Реализация политики безопасности
Реализация политики заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности. В таких случаях в проведении программы безопасности должны участвовать системные и сетевые администраторы.
Исследуйте каждый этап для определения взаимодействий с другими системами управлениями. Например, усиление физической защиты позволит снизить требования к политике шифрования и наоборот. Установка межсетевых экранов позволит отложить немедленное устранение уязвимых мест внутренних систем.
Системы отчетности по безопасности
Системы отчетности по безопасности - это механизм, с помощью которого отдел безопасности отслеживает соблюдение политик и процедур, общее состояние уязвимых мест внутри организации. Для этого используются как ручные, так и автоматические системы. В большинстве случаев системы отчетности по безопасности включают оба типа систем.
Мониторинг использования
Механизмы мониторинга гарантируют, что работники следуют политикам использования компьютера. Они включают в себя программное обеспечение, отслеживающее использование интернета. Целью является выявление работников, постоянно нарушающих политику компании. Некоторые механизмы способны блокировать такой доступ и сохранять журнал попыток.
Мониторинг использования включает, например, удаление игр, установленных на рабочей станции. Сложные механизмы позволяют определить, что на компьютер пользователя загружено новое программное обеспечение, но они требуют взаимодействия между администраторами и службой безопасности.
Сканирование уязвимых мест систем
Уязвимые места системы стали очень важной темой в безопасности. Установка операционной системы с параметрами по умолчанию обычно сопровождается запуском ненужных процессов и появлением уязвимых мест. Выявление таких мест не составляет труда для службы безопасности, использующей современные инструментальные средства, а вот их исправление отнимает много времени.
Служба безопасности должна отслеживать системы и их уязвимые места с определенной периодичностью. Необходимо обеспечить администраторов отчетами об уязвимых местах для их удаления. Сведения о вновь установленных системах нужно доводить до сведения системного администратора.
Соблюдение политики
Соблюдение политики - это одно из заданий службы безопасности, отнимающее много времени. Для определения соблюдения политики используются ручной и автоматический режимы. Ручной механизм требует от работника службы безопасности исследования каждой системы и определения, как выполняются требования политики безопасности в конфигурации этой системы. Это отнимает чрезвычайно много времени, велика и вероятность ошибок. Намного чаще из общего количества систем выбирается одна, и проводится ее выборочное исследование. Такой способ требует меньше времени, но далек от совершенства.
Для проведения автоматической проверки соблюдения политики разрабатывается соответствующее программное обеспечение. Такой способ требует больше времени для установки и конфигурирования, но дает более точный результат в более короткие сроки. В этом случае требуется помощь системных администраторов, поскольку программное обеспечение необходимо установить в каждой проверяемой системе. Контроль соблюдения политики может выполняться на основе периодической выборки и результатов обращений к системным администраторам.
Аутентификация систем
Аутентификация систем - это механизм, предназначенный для установления личности пользователей, желающих получить доступ в систему или сеть. Она позволяет также идентифицировать лиц, пытающихся завладеть оборудованием организации. Механизмы аутентификации - это пароли, смарт-карты и биометрия. Требования к ним должны быть включены в программы профессиональной переподготовки по вопросам безопасности.
Примечание
Механизмы аутентификации можно применить к любому пользователю системы. Отсюда следует, что обучение и компетентность пользователя являются важными сторонами развертывания любого механизма аутентификации.
Если пользователи не ознакомлены с работой системы аутентификации, то отдел ИТ будет перегружен звонками в службу технической поддержки. Производительность работы будет снижена, поскольку пользователи начнут изучать, как пользоваться новой системой. Ни при каких обстоятельствах изменения в способах аутентификации не должны осуществляться без обучения пользователей. Эти способы оказывают влияние на все системы организации, и их реализация должна сопровождаться подробным планированием. Служба безопасности должна работать во взаимодействии с системными администраторами, чтобы процесс реализации проходил без сбоев.
Безопасность в интернете
Реализация безопасности в интернете включает такие механизмы, как межсетевые экраны и виртуальные частные сети (VPN), и ведет к изменениям в сетевой архитектуре (см. лекции 10, 11, 16). Наиболее важным аспектом ее реализации является размещение устройства управления доступом (типа межсетевого экрана) между интернетом и внутренней сетью организации. Без подобной защиты все внутренние системы открыты для неконтролируемых нарушений безопасности. Установка межсетевого экрана является достаточно сложным процессом и может повлечь за собой сбои в нормальной работе пользователей.
Примечание
Размещение межсетевого экрана или другого устройства управления доступом ведет к изменению архитектуры. Подобная операция не должна выполняться до тех пор, пока не будет определена основная сетевая архитектура: ведь нужно установить межсетевой экран соответствующей мощности и задать на нем правила в соответствии с используемыми политиками организации.
Виртуальные частные сети обеспечивают безопасность для информации, передаваемой через интернет и периметр организации. Вопросы, связанные с VPN, могут быть включены в реализацию механизмов безопасности в интернете.
