Приклад розробки політики безпеки організації
- Що потрібно для створення політики безпеки Основний етап побудови захищеної інформаційної системи,...
- Приклад підхід підприємства IBM
- Приклад стандарту безпеки для ОС сімейства UNIX
- Приклад підходу компанії Sun Microsystems
- Приклад підходу компанії Cisco Systems
- Приклад підходу компанії Microsoft
- Підхід компанії Symantec
Що потрібно для створення політики безпеки
Основний етап побудови захищеної інформаційної системи, це етап розробки політики безпеки. Детальна політика потрібна для створення ефективної системи безпеки предпріятія.Далее показано основні кроки забезпечення безпеки:
- Уточнення важливості інформаційних і технологічних активів підприємства;
- визначення рівня безпеки для кожного активу, а так само засоби безпеки які будуть рентабельними для кожного активу
- Визначення ризиків на загрози активам;
- Залучення необхідних фінансових ресурсів для забезпечення політики безпеки, а так же придбання та налаштування потрібних коштів для безпеки;
- Строгий контроль поетапної реалізації плану безпеки, для виявлення поточних прощет а також урахування зміни зовнішніх чинників з подальшою зміною необхідних методів безпеки;
- Проведення пояснювальних дій для персоналу та іншим відповідальним співробітникам
Наступні вимоги до політиків безпеки складено на ряді помилок і проб більшості організацій:
Політики безпеки повинні:
- вказувати на причини і цілі створення політики безпеки;
- оглядати, які кордону і ресурси охоплюються політикою безпеки;
- визначити відповідальних за політику безпеки;
- визначити умова не виконання і так званні покарання
- політики безпеки повинні бути реальними і здійсненними;
- політики безпеки повинні бути доступними, короткими і однозначними для розуміння;
- повинна бути золота середина між захистом і продуктивністю;
Основні кроки по розробці політики є:
- створення адекватної команди для створення політики;
- вирішити питання про виникаючих особливості при розробки.
- вирішити питання про область дії і цілі створення політики;
- вирішити питання щодо відповідальних за створення і виконання даного документа;
Потрібно проаналізувати локальну мережу на локальні атаки . Зробивши основні кроки потрібно проаналізувати чи є вихід локальної мережі ( seti_PDH або seti_dwdm ) в інтернет. Адже при виході мережі в інтернет виникає питання про проблемах захисту інформації в мережах . Потім якісь комп'ютери і мережеві сервіси використовуються вже в мережі. Визначити кількість співробітників по ряду критерієм. Наприклад скільком потрібен доступ в інтернет, скільки користується електронною поштою і іншими онлайн сервісами. Також визначити чи є віддалений доступ до внутрішньої мережі. Найголовніше питання, через який повинні бути визначені всі питання, це «Чи входить цей сервіс з список вимог для проведення бізнесу?»
Після проведення аналізу та систематизації інформації, команді потрібно перейти до аналізу та оцінки ризиків . Аналіз ризиків - це найважливіший етап формування політики безпеки (рис.1).
Малюнок 1
На цьому етапі реалізуються наступні кроки:
- аналіз загроз інформаційній безпеці які безпосередньо позначені для об'єкта захисту;
- оцінка та ідентифікація ціни інформаційних і технологічних активів;
- огляд ймовірності реалізації загроз на практиці;
- огляд ризиків на активи;
Після огляду ризиків на активи потрібно переходити до установки рівня безпеки який визначає захисту для кожного активу. Є правило, що ціна захисту активу не повинна перевищувати ціни самого активу
Розглянемо створення одного з процесів безпеки. Процес показано на рис.2.
- Вхід, припустимо це користувач робить запит на створення нового пароля;
- механізм , Визначає які ролі беруть участь в цьому процесі. Користувач запитує новий пароль у Адміністратора;
- Управління - описує сам алгоритм який керує процесом. При запиті нового пароля, користувач повинен пройти аутентифікацію;
- Вихід, це результат процесу. Отримання пароля.
малюнок 2
Компоненти архітектури безпеки
Фізична безпека, важливий компонент так як заповнення фізичної області де знаходяться компоненти об'єкта захисту не є однорідним. Якщо в будинку знаходяться не тільки співробітники організації, а й інші люди потрібно враховувати всі моменти захисту. Реалізація фізичного захисту наводиться до визначення компонентів комп'ютерної мережі, які повинні бути захищені фізично, так як вони можуть піддаватися погрозам таким як втрата конфіденційності, доступності та цілісності.
Потрібно позначити області з різним рівнем безпеки:
- відкриті, область фізичної середовища в які можуть заходить як співробітники так і інші люди
- контрольовані, область фізичної середовища яка повинна бути закрита за відсутності контроль або нагляду
- особливо контрольовані, це область де обмежений доступ навіть співробітникам з підвищеними правами доступу
Логічна безпеку характеризує рівень захисту активів і ресурсів в мережі. Включає в себе механізми захисту в мережі (Ідентифікація, аутентифікація, МЕ, управління доступом і тд). також повинен бути позначений метод виявлення помилок при передачі інформації. Також потрібно враховувати algoritm_pokryivayusccego_dereva .
