Дополнительная информация о реагировании на инциденты

Информацию об инцидентах предоставляют также службы, выявляющие ошибки в программном обеспечении. По причине того, что многие проблемы с защитой возникают именно в результате использования этих ошибок, имеет смысл просматривать эти узлы и внести их в свой список рассылки.

Bugtraq — Рассылаемый список обнаруженных ошибок из любых источников — http://www.security-focus.com NT Bugtraq — подобна Bugtraq, но специализируется в операционной системе Windows NT — http://www.ntbugtraq.com Common Vulnerabilities and Exposures (CVE). Описывает все известные сведения о компьютерных системах, с помощью которых можно нарушать безопасность систем — http://cve.mitre.org

Группы реагирования на инциденты

Перечисленные в этом разделе группы распространяют информацию о проблемах с защитой, о которых им стало известно. Помимо отчетов об инцидентах эти группы работают с множеством поставщиков и пользовательских организаций, предупреждая их о потенциальных проблемах. Этим занимается каждая группа. Кроме того, они предоставляют собственный перечень услуг, включая архивирование защитного программного обеспечения (источник информации) и отправление сообщений об инцидентах.

Координационный центр CERT (CERT/CC) (Институт по разработке программного обеспечения при университете Карнегн Меллон) — http://www.cert.org Центр защиты национальной инфраструктуры (National Infrastructure Center) (финансируемый Федеральным Бюро Расследований) — http://www.nipc.gov Консультативная служба компьютерных инцидентов (Computer Incident Advisory Capability) (финансируемая министерством энергетики США) — http://www.ciac.org/ciac Федеральная служба реагирования на компьютерные инциденты (Federal Computer Response Capability— FedCIRC) (финансируемая управлением общественных работ США) — http://www.fedcirc.gov Группа компьютерной "скорой помощи" Австралии (AusCERT) — http://auscert.org.au Исследовательская группа компьютерной "скорой помощи" Германии (DFN-CERT) (существует и английский вариант этого узла) — http://www.cert.dfn.de

Информация поставщиков о средствах защиты

Ниже представлены адреса Web-узлов основных поставщиков операционных и сетевых систем, а также пользовательских групп, занимающихся вопросами защиты этих систем. На этих узлах можно найти информацию от поставщиков о решении различных проблем безопасности. По адресам Web-узлов, помеченных "звездочкой" (*), можно связаться непосредственно со штаб-квартирами корпораций-поставщиков или выйти на поддерживаемую ими страницу, так как эти поставщики не предоставляют отдельно услуг по защите или предоставляют их только на условиях подписки.

Caldera OpenLinux — http://www.calderasystems.com/support/security Cisco — *http://www.cisco.com/public/Support_root. shtml Compaq — *http://www.compaq.com/support/default.html Debian GNU/Linux — http://www.debian.org/security/ FreeBSD — http://www.freebsd.org/security/ Hewlett Packard — (США/Канада) *http://us-support.external.hp.com/index.html/ (Европа) *http://europe-support.external.hp.com/index.html/ IBM (вся продукция и общая информация) — http://www.ibm.com/security/ Microsoft — http://www.microsoft.com/security/ Netscape — http://home.netscape.com/security/index.html NetBSD — http://www.netbsd.org/Security/index.html Novell — http://www.novell.com/corp/security/ OpenBSD — http://www.openbsd.com/security.html Red Hot Linux — *http://www.redhat.com/support/ Santa Cruz Operation — http://www.sco.com/security/ Silicon Graphics, Inc. — http://www.sgi.com/support/security/index.html Slackware Linux — *http://www.slackware.com Sun Microsystems — http://sunsоlve.Sun.COM/pub-cgi/show.pl?target=security/sec Java Security — http://java.sun.com/security S.u.S.E., Inc. (Linux) — http://www.suse.de/de/support/security/index.html Wind River Systems (включая BSDI) — *http://www.windriver.com

Информационные ресурсы по вопросам безопасности

Ниже следует список групп, которые предоставляют важную информацию по вопросам безопасности. Предоставляемые ими информационные ресурсы состоят из коммерческих, образовательных и правительственных программ. Эта информация бесплатна и, в большинстве случаев, регулярно обновляется.

@Stake Research Laboratories (бывшая L0pht Heavy Industries) — http://www.atstake.com/research About.com Metwork/Internet Security Forum — http://netsecurity.about.com CERIAS (Purdue University). Для получения полного списка ресурсов рекомендуем посетить CERIAS HotList — http://www.сеrias.purdue.edu CERT Coordination Center (Carnegie Mellon University) — http://www.cert.org Отделение компьютерных преступлений и интеллектуальной собственности (CCIPS— Computer Crime and Intellectual Property Section) при криминальном управлении департамента юстиции США — http://www.cybercrime.gov Компьютерная защита и разведка — http://www.с4i.org Институт Компьютерной Безопасности — http://www.gocsi.com Центр средств компьютерной безопасности (Computer Security Resource Center) (финансируемая Национальным институтом стандартов и технологий (NIST — National Institute of Standards and Technology)) — http://csrc.nist.gov Packet Storm — http://www.packetstormsecurity.org Институт SANS — http://www.sans.org Ассоциация безопасности в промышленности (Security Industry Association) — http://www.securitygateway.com