Имеется несколько типов систем обнаружения вторжения, и выбор нужной зависит от совокупного риска организации и располагаемых ресурсов (см. лекцию 13). Системы обнаружения вторжений требуют значительных финансовых вложений.
Самым общим механизмом обнаружения вторжений является антивирусное программное обеспечение. Это программное обеспечение должно работать на каждой рабочей станции и, разумеется, на сервере. Антивирусное программное обеспечение - наименее ресурсоемкий способ обнаружения вторжений.
Перечислим другие способы обнаружения вторжений:
- ручная проверка журнала;
- автоматическая проверка журнала;
- клиентское программное обеспечение для обнаружения вторжения;
- сетевое программное обеспечение для обнаружения вторжения.
Ручная проверка журнала весьма эффективна, но занимает много времени и склонна к ошибкам. Люди для этой цели не подходят. Наилучшим способом проверки журналов является создание программ или скриптов, которые просматривают журналы компьютера в поисках возможных отклонений.
Совет
Развертывание механизмов обнаружения вторжения не следует проводить до тех пор, пока не будут выявлены области с повышенным риском.
Шифрование
Шифрование обычно применяют для защиты конфиденциальных или частных интересов (см. лекцию 12). Механизмы шифрования используются для защиты передаваемой или сохраняемой информации. Вне зависимости от типа используемого механизма возникают два вопроса, на которые нужно ответить до его реализации:
- алгоритмы;
- управление ключом защиты.
Примечание
Шифрование ведет к замедлению обработки или передачи данных. Следовательно, шифрование всей передаваемой информации не всегда является целесообразным.
Алгоритмы
При выполнении шифрования выбор алгоритма обуславливается конечной целью. Шифрование на личном ключе происходит быстрее, чем на открытом. Однако такой способ не позволяет использовать цифровую подпись или подписывание информации. Важно выбрать известные и хорошо изученные алгоритмы. Такие алгоритмы с большой долей вероятности исключают лазейки, через которые возможен доступ к защищенной информации.
Управление ключом защиты
Развертывание механизмов шифрования должно включать управление ключом защиты. При использовании шифровального блока (устройства для шифрования трафика, передаваемого от узла к узлу) система должна разрешать периодическое изменение ключа. При шифровании на открытом ключе, когда сертификаты выдаются большому количеству лиц, проблема намного серьезнее.
Если планируется введение подобной системы, удостоверьтесь в наличии времени для испытания ключа защиты. Также имейте в виду, что экспериментальная программа позволяет охватить ограниченное число пользователей, а система управления ключом защиты должна быть соразмерна всей системе.
Физическая безопасность
Физическая безопасность традиционно обособлена от информационной или компьютерной безопасности. Установка видеокамер, замков и охранников обычно не очень хорошо понималась работниками отдела компьютерной безопасности. Если в вашей организации дело обстоит именно так, вы должны найти поддержку со стороны. Имейте в виду, что устройства физической безопасности затронут работников организации, как и изменение способа аутентификации. Работники, которые видят видеокамеры в туалете или предъявляют пластиковую карту для входа в кабинет, должны приспособиться к новым обстоятельствам. Если сотрудники пользуются такими картами, то организация должна разработать процедуру действий работников, потерявших или оставивших их дома.
Такая процедура должна доказать, что данный человек действительно является сотрудником организации. Это могут быть цифровые фотографии или звонок коллеги для подтверждения подлинности. Некоторые организации полагаются только на подпись работника в соответствующем журнале. Такой метод позволяет злоумышленнику получить доступ к ее материальным ценностям.
Применяя механизмы физической безопасности, вы не должны забывать о безопасности центра обработки данных. Доступ к центру данных должен быть ограничен, как следует защищен от огня, высокой температуры и отключения электричества. Внедрение систем пожаротушения и климат-контроля заставит вас провести всестороннюю модернизацию центра данных.
Применение источника бесперебойного питания следует применять в системах, отключающихся на короткое время.
Персонал
При применении любых новых систем безопасности вы должны располагать подходящим персоналом. Некоторые системы потребуют постоянного обслуживания (механизмы идентификации пользователей и системы обнаружения вторжений). Другим системам потребуются люди для выполнения положений плана (например, для сканирования уязвимостей).
Вам потребуются обученные сотрудники при проведении учебных программ по повышению осведомленности. Сотрудник отдела информационной безопасности должен присутствовать на каждом учебном занятии, чтобы отвечать на специфические вопросы, даже если обучение проводится отделом обучения.
Последняя проблема, связанная с персоналом, - это ответственность. Ответственность за безопасность организации должна устанавливаться индивидуально. В большинстве случаев ответственным назначается руководитель отдела безопасности, который отвечает за разработку политики, исполнение плана и реализацию механизмов безопасности. Назначение этой обязанности должно быть первым шагом по пути реализации нового плана безопасности.
