На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ОПРЕДЕЛИТЕ ПРАВА и ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ

Политика безопасности должна определять права и обязанности всех пользовате­лей системы. Каждый пользователь должен быть поставлен в известность о том, что он является ответственным за все свои действия и соблюдение правил без­опасности системы. Далее приводится список вопросов, которые должны быть
освещены в политике безопасности:
• Правила использования ресурса.
• Кчему может привести неправильное использование ресурса.
• Разрешите ли вы своим пользователям совместно использовать учетные записи.
• Как «секретные» пользователи должны хранить свои пароли.
• Как часто пользователи должны менять свои пароли. Кроме того, какие ограничения следует наложить на пароли.
• Будете ли вы сами создавать резервные копии или предоставите подобные возможности остальным пользователям.
• Рассекречивание важной информации компании.
• Закон о конфиденциальности электронной почты (Electronic Communication Privacy Act).
• Участие в группах обсуждения или списках рассылки.
• Политика электронных коммуникаций, касающаяся подделки почтовых
сообщений и т. д.
Ассоциация электронной почты (Electronic Mail Association — ЕМА) предоставила
средства для создания спецификаций («white paper») о конфиденциальности со­общений электронной почты в компаниях. В частности, члены ассоциации ре­комендуют всем компаниям создавать политику защиты конфиденциальности данных своих служащих не только для электронной почты, но и для остальных
носителей информации. Для оценки политики ЕМА рекомендует использовать следующие пять критериев:
1. Согласуется ли политика с законом и обязанностями перед остальными организациями.
2. Не нарушает ли политика интересы служащих, предпринимателя или остальных организаций.
3. Насколько практична политика, и что нужно для ее реализации.
4. Касается ли политика всех средств хранения и передачи информации.
5. Согласны ли с вашей политикой все рассматриваемые в ней стороны: ра­ботники, наниматель, остальные компании и т. д.
Определяя права и обязанности пользователя, обязательно выясните все разли­чия между его правами и правами администратора.
ОПРЕДЕЛИТЕ ПРАВА  и ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ и АДМИНИСТРАТОРОВ
Всегда существует некоторый компромисс между правами пользователя на кон­фиденциальность информации и необходимостью предоставить администратору
достаточное количество информации о пользователях. Кроме того, при различ­ных обстоятельствах администратору могут понадобиться различные права. По­литика безопасности должна четко определять права доступа администратора к
файлам пользователей. Кроме того, можно включить в нее пункт, касающийся
ответственности администраторов за поддержание конфиденциальности данных пользователей. Для этого нужно ответить на следующие вопросы:
• Может ли администратор просматривать или считывать файлы пользова­телей.
• Какая ответственность возлагается на администратора, просматривающе­го файлы пользователя.
• Должны ли сетевые администраторы обладать правами на исследование
сетевого трафика.
Как уже говорилось, вы должны определять права пользователей и администра­торов раздельно. Точно так же вы должны определить доступ к простой и сек­ретной информации.
ЗАЩИТА ПРОСТОЙ и СЕКРЕТНОЙ ИНФОРМАЦИИ
Прежде чем предоставить пользователям доступ к службам системы, определи­те, на каком уровне нужно обеспечить безопасность информации. Благодаря этому вы сможете определить степень важности информации, которую пользова­тели будут хранить на своих машинах. Очевидно, вы не хотите, чтобы пользовате­ли хранили секретную информацию в системе, которая не обладает достаточными средствами защиты. Сообщите пользователям о том, какими службами нужно пользоваться для хранения секретной информации. Эта часть политики безопасно­сти должна касаться различных методов хранения информации (диски, магнит­ная лента, файловые серверы и т. д.). Согласуйте эти проблемы с вопросами
прав пользователей и администраторов.
нарушение политики
Вполне вероятно, что кто-либо (случайно или преднамеренно) нарушит поли­тику безопасности. Это может произойти из-за ошибки, неаккуратности, неосве­домленности или прочих причин. Но возможно, что это нарушение будет сделано умышленно.
Политика безопасности должна содержать четкие указания насчет подобных нару­шений. Во-первых, вы должны попытаться выяснить, как произошло нарушение и по чьей вине. После этого вы должны постараться исправить последствия.
Ваши действия будут зависеть от серьезности этих последствий.

