Рівні політики безпеки для Internet
Політики безпеки для Internet (403)
Організації повинні відповісти на наступні питання, щоб правильно врахувати віз?
Можна наслідки підключення до Internet в області безпеки:
· ? Чи можуть хакери зруйнувати внутрішні системи?
· ? Чи може бути скомпрометована (змінена або прочитана) важлива інформа?
· ція організації при її передачі по Internet?
· ? Чи можна перешкодити роботі організації?
Мета політики безпеки для Internet - прийняти рішення про те, як організація планує захищатися. ПІБ зазвичай складається з двох частин - загальних принципів і конкретних правил роботи (які еквівалентні специфічній політиці, описаної нижче).
Загальні принципи визначають підхід до безпеки в Internet. Правила ж визначають, що
дозволено, а що - заборонено. Правила можуть бути доповнені конкретними процедурами
і різними посібниками.
Система Internet при проектуванні і не планувалася як захищена мережа, тому її проблемами в поточній версії TCP / IP є:
· ? Легкість перехоплення даних і фальсифікації адрес машин у мережі - основна
частину трафіку Internet - це нешифровані дані. E-Mail, паролі і файли
можуть бути перехоплені шляхом використання доступних програм.
· ? Уразливість засобів TCP / IP - ряд засобів TCP / IP не був спроектований бути захищенними і може бути скомпрометований кваліфікованими зловмисниками; засоби, що використовуються для тестування, особливо уразливі.
· ? Відсутність політики - багато сайтів по незнанню сконфігуровані таким чином, що надають широкий доступ до себе з боку Internet, не враховуючи можливість зловживання цим доступом; багато сайтів дозволяють работу більшого числа сервісів TCP / IP, ніж їм потрібно для роботи, і не намагаються
обмежити доступ до інформації про своїх комп'ютерах, якій можуть воспользоваться зловмисники.
· ? Складність конфігурування - засоби керування доступом хоста складні;
часто важко правильно сконфігурувати і перевірити ефективність установок. Засоби, неправильно сконфігуровані, можуть призвести до неавторізовано доступу.
Рівні політики безпеки (403)
З практичної точки зору політику безпеки можна умовно розділити на три
рівня: верхній, середній і нижній.
Верхній рівень (403)
До верхнього рівня відносяться рішення, що зачіпають організацію в цілому. Вони
носять загальний характер і, як правило, виходять від керівництва організації.
Приблизний список подібних рішень може включати в себе наступні елементи:
· ? формування або перегляд комплексної програми забезпечення информационної безпеки, визначення відповідальних за просування програми;
· ? формулювання цілей, які переслідує організація в області информационної безпеки, визначення загальних напрямів у досягненні цих цілей;
· ? забезпечення бази для дотримання законів і правил;
· ? формулювання управлінських рішень з тих питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Цілі політики верхнього рівня організації в області інформаційної безпечності формулюються в термінах цілісності, доступності та конфіденційності.
Якщо організація відповідальна за підтримання критично важливих баз даних, на
першому плані може стояти зменшення випадків втрат, пошкоджень або перекручувань
даних. Для організації, що займається продажами, імовірно, важлива актуальність информації про послуги та ціни, а також її доступність максимальному
числу потенційних покупців. Режимна організація в першу чергу піклується
про захист від несанкціонованого доступу - конфіденційності.
На верхній рівень виноситься керування захисними ресурсами і координація їх
використання, виділення спеціального персоналу для захисту критично важливих систем, підтримання контактів з іншими організаціями, що забезпечують або контролірующімі режим безпеки.
ПІБ верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це
будуть всі комп'ютерні системи організації чи навіть більше, якщо ПІБ регламентує деякі аспекти використання співробітниками своїх домашніх комп'ютерів.
Можлива, однак, і така ситуація, коли в сферу впливу включаються лише найбільш
важливі системи.
У політиці повинні бути визначені обов'язки посадових осіб по виробленню
програми безпеки і по проведенню її в життя. У цьому сенсі ПІБ є
основою підзвітності персоналу.
На верхній рівень варто виносити мінімум питань, які визначають зна?
чительно економію коштів або коли інакше вчинити неможливо.
Середній рівень (403)
До середнього рівня слід віднести питання, що стосуються окремих аспектів інформаціонние безпеки, але важливі для різних систем, експлуатованих організацией. Приклади таких питань - відношення до передових, але недостатньо перевірений технологіям: доступ до Internet (як сполучити свободу отримання інформації з захистом від зовнішніх загроз?), використання домашніх комп'ютерів, застосування користувачем неофіційного програмного забезпечення і т.д.
Нижній рівень (403)
Політика безпеки нижнього рівня стосується конкретних сервісів. Вона включає в себе два аспекти - цілі та правила їх досягнення, тому її часом важко отделить від питань реалізації. На відміну від двох верхніх рівнів, розглянута ПІБ повинна бути набагато детальніше.
Є багато питань, специфічних для окремих сервісів, які не можна єдиним чином регламентувати в рамках всієї організації. У той же час вони настільки важни для забезпечення режиму безки, що рішення, относящеся до них, повинні прийматися на
управлінському, а не технічному рівні.
Наведемо кілька прикладів питань, на які слід дати відповідь при проходженні політиці безпеки нижнього рівня:
· ? хто має право доступу до об'єктам, підтримуваним сервісом?
· ? за яких умов можна читати і модифікувати дані?
· ? як організований віддалений доступ до сервісу?
При формулюванні цілей ПІБ нижнього рівня може виходити з міркувань целостності, доступності та конфіденційності, але вона не повинна на них зупинятися. Її цілі мають бути конкретніше
З цілей виводяться правила безпеки, що описують, хто, що і за яких условіях може робити. Чим детальніше правила, чим більш формально вони викладені, тим простіше підтримати їхнє виконання програмно? технічними заходами. Однак занадто жорсткі правила можуть стати перешкодою в роботі користувачів і, ймовірно, їх доведеться часто переглядати.
Керівництву слід знайти компроміс, коли за прийнятну ціну буде забезпечений
прийнятний рівень безпеки, а працівники не виявляться надмірно скуті.