- •Политика информационной безопасности
- •Когда необходимо иметь разработанные правила безопасности
- •Анализ данных защиты
- •1. Какие данные должны быть зарезервированы?
- •Права интеллектуальной собственности и политика безопасности
- •Физическая безопасность информационных ресурсов
- •Размещение компьютеров и монтаж оборудования
- •Средства управления доступом
- •Доступность системы
- •Телекоммуникации и удаленный доступ
- •Руководящие принципы эксплуатации оборудования
- •Административные обязанности
- •Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
- •Модемы и прочие лазейки
- •Администрирование электронной почты .:
- •Вирусы, "черви" и "троянские кони"
- •Правила эксплуатации стороннего программного обеспечения
- •Шифрование
- •Управление криптографией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Соображения о генерировании ключей
- •Управление ключами
- •Этапы разработки программного обеспечения
- •Замена версий и управление конфигурацией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Виртуальная частная сеть (vpn).
- •Внутренняя сеть (intranet). Экстрасеть (extranet).
Доступность системы
Бывают такие случаи, когда отключения необходимы. В общем случае правила, предоставляющие время для профилактических работ, или разрешающие отключить отдельные вспомогательные системы, должны дополняться и ограничиваться рабочими инструкциями, к тому же решение об отключении должно приниматься несколькими ответственными лицами. Эти правила должны ограничивать возможности пользователей задерживать или прерывать работу систем, а также должны определять последовательность действий при замене стандартных ресурсов на резервные для обеспечения стабильного функционирования важных деловых операций. Такие процедуры также называются контрольными заменами (control overrides).
Периодическая система и контроль конфигурации сети
Системный администратор должен разработать план проведения проверки конфигурации системы и сети. В этом плане должны быть описаны процедуры проверки конфигурации аппаратных средств, подключений компонентов сети и установленных компонентов системы. План должен быть утвержден комиссией, состоящей из системного администратора и других руководителей отделов. Комиссия должна ежегодно, или по мере необходимости, пересматривать эти процедуры. Проверки должны проводиться, по крайней мере, каждый календарный год. Системный администратор в случае необходимости может проводить проверку и чаще.
Аутентификация и безопасность сети
Безопасность сети охватывает не только Internet, но и любое сетевое подключение или интерфейс. Насколько строго обеспечивается защита любых интерфейсов, зависит от требований, предъявляемых к ним, их функционального назначения и степени доверия между обеими сторонами подсоединения. Правила защиты всей сети и внутрисетевых подключений являются частью программы безопасности сети, которая охватывает такие вопросы, как адресация сети, подсети и средства управления подключениями к сети.
Доверительные взаимоотношения устанавливаются путем четкого определения того, какую информацию можно передавать через внутренние соединения. Что касается доступа к информационным ресурсам, то стержнем проблемы управления доступом является обеспечение доступа к системе и ко всей сети. Аутентификация используется для подтверждения этого права доступа. В данной главе обсуждаются вопросы, как формировать политику, которая бы рассматривала архитектуру сети в качестве механизма защиты. Мы обсудим различные аспекты аутентификации и управления доступом к сети, а также все, что необходимо для защиты удаленных точек доступа
Адресация сети и архитектура
Довольно сложно понять, как можно использовать в программе безопасности сетевую архитектуру и схемы адресации. Стедует помнить, что целью обеспечения живучести сети является обеспечение передачи информации даже в случае сбоев, атак и других происшествий. Правильно выбранная сетевая адресация и архитектура сети поможет в достижении этих целей с помощью правил, требующих тщательного планирования, и особого внимания к элементам адресации сети, а также к возможности расширения сети.
Планирование сети
Уровень планирования сети зависит от размера организации. Организация с небольшим количеством узлов может работать в объединенной сети с простыми сетевыми технологиями. Они основываются на доверительных отношениях, базирующихся на непосредственных контактах. Однако даже небольшим организациям имеет смысл использовать архитектуру сети, базирующуюся на управлении доступом.
Другой подход к этому вопросу называется "управлением трафиком". Сетевые планировщики могут помочь в ограничении доступа к секретным и важным данным, изолируя системы поддержки и сети от основного сетевого трафика. Для этого существует множество технологий, в том числе ограничительные шлюзы, брандмауэры и воздушные зазоры (air gaps). Тем не менее, независимо от используемой технологии, можно разработать правила, предписания которых будут гарантировать, что в планировании сети будет рассматриваться использование архитектуры в качестве механизма защиты информации.
Управление доступом к сети
Перед обсуждением аутентификации пользователей сети необходимо разработать правила управления доступом к сети. Сети уже не являются монолитными объектами. В большинстве случаев имеется одна внешняя точка доступа — подключение к Internet посредством ISP (Internet Service Provider — поставщик услуг Internet). Правила упраатения доступом к сети будут определять, какую защиту необходимо установить на входных точках в сеть.
Шлюзы
Шлюзы являются пунктами, в которых сетевой трафик передастся из сети организации в другую сеть. В отношении шлюзовых пунктов правила управления доступом должны учитывать природу сети, в которой устанавливается мост.
Пользовательский интерфейс
Обычно пользовательский интерфейс зависит от алгоритмов, заложенных в базовой операционной системе или в программном обеспечении. За некоторыми исключениями, когда есть серьезные основания для изменения интерфейса, правила безопасности могут требовать, чтобы интерфейс пользователя оставался неизменным. Однако системы, построенные на основе расширенных интерфейсов, например, некоторые сетевые операционные системы или системы с инфраструктурой открытого ключа (PKI — public key infrastructure) позволяют делать замены или дополнения к алгоритмам операционных систем, благодаря чему они воспринимаются как более безопасные версии интерфейса.
В зависимости от конкретных условий в формулировке правил управления интерфейсом может быть написано, что интерфейс, предоставленный разработчиком системы аутентификации, изменять нельзя. Альтернатива заключается в том, чтобы алгоритм, используемый для аутентификации, строился на основе других правил.
Областью, в которой ограничения могут быть довольно эффективными, является определение процесса ввода паролей. Чтобы были гарантии того, что во время ввода нельзя перехватить пароли, правилами можно ограничить отображение паролей во время ввода, требовать, чтобы пароль был введен за определенный промежуток времени, разрешать ограниченное количество сбоев при вводе, а также требовать, чтобы пароли не пересылались в читабельной форме.