Криптографические правила и нормативы

Шифрование - это единственная область компьютерных технологий, которая регулируется законами, правилами и соглашениями. Исторически сложилось так, что все криптографические средства контролировались теми же правилами, что и вооружение. Согласно этим правилам нет никакой разницы между противоракетными системами и криптографией, предназначенной для защиты электронных операций. В США введены некоторые правила касательно импортирования продукции шифрования, и пользователи в Соединенных Штатах могут использовать криптографию, насколько, на их взгляд, она отвечает этим правилам. Проблема возникает, когда организациям требуется применить криптографию для защиты обмена информацией с заокеанскими офисами. Несмотря на некоторое смягчение законодательства в этой области, экспортирование криптографических средств все еще представляет серьезную проблему.

В США контролем экспорта коммерческой криптографической продукции занимается министерство торговли, бюро управления экспортом, управление регулирования стратегической торговли и внешней политики и департамент регулирования информационных технологий. Правила экспорта средств криптографии можно найти в постановлениях администрации по экспорту (Export Administration Regulations — EAR), 15 C.F.R., разделы 730-774. Для получения более подробной информации можно посетить узел http://www.bxa.doc.gov/Encryption/Default.htm. Вассенаарское соглашение представляет собой соглашение 33 стран по контролю за экспортом основных (не ядерных) видов вооружения и товаров и технологий двойного назначения. В одну из групп этих технологий включена также криптографическая продукция. Web-узел с информацией этого соглашения предоставляет основные правила и нормативы стран-участниц соглашения, а также контактную информацию. Более подробную информацию можно найти по адресу http://www.wassenaar.org.

Ниже представлены другие источники информации.

Департамент юстиции США, правила шифрования — http://www.cybercrime.gov/cryptfaq.htm Юридическая служба криптографии (Crypto Law Survey) Bert-Jaap Koops — http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm Статья "Ресурсы криптографии в Web" эксперта по вопросам безопасности и криптографии Мэтта Блейза (Matt Blaze) из AT&T Laboratories — http://www.crypto.com Counterpane Labs, эксперт в вопросах защиты и криптографии Брюс Шнейер (Bruce Schneier) — http://www.counterpane.com/labs.html

Содержание

Вперед

Промышленные консорциумы и объединения

Было сделано много попыток объединить людей и организации для распространения идей и средств информационной безопасности. Ниже представлен список некоторых таких организаций, которые на время издания этой книги вели активную деятельность в этой области.

Совет руководителей по информатизации (СIO Council) — http://www.cio.gov Институт CIO — http://www.cio.org Форум групп реагирования на инциденты (Forum of Incident Response Teams) — http://www.first.org Форум по вопросам защиты информации — http://www.securityforum.org Альянс защиты Internet (Internet Security Alliance) — http://www.isalliance.org

Публикации по вопросам защиты

Ниже представлены печатные издания, содержащие информацию по вопросам профессиональной защиты информации. Для подписки на эти издания необходимо посетить следующие узлы.

Информационная безопасность (Information Security) — http://www.infosecuritymag.com SC: Information Security Magazine — http://www.scmagazine.com

Ресурсы

Данные ресурсы представляют собой список адресов Web-узлов, документы, а также другую информацию, которая может оказаться полезной при разработке правил информационной безопасности и внедрении программы защиты информации в вашей организации. Информацию по вопросам безопасности можно получать из самых разных источников. Ниже представлено множество различных источников, включая коммерческие, некоммерческие, правительственные и "подпольные" ресурсы.

Ссылки на правила безопасности

Ниже следуют ссылки на различные онлайновые ресурсы, которые можно использовать для разработки правил информационной безопасности.

