системные и сетевые администраторы должны пройти полный курс обучения в области администрирования брандмауэров. Некоторые средства сканирования (например pingall, SATAN) стали обязательным элементом при проведении контроля защищенности сети для выявления активных систем, их IP-адресов, параметров конфигурации и т.д. Кроме того, для выявления уязвимых мест в системах крайне полезны как бесплатные, так и коммерческие средства (например, SATAN, ISS, NETProbe, PINGWARE, COPS, Tripwire и др.). Все сетевые и системные администраторы должны уметь их использовать. Они также должны знать текущее состояние дел в этой области безопасности.

Новые пользователи должны пройти вводный курс обучения работе в Интернет, который включает серьезную отработку практических навыков и обзор проблем безопасности. Все пользователи должны расписаться в журнале проведения инструктажей по использованию Интернет.

Обучение безопасности в Интернет - высокий риск

Организация должна стремиться повысить доступность Интернет для своих сотрудников, но делать это консервативным методом и только после обучения пользователей в области правил безопасности при использовании Интернет. Уместна следующая политика помимо политики, указанной для организации со средним риском.

Пользователи должны быть постоянно информированы о текущих проблемах с безопасностью в Интернет путем чтения сообщений и предупреждений об ошибках в программах и уязвимых местах и других советах, разборах имевших место происшествий, а также пройти курс обучения таким образом, как это определено в организации. При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование.

Заключение

Я надеюсь, что приведенные рекомендации помогут вам принять правильное решение в области политики безопасности. Но следует понимать, что безопасность – область с наиболее резко меняющимися требованиями и условиями, поэтому вам и только вам самим необходимо принимать решение.

Сайт создан в системе uCoz