Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8694 / 2417 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 12:

Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия"

Выбор регуляторов для практичной защиты

После определения объектов защиты и оценки рисков, грозящих активам, необходимо решить, как реализовать средства безопасности. Регуляторы и защитные механизмы следует выбирать так, чтобы успешно и в то же время без излишних затрат противостоять угрозам, выявленным в процессе анализа рисков.

Выбранные регуляторы представляют собой реальное воплощение политики безопасности. Они образуют первую (и главную) линию обороны. В этой связи особенно важно, чтобы регуляторы в совокупности составляли правильный набор. Если наибольшая угроза для системы - внешние злоумышленники, то нет смысла использовать биометрические устройства для аутентификации обычных, внутренних пользователей. Если, с другой стороны, основная опасность состоит в неавторизованном использовании вычислительных ресурсов внутри предприятия, целесообразно воспользоваться процедурами автоматического учета совершаемых действий.

Здравый смысл - лучшее средство формирования политики безопасности. Тщательная проработка схем и механизмов - занятие увлекательное и в определенной степени необходимое, но едва ли имеет смысл тратить деньги и время на такую проработку, если без внимания остались простые регуляторы. Например, как бы тщательно ни была продумана система, построенная на основе существующих средств безопасности, один пользователь с плохо выбранным паролем способен поставить под удар всю организацию.

Целесообразно построить эшелонированную оборону, применяя несколько стратегий защиты. При подобном подходе, если одна линия обороны оказывается прорванной, в дело вступает другая - и активы не остаются беззащитными. Комбинация нескольких простых стратегий зачастую позволяет создать более надежный заслон, чем один, даже очень сложный, метод.

Если не обеспечена физическая защита, говорить о других аспектах информационной безопасности не имеет смысла. Имея доступ к машине, злоумышленник может остановить ее, перезагрузить в привилегированном режиме, заменить диск или изменить его содержимое и т.п.

Критически важные коммуникационные каналы, серверы и другие ключевые элементы должны быть сосредоточены в закрытых помещениях. Некоторые механизмы безопасности (например, сервер аутентификации Kerberos) выполняют свои функции только при условии физической защищенности.

Для обнаружения большинства видов неавторизованного использования компьютерных систем существуют несложные процедуры, применяющие стандартные средства операционных систем или опирающиеся на инструментарий, свободно доступный из различных источников.

Системный мониторинг может выполняться как администратором, так и специально написанными программами. Он включает в себя просмотр различных частей системы в поисках чего-нибудь необычного.

Отслеживание использования систем очень важно выполнять постоянно. Бессмысленно выделять для мониторинга один день в месяце, поскольку нарушения режима безопасности зачастую длятся всего несколько часов.

Пользователям необходимо объяснить, как выявлять случаи нелегального вторжения в их счета. Если при входе в систему выдается время предыдущего входа, они должны сопоставить его со своими прошлыми действиями.

Должны быть разработаны процедуры, позволяющие докладывать о замеченных проблемах, связанных с неправильным использованием счета или с другими аспектами безопасности.

Отслеживайте состояние привилегированных счетов ("root" в ОС UNIX). Как только привилегированный пользователь увольняется или перестает нуждаться в привилегиях, следует изменить пароли всех принадлежавших ему счетов.

При установке с дистрибутива операционной системы или дополнительного программного продукта необходимо тщательно проверить результирующую конфигурацию. Многие процедуры установки исходят из предположения, что всем пользователям в организации можно доверять, оставляя файлы общедоступными для записи или иным способом компрометируя безопасность.

Тщательной проверке должны подвергаться и сетевые сервисы. Часто поставщики в стандартной конфигурации предполагают надежность всех внешних хостов, что едва ли разумно, если речь идет о такой глобальной сети, как Internet.

Многие злоумышленники собирают информацию о слабостях конкретных версий систем. Чем старее версия, тем вероятнее наличие в ее защите известных ошибок, исправленных поставщиком в более поздних выпусках. В этой связи необходимо сопоставить риск от сохранения старой версии (с "дырами" в безопасности) и стоимость перехода на новое программное обеспечение (включая возможные проблемы с продуктами неизвестных производителей). Точно так же оценивается и целесообразность постановки "заплат", предоставляемых поставщиком, но с учетом того обстоятельства, что заплаты к системе безопасности, как правило, закрывают действительно серьезные дыры.

Невозможно переоценить важность хорошей стратегии резервного копирования. Резервные копии, особенно ежедневные, могут быть полезны, помимо прочего, и для прослеживания действий злоумышленников. Анализируя старые копии, нетрудно выяснить, когда система была скомпрометирована в первый раз. Резервные копии - это и материал для правоохранительных органов.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова
Станислав Фомин
Станислав Фомин
Россия, Москва, МФТИ, 1999
Μаксим Εфремов
Μаксим Εфремов
Россия