Проблемная группа инженерных исследований Internet (Internet Engineering Task Force) разработала статью "Запросы на комментарии" (RFC — Requests for Comments), RFC Editor — http://www.rfceditor.org. RFC 2196 — Руководство по защите узла; Б. Фрэйзер (В. Fraser), Editor, SEI/CMU; сентябрь 1997 года: ftp://ftp.isi.edu/in-notes/rfc2196.txt RFC 2504 — Руководство по защите пользователей; Е. Гуттман (Е. Guttman), Sun Microsystems; Л. Леонг (L. Leong), COLT Internet; Г. Малкин (G. Malkin), Bay Networks; февраль 1999 года: ftp://ftp.isi.edu/in-notes/rfc2504.txt RFC 2828 — Словарь по безопасности Internet. P. Шайри (R. Shirey), GTE/BBN Technologies; май 2000 года: ftp://ftp.isi.edu/in-notes/rfc2828.txt RFC 3013 — Рекомендованные провайдерами услуг Internet система безопасности и процедуры; Т. Киллалия (Т. Killalea), neart.org; ноябрь 2000 года: ftp://ftp.isi.edu/in-notes/rfc3013.txt SANS Institute Reading Room выпустили несколько отдельных статей по вопросам разработки правил информационной безопасности. Эти статьи охватывают многие вопросы, начиная с помощи читателю в определении правила и заканчивая работами по его внедрению и юридическому обоснованию. Их можно найти по адресу http://www.sans.org/infosecFAQ/policy/policy_iist.htm Разработка правил безопасности узла AusCERT, Роб МакМиллан (Rob McMillan): ftp://ftp.auscert.org.au/pub/auscert/papers/Site.Security.Policy.Development.txt Прекрасные образцы правил, разработанных для университета, можно найти в Калифорнийском университете по адресу http://security.ucdavis.edu/policies Национальный институт стандартов и технологий (NITS) поддерживает стандарты безопасности, используемые гражданскими учреждениями. Руководство по разработке программы обеспечения безопасности для систем информационных технологий, отдельная публикация 800-18 (SP 800-18) предоставляет рекомендации правительственным учреждениям для разработки программы обеспечения безопасности. SP 800-18 помогает учреждениям работать в соответствии с постановлениями, выпущенными административным и бюджетным управлением (Office of Management and Budget— OMB). (Циркуляр А-130 (Управление федеральными информационными ресурсами), Приложение III (Защита федеральных автоматизированных информационных ресурсов)). Тем, кто сотрудничает с правительством США по вопросам информационной безопасности, необходимо прочитать эти документы, чтобы выяснить установленные к учреждениям требования. Копии этих документов можно найти по следующим адресам: NIST SP 800-18 — http://csrc.nist.gov/publications/nistpubs/800-18/Planguide.PDF Циркуляр OMB F-130 Приложение III — http://www.whitehouse.gov/omb/circulars/al30/al30appendix_iii.html Несмотря на то, что национальное космическое агентство США NASA (National Aeronautics and Space Administration) не является гражданским учреждением, оно предоставляет прекрасную программу обеспечения безопасности, разработанную для одного из своих проектов. Этот проект программы обеспечения безопасности объединенных сетевых систем (Integrated Services Network - NISN) NASA можно найти по адресу: http://www.nisn.nasa.gov/Doc_Repos/secplan.html Правила безопасности и основные стандарты бесполезны без их широкого внедрения. Насколько вам это удастся, и насколько вы справитесь с их согласованием и утверждением, определит успех вашей работы. На узле компании Security Risk Associates (в Великобритании) имеется множество статей по этим вопросам. Их можно найти по адресу http://www.security.kirion.net/securitypolicy.

Содержание

Закон о страховании здоровья и медицинской ответственности

Закон о страховании здоровья и медицинской ответственности (Health Insurance Portability and Accountability Act — HIPAA) был принят в 1996 году министерством здравоохранения (Health and Human Services — HHS) для разработки стандартов безопасности и конфиденциальности, чтобы обеспечить защиту электронной информации здравоохранительных учреждений. Были разработаны стандарты защиты и конфиденциальности по обработке, хранению и пересылке этих данных, чтобы предотвратить непреднамеренное или несанкционированное использование информации, а также ее разглашение. Стандарты безопасности защиты пересылаемых данных были разработаны в августе 2000 года, а стандарты конфиденциальности — в апреле 2001 года. Система здравоохранения имела два года для приведения своих информационных систем в соответствие с постановлениями HIPAA. Ниже представлены источники информации о HIPAA.

Закон о страховании здоровья и медицинской ответственности 1996 года (HIPAA), разработанный департаментом здравоохранения США и финансовым управлением службы обеспечения здоровья людей — http://www.hcfa.gov/hipaa/hipaahm.htm Phoenix Health Systems, консалтинговая фирма, специализирующаяся на информационных системах здравоохранения, финансирует этот Web-узел с информационными ресурсами HIPAA с одобрения HIPAA — http://www.hipaadvisory.com Разработка правил безопасности HIPAA: Совместное решение, Майлс М. Сато (Miles M. Sato) из SANS Institute Reading Room. ЗО апреля 2001 года — http://www.sans.org/infosecFAQ/policy/HIPAA_policy.htm

Защита от вирусов

Ниже представлены адреса Web-узлов основных поставщиков антивирусного программного обеспечения. Пользователям антивирусных программ от этих поставщиков настоятельно рекомендуется посетить их страничку и воспользоваться бесплатными услугами по обновлению. Это позволит получать информацию о самых последних атаках и защитить свою сеть. Ни в коем случае нельзя пренебрегать защитой от вирусов! Анализ самой последней информации и проведение активной программы антивирусной защиты является единственным способом защиты систем. Кроме того, необходимо, чтобы каждый сотрудник организации осознавал необходимость зашиты от вирусов и проведения профилактических мер.

