Смекни!
smekni.com

Политика безопасности при работе в Интернете (стр. 4 из 23)

3.3. Матрица профиля

Таблица 3.1 Матрица профиля риска

Угрозы Рейтинг Видимость Рейтинг Число очков
Ни одна из угроз не считается реальной 1 Очень маленькая 1
Возможность возникновения угроз тяжело оценить 3 Средняя, периодические публикации об организации 3
Угрозы реальны, имел место ряд случаев их возникновения 5 Большая, постоянные публикации об организации 5
Последствия Рейтинг Уязвимость Рейтинг Число очков
Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска 1 Инциденты считаются приемлемыми как необходимое условие бизнеса; руководство организации с пониманием относится к этому 1
Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль 3 Инцидент повлияет на позицию среднего звена управления, исчезнет доброжелательное отношение начальства к безопасности 3
Будут затронуты внешние функции организации, нанесен большой финаносвый ущерб 5 Руководители организации станут жестче относиться к безопасности ,пострадают взаимоотношения с деловыми партнерами 5
Общее число очков:

Рейтинг: Значение для угроз умножается на значение для видимости, а значение для последствий умножается на значение для уязвимости. Затем эти два числа складываются:

  • 2 - 10: низкий риск
  • 11 - 29: средний риск
  • 30 - 50: высокий риск

3.4. Учет информационных ценностей

Чтобы гарантировать защиту всех информационных ценностей, и то, что текущая вычислительная Среда организации может быть быстро восстановлена после инцидента с безопасностью, каждый сетевой администратор должен вести учет информационных систем в его зоне ответственности. Список должен включать в себя все существующую аппаратную часть вычислительной Среды, программы, электронные документы, базы данных и каналы связи.

Для каждой информационной ценности должна быть описана следующая информация:

  • Тип: оборудование, программа, данные
  • Используется в системе общего назначения или критическом приложении
  • Ответственный за данную информационную ценность
  • Ее физическое или логическое местоположение
  • Учетный номер, где это возможно.

3.5. Система общего назначения

Система общего назначения - это "взаимосвязанный набор информационных ресурсов, которые находятся под единым административным управлением, позволяющих решать общие(неспецифические) задачи или обеспечивать их выполнение". Обычно задачей систем общего назначения является обеспечение обработки или взаимодействия между приложениями. Системы общего назначения включают в себя компьютеры, сети и программы, которые обеспечивают работу большого числа приложений, и обычно администрируются и сопровождаются отделом автоматизации в организации.

Политика безопасности для систем общего назначения как правило применима и для Интернета, так как сервера, коммуникационные программы и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым управлением.

3.6. Критические приложения

Все приложения требуют некоторого уровня безопасности, и адекватная безопасность для большинства из них обеспечивается средствами безопасности систем общего назначения, в рамках которых они функционируют. Тем не менее, некоторые приложения, из-за специфического характера хранимой и обрабатываемой в них информации, требуют специальных мер контроля и считаются критическими. Критическое приложение - это задача, решаемая с помощью компьютеров или сетей, от успешности решения которой серьезно зависит возможность существования организации или выполнения ею своего назначения.

Примерами критических приложений могут служить системы биллинга, учета заработной платы, другие финансовые системы и т.д. Так как большинство пользователей тратит основную часть своего времени на взаимодействие с одним из критических приложений, требуется включение курсов по информационной безопасности в программы переподготовки кадров для этих систем.

Большинство критических приложений сейчас не требуют связи с Интернетом, тем не менее, эта ситуация изменится в будущем. Современные операционные системы включают в себя возможности для связи с Интернетом.

3.7. Классификация данных

Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.

Большинство организаций используют такие классы, как "Коммерческая тайна" и "Для служебного пользования" . Классы, используемые в политике информационной безопасности, должны быть согласованы с другими существующими классами.

Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности - КРИТИЧЕСКАЯ ИНФОРМАЦИЯ, КОММЕРЧЕСКАЯ ТАЙНА, ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ и ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса , и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:

  • КРИТИЧЕСКАЯ ИНФОРМАЦИЯ: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это - информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.
  • КОММЕРЧЕСКАЯ ТАЙНА: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.
  • ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.
  • ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам.

4. Коммерческие требования

Коммерческие и другие организации используют Интернет потому,что он предоставляет полезные сервисы. Организации должны принять решение - будут ли использоваться или нет сервисы на базе Интернета на основании анализа бизнес-плана или плана развития информационных технологий. Другими словами, организации должны проанализировать свои потребности, выявить потенциальные методы их удовлетворения и уточнить их после учета требований со стороны безопасности помимо влияния других факторов.

Большинство организаций используют Интернет-сервисы для того, чтобы обеспечить улучшенное взаимодействие между подразделениями организации, или между организацией и ее клиентами, или чтобы сократить расходы на автоматизацию коммерческой деятельности. Безопасность должна учитываться прежде всего - один инцидент с безопасностью может зачеркнуть любые финансовые выгоды, предоставляемые соединением с Интернетом.

Может также существовать несколько технологических решений для удовлетворения коммерческих потребностей организации, некоторые из которых могут быть обезопасены легче, чем другие. Рисунок 4.1 показывает типичную сетевую архитектуру в организации для использования Интернета.

Оставшаяся часть этой главы кратко рассматривает основные сервисы, обеспечиваемые связью с Интернетом. В ней также будет указано с помощью каких средств безопасности надо защищать эти сервисы. В таблице 4.2 показано соответствие между имеющимися средствами безопасности и Интернет-сервисами, часто используемыми организациями. Крестики показывают, какие средства безопасности часто используются для организации безопасной работы данного сервиса. Некоторые из средств, такие как улаживание последствий инцидентов с безопасностью, обеспечивают безопасность для всех сервисов, в таких случаях знак стоит напротив тех сервисов, для которых данное средство необходимо.

Таблица 4.2 Использование средств безопасности для защиты сервисов

Идентификация и аутентификация Управление доступом Брандмауэр Средства контроля импортируемых про-грамм Шифро-
вание
Архитектура Устранение последствий инцидентов Организа-
ционные меры
Удаленный доступ X X X X X
Электронная почта X X X X
Публикация информации X X X X
Исследования X X X X X
Электронная коммерция X X X X X X X X
Постоянная доступность X X
Легкость использования X X

4.1. Удаленный доступ

В настоящее время коммерческая деятельность все больше требует удаленного доступа к своим информационным системам. Это может объясняться необходимостью доступа сотрудников в командировках к своему электронному почтовому ящику, или необходимостью для продавцов удаленного ввода заказов на продукцию. По своей природе удаленный доступ к компьютерным системам приводит к появлению новых уязвимых мест в них из-за увеличения точек доступа к ним.