Ресурси ділять на дві категорії, які схильні до погроз:
- Ресурси ОС;
- Ресурси користувача.
- Можливо теоретично, ресурси які знаходяться за фізичним доступом організації, наприклад супутникові системи ;
Визначення повноважень адміністратора, повинні бути чітко позначені і також всі їх дію повинні логіроватся і моніториться. Також є адміністратори які стежать за контролем віддаленого доступу до ресурсів.
функції:
- повинні визначити повноваження для кожної системи і платформи;
- перевіряти призначення прав авторизованим користувачам.
Управління тривожною сигналізацією важливий компонент, так як для негайного реагування заставу в запобіганні атаки. Приклад процесів для виявлення проблем і тривог:
- кожне порушення безпеки повинно давати сигнал події;
- Одне подія не є приводом для твердження, вони повинні накопичуватися;
- повинен бути поріг, з яким порівнюють дані і дають висновок щодо конкретних дій.
Приклад підхід підприємства IBM
Фахівці IBM вважають, що корпоративна діяльність повинна починатися зі створення політики безпеки. При цьому при створенні рекомендується тримаються міжнародного стандарту ISO 17799: 2005 та дивитися політику підприємства як невід'ємний шматок процесу управління ризиками (рис.3). Розробку політики безпеки відносять до важливих завдань підприємстві.
Малюнок - 3
Фахівці IBM виділяють наступні етапи розробки політики безпеки:
- Аналіз інформаційних підприємства, який можуть завдати максимальної шкоди.
- Створення політики безпеки, яка впроваджує методи захисту які входять в рамки завдань підприємства.
- Розробити плани дій при НС для зменшення шкоди.
- Аналіз залишкових інформаційних загроз. Аналіз проводиться на основі головних загроз.
Фахівці IBM рекомендують реалізувати наступні аспекти для ефективної безпеки підприємства:
- Огляд ІТ-стратегії, визначення вимог до інформаційної безпеки та аналіз поточних проблем безпеки.
- Огляд бізнес-стратегії підприємства.
- Розробка політики безпеки, яка враховує ІТ-стратегії і завдання розвитку підприємства.
Рекомендована структура керівних документів для реалізації інформаційної безпеки показана на рис.4.
Малюнок - 4
IBM під стандартами має на увазі документи, які описують порядок і структуру реалізації політики безпеки в таких аспектах як авторизація, контроль доступу, аутентифікація, ідентифікація і тд. Такі стандартні можуть бути змінені щодо вимог політики безпеки, так як на них впливають вже трошки інші загрози, більш специфічні. IBM має на увазі створення стандартів для:
- аналізу інформаційних загроз і методів їх зменшення
- створення норм і правил безпеки різних рівнів підприємства
- уточнення методів захисту, які будуть реалізовані на підприємстві
- конкретне визначення процедур безпеки
- аналіз очікувань щодо результатів від співробітників і компанії в цілому
- реалізація юридичної підтримки
Стандарти створюються за допомогою практик або / і процедур. У них деталізуються сервіси, які ставляться на ОС, а так само порядок створення інших моментів. IBM пропонує особливості підходу до розробки документів безпеки (рис.5).
Малюнок - 5
Приклад стандарту безпеки для ОС сімейства UNIX
Область і мета дії - документ описує вимоги щодо захисту ПК, які працюють на ОС unix.
Аудиторія - персонал служб інформаційної безпеки та інформаційних технологій.
Повноваження - Відділ підприємства з інформаційної безпеки наділяється усіма правами доступу до серверів інформаційної системи підприємства і несе за них відповідальність. Департамент управління ризиками стверджує все відхилення від вимог стандарту.
Термін дії - з 1 січня по 31 грудня ... року.
Винятки - Будь-які відхилення від реалізації стандарту повинні бути підтверджені в відділі підприємства з інформаційної безпеки.
Підтримка - Будь-які питання які пов'язані з стандартом, задавати у відділ інформаційної безпеки.
Перегляд стандарту - переглядається щорічно.
Приклад підходу компанії Sun Microsystems
Фахівці Sun вважають, що політика є необхідною для ефективної організації режиму інформаційної безпеки підприємства. Вони ж під політикою безпеки мають на увазі стратегічний документ, в якому описані вимоги і очікування керівництва підприємстві. Вони рекомендують створити підхід зверху-вниз, спочатку створити політику безпеки, а потім вже будувати архітектуру інформаційної системи. До створення політики безпеки вони рекомендують заманити таких співробітників підрозділів як:
- керування бізнесом
- відділ захисту інформації
- технічне управління
- департамент управління ризиками
- відділ системного / мережевого адміністрування
- юридичний відділ
- департамент системних операцій
- відділ кадрів
- служба внутрішнього якості і аудиту
Основний призначення політики безпеки - інформування керівництву і співробітникам компанії від поточних вимогах про захист даних в інформаційній системі.