Virus Bulletin (онлайновая публикация не от поставщиков) — http://www.virus-btn.com Computer Associates Virus Information Center (InoculateIT) — http://www.cai.com/virusinfo/ DataFellows F-Secure Virus Info Center — http://www.datafellows.com/vir-info FRISK Software International (F-PROT and F-Stop) — http://www.complex.is McAfee Anti-Virus Emergency Response Team — http://www.avertlabs.com Norman Antivirus Control — http://www.norman.no ProLand Software Protector Plus — http://www.pspl.com Sophos Virus Information Center — http://www.sophos.com/virusinfo Symantec (Norton) AntiVirus Research Center — http://www.symantec.com/avcenter/index. html TrendMicro Security Info-Virus Encyclopedia — http://www.antivirus.com/vinfo/index.htm

Живучесть

"Живучесть - это способность сетевой компьютерной системы выполнять основные функции во время атак, повреждений и аварийных ситуаций и быстро восстанавливать все функции" (Р.Дж.Эллисон, Д.А. Фишер, Р.С. Лингер, Х.Ф. Липсон, Т.Лонгстафф, Н.Р. Мид "Живучесть сетевых систем: Новая дисциплина." Технический отчет CMU/SEI-97-TR-o13, ESC-TR-97-013. Ноябрь 1997 год. Адрес в Internet: http://cert.org/research/97tr013.pdf). Исследование систем на живучесть представляет собой немалый интерес, поскольку оно представляет собой попытку выйти за общепринятые рамки возведения стен и создания проходов через эти барьеры, а вместо этого сосредоточить внимание на обеспечении выполнения системой технологических задач. Ниже следуют адреса узлов, на которых можно получить более подробную информацию.

Несмотря на то, что в области исследований живучести систем работают многие организации, пионером является Институт Разработки программного обеспечения в Университете Карнеги Меллон. Подробности их исследований можно найти по адресу http://www.cert.org/nav/index_purple/html. Университет Департамента компьютерных исследований в штате Вирджиния также проводил исследования по вопросам живучести в своем Центре исследования живучести информационных систем. Информация с их Web-узла (http://www.cs.virginia.edu/~survive/) предоставит читателю возможность взглянуть с другой стороны на влияние живучести на защиту секретных инфраструктур. Статья "Самозащиты может оказаться недостаточно. Обзор вопросов живучести систем", Джон Прайс (John Price) (10 мая 2001 года) четко разъясняет вопросы живучести и ее роль в защите информации. Язык статьи поймет даже неискушенный в технических вопросах руководитель. Статья была опубликована в SANS Information Security Reading Room и может быть найдена по адресу http://www.sans.org/infosecFAQ/securitybasics/not_enough.htm.

Содержание

Вперед

Администрирование электронной почты

Компания несет ответственность за создание и управление инфраструктурой, которая поддерживает условия безопасности и успешной доставки электронной почты внутри Компании, клиентам, партнерам и другим лицам через Internet.

В качестве части архитектуры системы Компания должна обеспечить средства сканирования содержимого сообщений для предотвращения распространения вирусов, "червей", "троянских коней" и других вредных элементов, которые могут нести угрозу безопасности систем и сети.

Архивирование электронной почты

Вся электронная почта сохраняется и архивируется. Архив находится на сервере, контролируемом и управляемом системным администратором и администратором безопасности, а доступ к нему должен быть разрешен только руководителям службы безопасности, руководству отдела кадров и исполнительным руководителям Компании. Этот архив может анализироваться в любое время для проверки выполнения пользователями правил Компании. Исполнительное руководство и руководство службы безопасности должны разработать план пересмотра и выработать систему наказания нарушителей.

Архив электронной почты будет оставаться в онлайновом режиме в течение шести месяцев, а затем будет помещен на автономное запоминающее устройство. Автономное запоминающее устройство должно обслуживаться в течение двух лет или более, в зависимости от условий договора или предписаний судебных органов. По истечении двух лет автономный носитель будет вытерт или уничтожен согласно с принятой технологией его применения.

Дисциплинарные меры

ЦЕЛЬ. Установить нормы поведения для работающих в сети и с системами Компании.

ПРАВИЛО. Категорически запрещено любое поведение, которое неблагоприятно отражается на работе других лиц в системах и сетях Компании, или которое может навредить другим лицам.

ЦЕЛЬ. Утвердить право руководства отменятъ право доступа к системам и сети для тех, кто нарушает эти правила.

ПРАВИЛО. Руководство имеет право аннулировать любые привилегии доступа пользователей и в любой момент разорвать с ними трудовое соглашение за нарушения предписаний правил безопасности или за поведение, мешающее нормальной работе сети и компьютерных систем Компании.

ЦЕЛЬ. Утвердить право руководства разрывать соглашения и контракты с теми, кому предоставлено право доступа к системам и сети на основании этих соглашений, если они нарушили эти правила.

