упа, утвержденным отделом информационных технологий.
Сотрудники компании и сторонние организации могут использовать телефонные сети общего доступа для получения доступа во внутреннюю сеть компании, при этом обязательно должны использоваться одноразовые (one-time) пароли.
Сотрудники, имеющие привилегию удаленного доступа по телефонным сетям общего пользования, несут ответственность за то, что никто кроме них не получит доступа в сеть компании, используя их соединение.
Доступ из дома. Сотрудники компании, желающие организовать домашние офисы, могут использовать удаленный доступ к сети компании. По возможности, удаленные подключения должны использовать метод аутентификации CHAP.
Соглашение с сотрудниками, работающими вне офиса. Сотрудники, получающие привилегию удаленного доступа в сеть компании, подписывают документ, в котором определяется важность защиты информации компании от разглашения. Документ также должен определять их ответственность за выполнение всех политик безопасности компании.
Доступ филиалов. Для обеспечения безопасности внутренней сети компании доступ в нее филиалов определяется и разрешается отделом информационных технологий.
Доступ бизнес-партнеров. Для обеспечения безопасности внутренней сети компании порядок получения доступа в нее партнеров определяется и разрешается отделом информационных технологий. Для управления и защиты такого подключения должен быть использован межсетевой экран.
Политика шифрования. Для всех видов удаленного доступа необходимо использовать шифрование. Выбор алгоритма шифрования основывается на достижении баланса между конфиденциальностью передаваемых данных и требуемой скоростью передачи.
Процедура описания инцидентов. Все заинтересованные в выполнении данной политики лица совместно разрабатывают детальную и содержащую планы по обеспечению непрерывности бизнеса процедуру описания всех инцидентов, связанных с безопасностью. Процедура описания инцидентов должна представлять собой «книгу рецептов» на все случаи жизни, так, чтобы любой инцидент мог быть обработан определенным образом отделом информационных систем при выполнении ими своих повседневных обязанностей. В процедуре должны быть учтены все вопросы, затрагиваемые этой политикой.
Требования к системам обнаружения вторжений. Для получения важной и своевременной информации о состоянии защиты сетевого периметра должны быть внедрены системы обнаружения вторжений, такие, как Cisco IDS.
Системы обнаружения вторжений уровня предприятия, работающие в режиме реального времени, разработанные для обнаружения, журналирования и ограничения несанкционированной активности, должны обладать следующими возможностями:
• возможностью мониторинга демилитаризованной зоны и соответствующей производительностью для этого;
• возможностью быстрого и беспроблемного внедрения в растущую сеть (для этого системы обнаружения вторжений должны быть реализованы в виде многоуровневой архитектуры);
• возможностью удаленного администрирования системы обнаружения вторжений через интуитивно понятный графический интерфейс, интегрированный в систему управления сетью. Это гарантирует целостность внедрения политики безопасности на уровне компании;
• возможностью сохранять события в базе данных. Должна быть возможность сохранения информации об источнике, типе, цели и времени атаки для последующего детального исследования.Процедура реагирования на инциденты. Начальник отдела информационных систем создает детальную процедуру реагирования на инциденты, и этот документ следует пересматривать и обновлять один раз в квартал или в течение одной недели после крупного инцидента. Вице-президент по информационным системам и начальник отдела информационной безопасности подписывают и утверждают данный документ. Процедура реагирования на инциденты должна определять реакцию компании при возникновении инцидента, так что в случае возникновения инцидента можно было бы сразу приступить к нейтрализации и уменьшению проблемы, а не решать, как с ней бороться. В процедуре реагирования на инциденты должны быть описаны следующие моменты:
• подготовка и планирование – персонал отдела информационных систем должен минимум 16 часов ежегодно обучаться обнаружению и нейтрализации инцидентов. Процедура определяет тип и длительность тренингов;
• определение инцидентов – системные администраторы должны проводить мониторинг системы обнаружения вторжений несколько раз в день. Системные журналы следует просматривать один раз в час и в конце рабочего дня. Дежурный старший системный администратор несет ответственность за обнаружение и реагирование на инцидент. Процедура реагирования на инциденты должна определять уровни приоритетов инцидентов так, как предлагается в RFC 2196, «Site Security Handbook»;• обработка инцидента – процедура реагирования на инциденты определяет, как администратор будет обрабатывать инцидент. Ниже описаны шаги по обработке и документированию:
– определение типа и приоритета атаки;
– определение времени начала и окончания атаки;
– определение источника атаки;
– определение затронутых атакой компьютеров и сетевых устройств;
– журналирование атаки;
– попытка остановить атаку или уменьшить ее последствия;
– изолирование затронутых систем;
– уведомление соответствующих контактных лиц;
– защита доказательств атаки (файлов журналов);
– восстановление работоспособности сервисов;
• документирование – под руководством директора службы информационных технологий должен быть создан отчет об инциденте, в котором необходимо отразить следующие вопросы:
– инвентаризация ценности затронутых атакой систем;
– описание атаки;
– пересмотр политики сетевой безопасности (при необходимости);
– поиск и наказание злоумышленников.