ОПРЕДЕЛЕНИЕ НАКАЗАНИЯ
Вы должны четко понимать, что нарушения политики безопасности неизбеж­ны — всем людям свойственно ошибаться. Однако вам нужно научиться разли­чать типы нарушений. Например, нарушение, произведенное внутри системы («внутренний пользователь»), отличается от нарушения, произведенного извне. В зависимости от степени нарушения, а также от того, кем является наруши­тель (пользователем или администратором), вы должны будете принимать соот­ветствующие меры по отношению к виновному: от устного выговора до мер ад­министративной ответственности. Все это — вещи достаточно серьезные, но без них никак нельзя.
Не забывайте о том, что лучшей защитой являются знания пользователей. На­пример, вы обязательно должны сообщить о правилах политики своим внешним пользователям — после этого они не смогут сослаться на свою неосведомлен­ность. То же самое должно быть проделано по отношению к пользователям, нелегально использующим ваш компьютер, — вы должны предупредить их о возможных последствиях.
НАРУШЕНИЕ политики БЕЗОПАСНОСТИ ЛОКАЛЬНЫМИ ПОЛЬЗОВАТЕЛЯМИ
Вы должны определить наказание для пользователя, нарушившего политику без­опасности удаленного сайта. Кроме того, политика безопасности должна содер­жать меры по предотвращению некорректных действий со стороны удаленного
сайта. Возможно, что подобные действия преследуются по закону — учтите это в своей политике безопасности.
ВНЕШНИЕ ОРГАНИЗАЦИИ
Политика безопасности должна определять процедуры взаимодействия с вне­шними организациями, сайтами, исследовательскими группами (вроде CERT, CI АС и т. д.), а также различными информационными агентствами. Процедура должна определять, кто и как может проводить подобные контакты. В частно­сти, она должна содержать ответы на следующие вопросы:
•    Кто должен поддерживать контакты с прессой.
• Когда следует обращаться к правоохранительным органам.
• Может ли управляющий системы связаться с удаленным сайтом, если тот посылает запрос на соединение.
• Кто может распространять информацию.
• Каждый Пользователь должен быть поставлен в известность о процедурах проведения контактов с «внешним» миром.
РЕАКЦИЯ НА НАРУШЕНИЯ
Кроме правил поведения, политика безопасности должна содержать описание действий, вызванных нарушением этих правил. Каждое нарушение политики безопасности должно рассматриваться как инцидент. Каждый пользователь дол­жен быть ознакомлен с реакциями на все виды инцидентов.
ДВЕ   СТРАТЕГИИ  РЕАКЦИИ  НА НАПАДЕНИЯ
Реакцию на инциденты определяют два противоположных метода. Первый из них — это стратегия типа «защитись и продолжи». Обычно она применяется на недостаточно защищенных сайтах. Кроме того, эта стратегия может быть ис­пользована пользователями сети. Основной целью этого метода является защита сайта. Администрация может попытаться помешать злоумышленнику, предот­вратить дальнейшие попытки доступа и немедленно приступить к оценке нанесен­ного ущерба и восстановлению системы. Этот процесс может включать в себя отключение сетевых служб, запрет доступа к сети или более серьезные меры. Основным его недостатком является тот факт, что пока вы не установите лич­ность злоумышленника, он может вернуться (или атаковать другой сайт) с по­мощью других методов.
Второй метод — «преследование и наказание» — служит другим целям. Основ­ной задачей этого метода является определение злоумышленника. При этом ад­министратор должен позволить злоумышленнику работать до тех пор, пока не будет выяснена его личность. Обычно так поступают органы власти. Основным недостатком метода является тот факт, что вам придется вести постоянные тяж­бы с хакерами, нанесшими ущерб системе, а также нести дополнительные рас­ходы на выслеживание и поимку хакера.
Наказание — это не единственный метод борьбы со злоумышленниками. Если
«врагом» системы оказался ваш сотрудник или студент, то организация может ограничиться устным взысканием. Политика безопасности должна содержать четкие инструкции по отношению к своим «нарушителям».
Руководство сайта должно определить методы обеспечения безопасности систе­мы. Выбор стратегии может зависеть от конкретных обстоятельств. Однако стра­тегия может определяться и глобально, для всех случаев. Поэтому нужно тща­тельно взвесить все «за» и «против», а затем сообщить о выбранной стратегии всем своим пользователям.