ПРАВИЛО. Руководство имеет право разорвать контракты и договоры с подрядчиками и другими внешними пользователями, если они нарушают предписания правил или демонстрируют поведение, которое мешает нормальной работе сети и компьютерных систем Компании.

ЦЕЛЬ. Утвердить право руководства докладывать о нарушениях закона в соответствующие правоохранительные организации.

ПРАВИЛО. Руководство имеет право применить собственные меры наказания вместо соответствующих санкций по криминальному или гражданскому законодательству против любого, кто использует, злоупотребляет или атакует сеть организации и информационные системы таким образом, что это может быть отнесено к нарушениям закона и предписаний этих правил.

Дисциплинарные взыскания

Руководство имеет полномочия аннулировать право доступа любого пользователя при нарушении им этого правила, или если его действия нарушают нормальное функционирование информационных систем компании. Не допустимы любые действия, которые неблагоприятно влияют на использование систем и сетей компании другими лицами или которые могут оскорбить или нанести вред другим. Лица, нарушающие это правило, могут быть уволены.

Полномочия могут быть установлены без позволения, в этом случае руководство не несет ответственности за потерю или повреждение данных.

Информационные системы предназначены для обслуживания бизнеса

Информационные системы Компании изначально предназначены для выполнения задач, связанных с бизнесом Компании.

Персонал Компании может пользоваться информационными системами только в разрешенных пределах. Это использование не должно занимать много времени, а также не должно мешать выполнению основных задач. Личные сообщения не должны посылаться группам людей или другим служащим, за исключением случаев участия в соответствующих форумах (таких как конференции пользователей Usenet). Разрешение на широковещательное распространение личных сообщений нужно получить у вашего руководителя.

Инструктаж пользователей

ЦЕЛЬ. Обеспечить знание и понимание всеми пользователями правил.

ПРАВИЛО. Все пользователи сетей и систем Компании должны пройти инструктаж для ознакомления с правилами безопасности, прежде чем им будет предоставлен доступ. Пользователи, которые уже работают в сети, должны пройти инструктаж в течение 30 дней после введения в действие этих правил.

Интеллектуальная собственность и лицензирование

Легкость копирования электронных сообщений по пути следования их через различные коммуникационные системы представляет серьезный риск, связанный с нарушением прав интеллектуальной собственности. Каждый пользователь должен знать и соблюдать права других лиц на интеллектуальную собственность.

Программное обеспечение, которое может быть помечено как "бесплатное", "общедоступное" и "для открытого использования", может быть бесплатным для личного пользования, но не для корпоративного использования. При загрузке программного обеспечения из Internet и использовании этих программ может быть нарушено авторское право или не выполнены требования по приобретению лицензии. Поэтому, прежде чем использовать любое общедоступное программное обеспечение, вам необходимо в обязательном порядке получить разрешение вашего руководителя или юридического отдела

Не копируйте программное обеспечение, которое является интеллектуальной собственностью Компании, если в лицензии на это программное обеспечение не подтверждено ваше право делать это.

Пользователи не могут устанавливать программное обеспечение, взятое с их собственных домашних компьютеров или с каких-либо других компьютеров, пока не будет представлена лицензия на такое использование.

Без соответствующего разрешения копировать программное обеспечение, являющееся собственностью компании, запрещено.

Удаление документов об интеллектуальной собственности других лиц запрещено.

Контроль и конфиденциальность

Электронные сообщения, проходящие через информационные системы Компании, являются собственностью Компании и предназначены для выполнения задач бизнеса. Компания рассматривает все сообщения: отправленные, принятые или хранящиеся в архиве, как производственную информацию, включая и информацию, полученную для личных целей. Поэтому, конфиденциальность всех сообщений пользователей будет соблюдаться только на условиях Компании. Даже если Компания не занимается этим целенаправленно, она оставляет за собой право на контроль, предоставление доступа, пересмотр, копирование, хранение или удаление любых электронных сообщений, включая личные сообщения, получаемые с ее систем для любых целей, а также на передачу этой информации в другие руки, если Компания сочтет это необходимым.

Обязанности администраторов

ЦЕЛЬ. Обязать администраторов сохранять важные записи, фиксирующие нарушения безопасности.

ПРАВИЛО. Администраторы безопасности и системные администраторы должны делать записи обо всех нарушениях безопасности. Эти записи должны быть достаточно подробны, чтобы их можно было использовать для наложения дисциплинарных взысканий и при доработке правил безопасности.

ЦЕЛЬ. Обязать использовать журналы допустимых рисков в качестве утвержденной правилами безопасности процедуры разрешенного нарушения этих правил.

ПРАВИЛО. Администраторы безопасности должны вносить каждое разрешенное нарушение правил в журналы допустимых рисков. Руководители, которым необходимо нарушить отдельные предписания этих правил, должны расписаться в таком журнале и, тем самым, взять на себя ответственность за безопасность систем и сетей.

ЦЕЛЬ. Установить, что только системные и сетевые администраторы могут создавать и поддерживать идентификационные реквизиты пользователей и информацию, обеспечивающую управление доступом.