Ідея політики безпеки до основних ідей відносять:
- призначення цінності інформаційних активів
- управління залишковими ризиками; R = H × P, де Н - оцінка збитку, Р - ймовірність загрози
- управління інформаційною безпекою
- обгрунтоване довіру
Принцип безпеки - це перший крок при створенні політики, до них відносять:
- Ознайомлення - учасники інформаційної системи повинні бути ознайомлені про вимоги політики безпеки і про відповідальність.
- Відповідальність - лягає на кожного користувача за все його дії в інформаційній мережі.
- Етика - діяльність співробітників компанії повинна бути у відповідності зі стандартами етики.
- Комплексність - повинні враховуватися всі напрямки безпеки.
- Економічна виправданість - всі дії розвитку підприємства повинні бути економічно виправданими.
- Інтеграція - всі напрямки політики, процедур або стандартів повинні бути інтегровані і скоординовані між собою.
- Своєчасність - все протидії загрозам повинні бути своєчасні.
- Демократичність - всі дії по захисту активів на підприємстві повинні бути в нормах демократії.
- Акредитація та сертифікація - компанія і всі її дії повинні бути сертифіковані
- Поділ привілеїв - всі права співробітників повинні бути розділені щодо їх допуску до ресурсів.
Приклад підходу компанії Cisco Systems
Фахівці Cisco вважають, що відсутність мережевої політики безпеки призводить до серйозних інцидентів в сфері безпеки. Визначення рівнів загроз і типів доступу, які потрібні для кожної мережі дозволяє створити матрицю безпеки (табл.1). Така матриця є відправною точною у створенні безпекової політики.
Таблиця 1.
Система Опис Рівень ризику Типи користувачів АТМ-комутатори Основні мережеві пристрої Високий Мережеві адміністратори Мережеві маршрутизатори Мережні пристрої розподілу Високий Мережеві адміністратори Комутатори доступу Мережеві пристрої доступу Середній Мережеві адміністратори ISDN / dial up-сервери Мережеві пристрої доступу Середній Мережеві і системні адміністратори Міжмережеві екрани Мережеві пристрої доступу високий Адміністратор безпеки Сервери DNS і ВРСЗ Мережеві додатки Середній Мережеві і системні администр АТОР Зовнішні поштові сервери Мережеві додатки Низький Адміністратори і користувачі Внутрішні поштові сервери Мережеві додатки Середній Адміністратори і користувачі Сервери баз даних Oracle Мережеві додатки Середній або високий Адміністратори баз даних і користувачі
Під попередженням порушень фахівці Cisco вважають підтвердження модифікацій в системах безпеки. До таких змін можна віднести:
- списки контролю доступу
- конфігурація міжмережевих екранів
- версія ПЗ
- конфігурація SNMP
Також згідно RFC 2196 повинна бути обробка інциденту. Обробка інциденту - алгоритм реагування на різні ситуації. Кроки по обробці:
- визначення пріоритету і типу атаки
- аналіз часу початку / кінця атаки
- аналіз джерела атаки
- аналіз порушених пристроїв атакою
- запис в журнал
- дії по зупинки або зменшення наслідків атаки
- ізолювання постраждалих ділянок системи
- повідомлення відповідних осіб
- захист доказів атаки
- відновлення працездатності ізольованих ділянок
Приклад підходу компанії Microsoft
У мережу підприємства щодня приходить близько 8 млн. Поштових повідомлень, і 6.5 млн повідомлень циркулюють всередині компанії. Microsoft створила стратегію безпеки, яка складається з:
- місія корпоративної безпеки
- принципи операційної безпеки
- модель прийняття рішень, яка заснована на огляді ризиків
- тактичне визначення пріоритету роботи по зменшенню ризиків
Підхід компанії Symantec
Політика визначає, чому підприємство захищає свої дані і активи. Стандарти - що підприємство буде робити для захисту і управління безпекою інформації. Процедури описують, як саме підприємство буде виконувати те, що описано в документах вище стоять. Компанія Symantec описує наступні етапи розробки політики безпеки.
- Аналіз і оцінка інформаційних активів - що потрібно захищати і з якими цілями і завданнями.
- Аналіз загроз безпеки - виявлення джерел потенційних проблем. Аналіз можливих збитком щодо загроз.
- Аналіз інформаційних ризиків - найскладніший етап, так як потрібно визначити ймовірності загроз і супутній збиток.
- Визначення відповідальності - вибір людей або команду яка повинна займатися такими питаннями на підприємстві.
- Створення комплексного документа - створення політики на основі додаткових документів чи законодавчих чи всередині корпоративних.
- Реалізація - Політика повинна чітко описувати механізми реалізації захисних дій.
- Управління програмою безпеки - область застосування.
Що в увазі? Для ефективної роботи політики потрібно що б:
- враховувалися цілі бізнесу
- була реальною
- тримала баланс між безпекою та продуктивністю
- всі співробітники могли ознайомиться з вмістом політики
- не перечила іншим документам компанії і вимогою законодавства
- визначала чітко відповідальність співробітників
- була оновлюваної