Далее приводятся списки вопросов, которые помогут определить подходящую стратегию. Первая стратегия — «защитись и продолжи» — основана на укреплении средств безопасности системы после обнаружения постороннего вмешатель­ства. Если хотя бы одно из следующих утверждений в вашем случае верно, то вам следует придерживать именно этой стратегии:
1. Ваша сеть не слишком хорошо защищена.
2. Продолжительное вмешательство может привести к большим финансовым потерям.
3. У вас нет возможностей для привлечения злоумышленника к ответствен­ности.
4. Вам неизвестны все пользователи системы. Другими словами, вы не мо­жете точно идентифицировать злоумышленника.
5. Ваши пользователи не столь опытны, а выполняемая ими работа достаточ­но уязвима для постороннего вмешательства.
6. Сеть может стать причиной судебных разбирательств. Например, если у вас коммерческая компьютерная сеть, то обворованный с ее помощью пользователь может потребовать от вас возмещения убытков.
Вторая стратегия — «преследование и наказание» — используется лишь том случае, если вы ответили на все (или почти все) эти вопросы отрицательно. С другой стороны, можно использовать только эту стратегию, если все последую­щие утверждения верны:
1. У вас хорошо защищенная система.
2. Вы регулярно создаете резервные копии всех своих данных.
3. Цена риска выше, чем последствия текущего вмешательства и возможных будущих вмешательств одного и того же нарушителя.
4. Атака представляет собой постоянно повторяющийся активный процесс.
5. Сайт представляет интерес для многих хакеров.
6. Администратор сайта хочет выяснить личность хакера даже ценой некото­рых убытков.
7. У вас хорошо развиты средства управления доступом хакеров.
8. У вас достаточно хорошо настроенные средства аудита. Другими слова­ми, у вас хорошие шансы на поимку хакера.
9. Персонал, обслуживающий сеть, обладает достаточным уровнем знаний об операционной системе, ее утилитах и системах отслеживания посто­ронних вторжений.
10. Управление компании хочет наказать злоумышленника. Администратору системы известны пути вычисления хакера. Кроме того,
они должны быть задокументированы (перенесены на бумагу).
12. Вы установили контакт с правоохранительными органами.
13. У вас есть юрист.
14. Вы подготовили сайт для законных действий пользователей, если пресле­дование хакера может вызвать разрушение их данных или систем.
Чтобы определить, какой политики должны придерживаться ваши администра­торы в случае постороннего вторжения, вы должны четко ответить на все приве­денные выше вопросы.
ИНТЕРПРЕЩИЯ политики
Очень важно определить людей, ответственных за интерпретацию политики без­опасности. Этим может заниматься один человек или целая организация. Неза­висимо от того, насколько хорошо описана политика на бумаге, должен суще­ствовать человек, который сможет объяснить ее всем остальным.
ПУБЛИКАЦИЯ политики
Создав политику безопасности, вы должны предоставить ее на рассмотрение всем пользователям своей системы. При этом не следует ограничиваться лишь листами рассылки. Должен пройти некоторый период времени, в течение кото­рого пользователи смогут высказать свои мнения и замечания по поводу полити­ки. Возможно, кто-нибудь из них внесет достаточно ценные предложения, ко­торые будут использованы в дальнейшем. В идеале политика должна представ­лять собой некоторый компромисс между эффективностью системы и ее безопас­ностью.
Для выяснения реакции пользователей проводите семинары, собрания и т. д. Кроме того, таким образом вы сможете помочь пользователям понять все аспек­ты политики безопасности. На этих семинарах должны присутствовать не только администраторы, но и простые служащие. И помните: безопасность системы
зависит от всех ее пользователей.
Администратор сайта не должен ограничиваться одним изданием политики без­опасности. Наоборот, он должен периодически рассылать ее всем пользовате­лям (со всеми внесенными изменениями). Периодическое напоминание о пра­вилах безопасного поведения не даст пользователям расслабиться и допустить глупую ошибку. Кроме того, вы должны рассылать описание политики безопас­ности всем новым пользователям системы. Вдобавок можно предусмотреть в качестве условия использования системы следующий вариант. Каждый новый
пользователь должен ознакомиться с политикой безопасности вашей системы и
подписать документ, утверждающий, что он усвоил ее и согласен придержи­ваться ее требований. Этот документ поможет вам в законном преследовании
нарушений политики безопасности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика