Доводы за выбор стратегии ответных действий на нарушение
Разработка политики безопасности
В “Оранжевой книге” [76] политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса.
Результатом политики является высокоуровневый документ, в котором излагаются цели, задачи, принципы и способы достижения информационной безопасности.
Данный документ составляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений: 1) основные положения информационной безопасности; 2) область применения; 3) цели и задачи обеспечения информационной безопасности; 4) распределение ролей и ответственности; 5) общие обязанности.
Основные положения определяют важность ОБИ, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.
Областью применения политики безопасности являются основные активы и подсистемы АС, подлежащие защите. Типовые активы составляют программно-аппаратное и информационное обеспечение АС, персонал, в отдельных случаях информационная инфраструктура предприятия.
Цели и задачи ОБИ вытекают из функционального назначения предприятия. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т.д. Здесь указываются законы и правила организации, которые необходимо учитывать при проведении работ по ОБИ.
Типовыми целями могут быть следующие: обеспечение уровня безопасности, соответствующего нормативным документам предприятия; достижение экономической целесообразности в выборе защитных мер; обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС; реалиация подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации; выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.
Если предприятие не является изолированным, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем.
В указанном документе могут быть конкретизированы некоторые стратегические принципы безопасности (вытекающие из целей и задач ОБИ). Таковыми являются стратегии действий в случае нарушения политики безопасности, взаимодействия с внешними организациями, правоохранительными органами, прессой и др. В качестве примера можно привести две стратегии ответных действий на нарушение безопасности: 1) “защититься и продолжить”, когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению;
2) “выследить и осудить”, когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания.
Обстоятельства, позволяющие выбрать стратегию, приведены в табл.6.1.
Таблица 6.1
| Защититься и продолжить | Выследить и осудить |
| s АС недостаточно защищены s Продолжительность вторжения сопряжена с финансовым риском s Неизвестен круг пользователей s Пользователи могут привлечь к ответственности за нанесенный ущерб и др. | s АС хорошо защищена, используются надежные средства резервирования s Имеют место повторяющиеся и частые атаки s Действия злоумышленника можно контролировать s Организация обладает положительным опытом работы с правоохранительными и правозащитными органами и др. |
Политика безопасности затрагивает всех пользователей компьютеров в организации. Поэтому важно решить вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями. Для этого определяется круг лиц, имеющих доступ к подсистемам и сервисам АС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов – что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей. Следует указать, какое из правил умолчания на использование ресурсов принято в организации, а именно: 1) что явно не запрещено, то разрешено или 2) что явно не разрешено, то запрещено.
Одним из самых уязвимых мест в ОБИ является распределение прав доступа. В политике безопасности должна быть утверждена схема управления распределением прав доступа к сервисам – централизованная, децентрализованная или иная. Должно быть четко определено, кто распоряжается правами доступа к сервисам и какими именно правами. Целесообразно детально описать практические процедуры наделения пользователей правами. Здесь следует указать должностных лиц, имеющих административные привилегии и пароли для определенных сервисов. Права и обязанности пользователей определяются применительно к безопасному применению подсистем и сервисов АС. При определении прав и обязанностей администраторов следует стремиться к некоторому балансу между правом пользователей на тайну и обязанностью администратора контролировать нарушения безопасности.
Важным элементом политики является распределение ответственности. Политика не может предусмотреть всего, однако она должна для каждого вида проблем найти ответственного. Обычно выделяется несколько уровней ответственности. На первом уровне каждый пользователь обязан работать в соответствии с политикой безопасности (защищать свой счет), подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Системные администраторы отвечают за защиту соответствующих информационно-вычислительных подсистем. Администраторы ИВС (корпоративной сети) должны обеспечивать реализацию организационно-технических мер, необходимых для проведения в жизнь сетевой политики безопасности АС. Более высокий уровень – руководители подразделений отвечают за доведение и контроль положений политики безопасности.
С практической точки зрения, политику безопасности целесообразно разделить на несколько уровней. Как правило, выделяют два-три уровня.
Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области информационной безопасности; вопросам выделения и распределения ресурсов; принципам технической политики в области выбора методов и средств защиты информации; координированию мер безопасности; стратегическому планированию и контролю; внешним взаимодействиям и другим вопросам, имеющим общеорганизационный характер. На указанном уровне формулируются главные цели в области информационной безопасности (определяемые сферой деятельности предприятия): обеспечение конфиденциальности, целостности и (или) доступности.
Средний уровень политики безопасности выделяют в случае структурной сложности организации или при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых сервисов Internet, организация связи и обработка информации на домашних и портативных компьютерах, степень соблюдения положений компьютерного права и др. Кроме того, на среднем уровне политики безопасности могут быть выделены особо значимые контуры АС организации, например обрабатывающие секретную или критически важную информацию.
За разработку и реализацию политики безопасности верхнего и среднего уровней отвечают руководитель службы безопасности, администраторы безопасности АС, администратор ИВС.
Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. Этот уровень необходим, когда вопросы безопасности конкретных подсистем требуют решения на управленческом, а не только на техническом уровне. На данном уровне определяются конкретные цели, частные критерии и показатели информационной безопасности, задаются права конкретных групп пользователей, формулируются соответствующие условия доступа к информации и т.п. Здесь из конкретных целей выводятся (обычно формальные) правила безопасности, описывающие, кто, что и при каких условиях может или не может делать. Более детальные и формальные правила упростят внедрение системы и настройку средств ОБИ. На нижнем уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации.
За политику безопасности нижнего уровня отвечают системные администраторы.
В ходе разработки политики безопасности с целью минимизации затрат на ОБИ проводится анализ рисков. Основной принцип безопасности – затраты на средства защиты не должны превышать стоимости защищаемых объектов. При этом, если политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию, то анализ рисков (как приложение) оформляется в виде списка активов, нуждающихся в защите. Рассмотрим этап анализа риска подробнее.