|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
|
|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Разграничение функциональных обязанностей
Разграничение функциональных обязанностей подразумевает организацию работы с данными таким образом, что каждая из ключевых стадий, составляющих единый с точки зрения целостности процесс, необходимо участие различных пользователей. Этим гарантируется, что один пользователь не может выполнить весь процесс целиком с тем, чтобы нарушить целостность данных. Необходимо отметить, что принцип минимизации привилегий распространяется как на программу, так и на пользователей. Объективный контроль Принцип объективного контроля заключается в том, что контроль целостности данных имеет смысл лишь когда эти данные отражают реальное положение вещей. В связи с этим, Кларк и Уилсон указывают на необходимость регулярных проверок, целью которых является выявление возможных несоответствий между защищаемыми данными и объективной реальностью, которую они отражают. Управление передачей привелегий Управление передачей привилегий необходимо для эффективной работы всей политики безопасности. Если схема назначений привилегий неадекватно отражает, например, организационную структуру предприятия или не позволяет администратору безопасности гибко манипулировать ею, провоцируются по пытки обойти систему защиты со стороны пользователей системы. Простота использования защитных механизмов Простота использования защитных механизмов подразумевает ряд способов и методов, направленных на эффективное применение имеющихся механизмов обеспечения безопасности.
Политика безопасности Политика безопасности устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Она заставляет людей делать вещи, которые они не хотят делать. Однако, она имеет огромное значение для организации, и является наиболее важной работой отдела информационной безопасности. Необходимость и важность политики Политика безопасности определяет: · безопасность внутри организации; · место каждого служащего в системе безопасности. Какой должна быть безопасность Определение способов развертывания системы безопасности, определение надлежащих механизмов для защиты информации и систем, правильная настройка компьютерных систем и сетей в соответствии с требованиями физической безопасности – это все функции политики безопасности. Политика устанавливает порядок осуществления служащими своих обязанностей, связанных с вопросами безопасности, определяет поведение пользователей при использовании компьютерных систем, размещенных в организации. И самое главное, она устанавливает порядок реагирования в случае каких-либо непредвиденных обстоятельств. При нарушении безопасности или сбое в работе системы, политики и процедуры устанавливают порядок действий и выполнения задач, направленные на устранение последствий этого инцидента. Определение различных политик Существуют различные политики, для которых есть три основных общепринятых раздела. · Цель. Каждая политика и процедура имеют четко определенную цель, описывающая причины, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация. · Область. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим. · Ответственность. В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур, которые должны быть надлежащим образом обучены и знать все требования политики. Виды политик Информационная политика. Цель – определить секретную информацию внутри организации и способы ее защиты. Разрабатываемая политика должна предусмотреть защиту для всех форм представления информации, как на бумажных носителях, так и в виде файлов на компьютере. А для этого определение секретной информация должно быть тщательно и четко сформулировано в политике и донесено до служащих. Классифицирование При классифицировании обычно достаточно для любой организации двух или трех уровней. Первый уровень – общая информация. Второй уровень – проприетарная, секретная или конфиденциальная информация, недоступная для общего пользования. Третий уровень – защищенная информация или для служебного пользования, доступ к которой открыт для ограниченного количества служащих. Маркировка и хранение секретной информации Существует так же маркировка и хранение секретной информации, которая диктует эти правила для бумажных и электронных документов. На бумажных документах маркируется каждая страница вверху и внизу с помощью верхних и нижних колонтитулов, используя заглавные буквы, выделенные полужирным шрифтом или курсивом, различные гарнитуры шрифта, чтобы сделать текст удобочитаемым. При хранении таких документов должна работать политика чистых столов. Другими словами, все документы должны быть спрятаны в сейф, а кабинеты закрываться на замок. При хранении данных в компьютерных системах, политика должна определить соответствующие уровни защиты (управление доступом к файлам, парольная защита, шифрование). При передаче секретной информации политика должна определять способы безопасной передачи. При уничтожении секретной информации лучше использовать необходимое оборудование (для бумажных носителей) или специальное программное обеспечение (для информации в электронном виде). Политика безопасности Основная цель политики безопасности – определение технических требований к защите компьютерных систем и