ПРАВИЛО. Системные и сетевые администраторы должны быть назначены ответственными за работу с информацией о пользователях и средствах управления доступом. В эти обязанности необходимо включить создание и модификацию учетных записей пользователей, а также, при необходимости, внесение изменений в средства управления доступом.

ЦЕЛЬ. Установить проведение полугодового аудита идентификационных реквизитов пользователей и средств управления доступом.

ПРАВИЛО. Системные администраторы и администраторы безопасности должны один раз в полгода проводить аудит учетных записей пользователей и соответствующих средств управления доступом для обеспечения их пригодности к использованию.

ЦЕЛЬ. Обязать администраторов разработать процедуры регистрации определенных функций систем и сетей.

ПРАВИЛО. Системные, сетевые администраторы, а также администраторы безопасности должны определить, какую информацию необходимо сохранять в системных и сетевых журналах. Кроме того, необходимо регистрировать все важные действия в области обеспечения безопасности.

ЦЕЛЬ. Обязать регулярно анализировать содержимое различных журналов регистрации и назначить администраторов, которым будет предоставлено исключительное право просматривать журналы.

ПРАВИЛО. Только уполномоченные администраторы должны регулярно просматривать системные и прочие журналы регистрации.

ЦЕЛЬ. Обеспечить защиту различных журналов регистрации.

ПРАВИЛО. Администраторы должны предпринять необходимые меры предосторожности, чтобы исключить отключение заполнения журналов, их исправление или удаление.

ЦЕЛЬ. Обеспечить гарантии своевременной отчетности администраторов о нарушениях защиты.

ПРАВИЛО. При обнаружении нарушений этих правил или безопасности сетей администраторы должны выполнить установленные процедуры.

ЦЕЛЬ. Обеспечить создание резервных копий и архивирование системных журналов.

ПРАВИЛО. Администраторы должны дублировать активные регистрационные журналы на онлайновые запоминающие устройства. Онлайновая копия должна быть заархивирована и перенесена на автономное запоминающее устройство в последний день каждого месяца. Автономное запоминающее устройство, на котором хранятся журналы, должно обслуживаться в течение двух лет, если в договоре или предписаниями судебных органов не установлен более длительный срок хранения.

Обязанности пользователей

Сообщения электронной почты являются эквивалентом почтовых открыток. Во время ее доставки каждый может прочитать содержимое сообщений. Секретная, конфиденциальная или запатентованная информация может отправляться только пользователям, которые имеют доступ к локальной сети. Патентованная информация может отправляться клиентам и партнерам, имеющим подключение к локальной сети. Нельзя отправлять через Internet никакую секретную, конфиденциальную или патентованную информацию.

Все пользователи электронной почты Компании должны выполнять Десять заповедей электронной почты. (Эти заповеди были разработаны Патрицией Макинтош (Patricia McIntosh) (fyrewede@concentric.net) и разосланы по многим адресам (дата неизвестна)).

1. Вы должны оказывать то же уважение, что и при устном общении. 2. Вы должны проверять правописание, грамматику и трижды перечитывать свое сообщение перед отправлением. 3. Вы не должны участвовать в рассылке посланий, пересылаемых по цепочке (чаще всего это письма религиозно-мистического содержания). 4. Вы не должны по собственной инициативе пересылать по произвольным адресам незатребованную информацию. 5. Вы не должны рассылать сообщения, которые являются зловредными, раздражающими или содержащими угрозы другим пользователям. 6. Вы не должны отправлять никаких сообщений противозаконного или неэтичного содержания. 7. Вы должны помнить, что электронное послание является эквивалентом почтовой открытки и не должно использоваться для пересылки секретной информации. 8. Вы не должны использовать широковещательные возможности электронной почты за исключением выпуска уместных объявлений. 9. Вы должны свести к минимуму количество электронных посланий личного характера. 10. Вы должны неукоснительно соблюдать правила и инструкции и помогать администраторам бороться с нарушителями правил.

Обязанности руководства

ЦЕЛЬ. Предоставить право на проведение мониторинга.

ПРАВИЛО. Руководство имеет право контролировать всю деятельность в системах и сетевой трафик для обеспечения гарантий выполнения этих правил. Для этого руководство назначает соответствующих администраторов и возлагает на них обязанности по проведению мониторинга, а также другие обязанности, связанные с поддержкой безопасности.

ЦЕЛЬ. Предоставить право устанавливать средства управления доступом.

ПРАВИЛО. Руководство имеет право устанавливать средства управления доступом в соответствии с требованиями этих правил.

ЦЕЛЬ. Предоставить право тестирования средств управления доступом.

ПРАВИЛО. Руководство и назначенные администраторы несут ответственность за тестирование средств управления доступом и сети на наличие уязвимых мест. Пользователи не должны проводить тестирование на наличие уязвимых мест в сети и средств управления доступом вручную или с помощью программных средств.

ЦЕЛЬ. Исключитъ возможность использования уязвимых мест.

ПРАВИЛО. Когда уязвимые места становятся известны, пользователи не должны использовать их возможности вручную или с помощью программных средств.

ЦЕЛЬ. Ограничить пользование средствами обеспечения безопасности и тестирования только представителями руководства и администраторами.

ПРАВИЛО. Руководство и назначенные администраторы должны иметь доступ к средствам, которые могут помочь в управлении и тестировании системы обеспечения информационной безопасности. Пользователи не должны иметь доступ к этим средствам через сеть Компании. Пользователи не должны загружать эти средства в любую область сети или "скачивать" их оттуда.

Обязательство

Я подтверждаю, что прочитал этот документ и буду соблюдать правила информационной безопасности Компании.

Правило хранения данных

Компания будет сохранять все сообщения электронной почты и любые копии этих сообщений в течение шести месяцев. Резервные копии информации от других компьютерных систем будут храниться в течение одного года или дольше, если это предусмотрено условиями договора.

Правило увольнений

ЦЕЛЬ. Установить процедуры добровольного или принудительного увольнения пользователей.

ПРАВИЛО. Права доступа к ресурсам организации пользователей, которые разорвали трудовые отношения с организацией, должны быть немедленно аннулированы. Администраторы должны привести в порядок программы и другие данные, с которыми работали эти пользователи. Администраторы должны разработать процедуры аннулирования прав доступа этих пользователей.

Правовые санкции и отчетность об инцидентах

ЦЕЛЬ. Установить, что каждый отвечает за реализацию этих правил.

ПРАВИЛО. Все пользователи должны нести ответственность за внедрение и реализацию положений этих правил, а также связанных с ними процедур. О нарушениях этих правил и процедур необходимо составлять отчеты, пользуясь утвержденными для выполнения этой работы процедурами.

ЦЕЛЬ. Ввести программу мониторинга различных сообщений об инцидентах, связанных с информационной безопасностъю, и об ошибках в программном обеспечении.

ПРАВИЛО. Администраторы должны отслеживать широковещательные публикации организаций, сообщающие об инцидентах, ошибках и других проблемах, которые могут повлиять на безопасность сети и систем организации. В список этих организаций должны входить, но крайней мере, две ведущие организации из перечня поставщиков информационных систем, используемых в организации, а также выбранный организацией поставщик антивирусного программного обеспечения.

ЦЕЛЬ. Установить процедуры взаимодействия с правоохранительными органами.

ПРАВИЛО. Меры реагирования на нарушения закона необходимо координировать с руководством. Руководство должно выступать в роли ведущего собственного следователя, а также нести ответственность за связи и взаимодействие с правоохранительными органами.

ЦЕЛЬ. Ужесточить требования к работе с доказательствами нарушений безопасности.

ПРАВИЛО. Данные, необходимые для обработки информации о нарушениях информационной безопасности и об инцидентах, должны сохраняться, чтобы их можно было использовать во время анализа правил информационной безопасности на эффективность применения.

Пример правил администрирования

ЦЕЛЬ. Ввести правила администрирования и внедрить правила информационной безопасности.

Пример правил безопасности электронной почты

В этом разделе вводятся правила использования в Компании электронной почты для обмена электронными сообщениями.

Пример правила надежной работы

В этом документе представлены правила ____________ (название Компании) работы, предоставления доступа, контроля и раскрытия различных электронных сообщений, включая полученные и отправленные служащими Компании. Правила эксплуатации информационных систем обязательны для всех пользователей компьютерных и сетевых систем организации, включая служащих, субподрядчиков и консультантов.

Целью данного документа является регламентация работы с "электронными сообщениями", в которые, помимо всего прочего, входит отправляемая, получаемая информация и обрабатываемая в электронной информационной сети информация, информация Internet, речевой почты, факсимильная, телеконференцсвязь, а также вся прочая информация, обрабатываемая вспомогательными системами, работающими в онлайновом режиме.

Примеры правил

На протяжении всей этой книги предлагались примеры формулировок правил. По отдельности они представляют собой довольно полезные образцы, но, как известно, люди хотят иметь полное представление о полном наборе правил. В этом приложении представлены три различных экземпляра правил, которые были взяты из документов, разработанных автором для различных организаций.

Как вы помните, примеры формулировок правил в этой книге были составлены в стиле, подобном стилю формулировок, которые описывают условия работы по правительственным контрактам США. Некоторым организациям такой стиль документов не нравится. Два экземпляра из представленных примеров правил были разработаны в ином стиле. Эти образцы были выбраны для того, чтобы продемонстрировать, как можно разработать правила, используя любой языковой стиль.