сетевой аппаратуры, способы настройки систем администратором с точки зрения их безопасности. Главная ответственность за развертывание этой политики ложится на системных и сетевых администраторов при поддержке руководства. Политика безопасности определяет так же требования, выполнение которых должно быть обеспечено на каждой системе. Однако она не определяет конкретную конфигурацию различных операционных систем. Это устанавливается в отдельных процедурах по настройке, и могут быть размещены в приложении к политике. Идентификация и аутентификация Следующие возможности политики безопасности – определение порядка идентификации пользователей. Это будет либо стандарт для идентификаторов пользователей, либо раздел в процедуре системного администрирования, в котором определяется этот стандарт. Важным моментом является установление основного механизма для аутентификации пользователей и администраторов. Это определение минимальной длинны пароля, его максимальный и минимальный возраст и требования к его содержимому. Для администраторов методы аутентификации должны быть более строгими, чем для пользователей (смарт-карты). Управление доступом При установке требований к управлению доступом к электронным файлам, механизм доступа и аутентификационным механизм работают в паре, что обеспечивает получение доступа к файлам только авторизованным пользователям. Аудит политики безопасности – определяет типы событий, отслеживаемых во всех системах: · попытки входа в систему (успешные или неудачные); · выход из системы; · ошибки доступа к файлам или системным объектам; · попытки удаленного доступа (успешные или неудачные); · действия привилегированных пользователей (администраторов), успешные или неудачные; · системные события (выключение и перезагрузка). Каждое событие должно включать следующую информацию: · ID пользователя (если имеется); · дата и время; · ID процесса (если имеется); · выполненное действие; · успешное или неудачное завершение события. В политике безопасности устанавливается срок и способ хранения записей аудита. По возможности указывается способ и частота просмотра этих записей. Сетевые соединения Политика безопасности так же описывает правила установки сетевых соединений и используемые механизмы защиты. Для соединений наборного доступа устанавливают технические правила аутентификации и аутентификации для каждого типа соединения (строгий контроль над разрешенными точками доступа). В качестве устройств защиты выделенных линий используют межсетевые экраны. Политика безопасности должна: · определять механизмы, используемые при осуществлении удаленного доступа сотрудниками к внутренним системам. При этом политика безопасности должна определять процедуру прохождения авторизации для такого доступа. И самое главное при осуществлении удаленного доступа, чтобы все соединения были защищены шифрованием; · определять условия, при которых разрешается использование беспроводных соединений (если таковые имеются), и то, каким образом будет осуществляться авторизация в такой сети (дополнительные требования, предъявляемые к аутентификации или шифрованию); · быть определено размещение программ безопасности, с определенными требованиями, отслеживающих вредоносный код (вирусы, черви, “черные ходы” и “троянские кони”). Места для размещения – файловые серверы, рабочие станции и серверы электронной почты; · определять приемлемые алгоритмы шифрования для применения внутри организации и ссылаться на информационную политику для указания соответствующих алгоритмов для защиты секретной информации. Отказ от защиты При запуске систем не отвечающим требованиям политики безопасности, в устройстве предусматривается механизм, оценивающий степень риска, которому подвергается организация, и последующий план действий предпринимаемых при возникновении непредвиденных обстоятельств. Для этих целей предназначен процесс отказа от защиты. Менеджер проекта должен заполнять форму отказа следующей информацией: · система с отказом от защиты; · раздел политики безопасности, соответствие которому будет нарушено; · ответвления организации (обуславливают повышенную степень риска); · шаги, предпринимаемые для снижения или контроля степени опасности; · план восстановления соответствия системы требованиям политики безопасности. Запрос об отказе от защиты должен рассмотреть и предоставить свою оценку риска, рекомендации по его снижению и управлению потенциально опасными ситуациями, отдел информационной безопасности. Ответственное за проект должностное лицо организации должно подписать отказ от защиты, заверяя свое понимание потенциальной опасности, связанной с отказом от защиты, и соглашается с необходимостью отказа организации от соответствия требованиям защиты. А так же согласие с тем, что шаги по контролю над степенью риска соответствуют требованиям и будут выполняться (при необходимости). В приложениях или в отдельных описаниях процедур должны размещаться подробные сведения о конфигурации для различных операционных систем, сетевых устройств и другого телекоммуникационного оборудования, что позволяет модифицировать документы по мере необходимости без изменения политики безопасности организации. |
Последнее изменение этой страницы: 2017-03-15; Просмотров: 950; Нарушение авторского права страницы