Первый пример, "Пример правила надежной работы", представляет собой правила надежной работы (AUP) для организации, насчитывающей более 250 пользователей. В то время, когда автор книги сотрудничал с этой организацией, они открыли четвертый офис в Соединенных Штатах и обсуждали возможность открытия офиса в Европе. Они запустили универсальные вычислительные машины, серверы UNIX, а также настольные ПК. Все их офисы были связаны посредством выделенных каналов связи. Эта организация хотела иметь что-то наподобие резюме их правил информационной безопасности, чтобы у пользователей не было никаких вопросов по поводу сути проводимой ими политики.

Второй пример, "Пример правил безопасности электронной почты", имеет отношение именно к правилам эксплуатации электронной почты. В этой организации были обеспокоены распространением вирусов по электронной почте и приобрели систему сканирования электронной почты на вирусы. Поскольку в организации, в основном, работали молодые люди, руководство решило, что им необходимо ознакомить пользователей с правилами этикета, которые следует соблюдать при пользовании электронной почтой. Они приняли решение воспользоваться для этого Десятью заповедями использования электронной почты. Эти заповеди были вставлены в итоговый документ правил эксплуатации электронной почты.

И, наконец, "Пример правил администрирования" представляет собой раздел правил, в котором описана работа по согласованию и внедрению правил (см. главу 12 "Согласование и внедрение"). Эти правила использовала одна развивающаяся организация, в которой шла подготовка к первичному публичному предложению (акций) (Initial Public Offering- IPO). Здесь весьма интересен стиль, которым изложены правила. Буквально перед окончанием разработки всех правил один из исполнителей добавил краткие пояснения каждой формулировки в относительно простом изложении и включил их в документ. Они были названы "Цель формулировки". После долгих обсуждений, большей частью конструктивных, эти формулировки были оставлены в документах. Однако в предисловии к документам правил было сказано об этом нововведении. Несмотря на то, что такие пояснения использовались только один раз, напрашивается вывод, что при определенных обстоятельствах можно рассмотреть их применение снова.

Публикация и уведомление

ЦЕЛЬ. Опубликовать npaвила, чтобы они стали доступными для всех пользователей, и сообщить им о публикации.

ПРАВИЛО. Отдел кадров несет ответственность за публикацию во внутренней сети Компании правил информационной безопасности и всех их обновлений. Отдел кадров должен уведомить каждого пользователя о публикации документа правил, а также о том, как получить к ним доступ.

ЦЕЛЬ. Предоставить печатные копии тем, кто не имеет доступа к электронной версии документа.

ПРАВИЛО. Отдел кадров должен предоставить каждому отделу и пользователям, не имеющим права доступа во внутреннюю сеть, по одной печатной копии документа правил одновременно с публикацией электронной версии.

Запрещенная деятельность и судебные процессы

Запрещается использовать электронные коммуникационные средства для распространения любой информации или неэтичных действий, направленных на угрозы, дискриминацию (включая языковую дискриминацию, которая может рассматриваться как третирование других на расовой основе, из-за вероисповедания, цвета, возраста, физических данных, преимуществ, сексуатьной ориентации и т.п.), клеветнические измышления, оскорбления или угрозы. В электронных сообщениях нельзя без соответствующих санкций разглашать информацию о сотрудниках. Категорически запрещается портить или вносить изменения в электронные сообщения в целях нанесения ущерба Компании или служащим Компании.

Средства электронных коммуникаций запрещено использовать для незаконных действий или нарушений прав интеллектуальной собственности других лиц. Служащим запрещено "влезать" в чужие компьютеры или перехватывать сообщения других лиц.

При составлении электронных сообщений служащие должны следовать тем же строгим правилам, что и при составлении служебных докладов. Содержание электронных сообщений может быть очень важным и сильно повлиять на финансовое состояние отдельных лиц Компании, к тому же оно может быть выдернуто из своего контекста. В виду того что отправлять такие документы очень легко, необходимо принять дополнительные меры по обеспечению гарантий того, что они не будут отправляться необдуманно и в спешке. Следует помнить, что все сообщения могут быть прочитаны кем-то еще кроме адресата. Соответственно, сообщения должны быть вежливыми, профессиональными и написаны деловым языком.

Защита электронной почты от вирусов

Электронная почта, которая заражена вирусами, "червями", "троянскими конями" или другими программными элементами, представляющими угрозу безопасности, не должна доставляться пользователю. Инфицированная электронная почта должна быть удалена из системы пересылки и проанализирована системными администраторами и администраторами безопасности. Администраторы безопасности и системные администраторы несут ответственность за разработку и сопровождение процедур обработки инфицированных сообщений электронной почты в соответствии с этими правилами.

Защита от вирусов

Пользователям запрещено намеренно создавать, запускать на выполнение, распространять или устанавливать никаких компьютерных исполняемых программ, которые могут самовоспроизводиться, вызывать повреждения или затруднять работу оперативной памяти, запоминающих устройств, операционных систем или другого программного обеспечения.

Программное обеспечение и другие файлы нельзя загружать на компьютеры Компании, пока они не будут проверены на вирусы с помощью программ сканирования. Отключение любых антивирусных средств в любой системе или сети является нарушением правил безопасности.

Главная сайта