Таблица 2.2. Члены команды по реагированию на инциденты
2.4. Подход компании Microsoft
Компания Microsoft обладает сложной корпоративной инфраструктурой, которая состоит из 6 тыс. серверов Windows Server 2003 (из них 800 серверов приложений). В штате компании работает более 55 тыс. сотрудников. Сотрудники очень хорошо готовы технически, и 95 % из них имеют администраторские права на своих компьютерах. Более чем 300 тыс. компьютеров компании расположены в 400 представительствах по всему миру, используется более 1,6 тыс. приложений.
В сеть компании ежедневно поступает приблизительно 8 млн. почтовых сообщений извне, и приблизительно 6,5 млн. почтовых сообщений циркулирует ежедневно в сети самой компании. В сеть компании имеют доступ 30 тыс. партнеров. Уникальная инфраструктура по разработке продуктов, тестированию и поддержке, исходный код продуктов требуют особой защиты. Ежемесячно на сеть компании осуществляется свыше 100 тыс. попыток вторжения. В почтовую систему ежемесячно поступает свыше 125 тыс. почтовых сообщений, зараженных вирусами (в день примерно 800 новых вирусов), и 2,4 млн. почтовых сообщений со спамом в день.
Обязанность по обеспечению информационной безопасности в компании Microsoft возложена на две группы – Corporate Security Group и Operations and Technology Group.
Компания Microsoft разработала стратегию безопасности, состоящую из 4 основных компонент:
• миссия корпоративной безопасности,
• принципы операционной безопасности,
• модель принятия решений, основанная на анализе рисков,
• тактическое определение приоритетности действий по уменьшению рисков.
Фундаментом для дизайна, разработки и нормального функционирования защищенных систем являются принципы безопасности, разделенные на несколько категорий (см. табл. 2.3). Таблица 2.3. Принципы безопасности защищенных систем
Для обеспечения информационной безопасности Corporate Security Group использует подход по управлению информационными рисками (рис. 2.4). Под управлением рисками здесь понимается процесс определения, оценки и уменьшения рисков на постоянной основе. Управление рисками безопасности позволяет найти разумный баланс между стоимостью средств и мер защиты и требованиями бизнеса. Модель управления рисками Corporate Security Group представляет собой комбинацию различных подходов, таких, как количественный анализ рисков, анализ возврата инвестиций в безопасность, качественный анализ рисков, а также подходы лучших практик.
Рис. 2.4. Модель управления рисками Corporate Security Group
Инвестирование в процесс управления рисками – с цельной структурой и определенными ролями и обязанностями – готовит организацию к определению приоритетов, планированию уменьшения угрозы и переходу к парированию или нейтрализации следующей угрозы или уязвимости. Для наилучшего управления рисками Corporate Security Group следует традиционному подходу по управлению рисками, состоящему из четырех этапов:
• оценка информационных рисков – выполнение методологии оценки риска для определения его величины;
• разработка политики безопасности – разработка политики безопасности по уменьшению, уклонению и предупреждению рисков;
• внедрение средств защиты – объединение сотрудников, процессов и технологий для уменьшения рисков, связанных с анализом соотношения «цена – качество»;
• аудит безопасности и измерение текущей защищенности – мониторинг, аудит безопасности и измерение защищенности информационных систем компании.
Как видно из рис. 2.5, разработка политики является одним из этапов по управлению информационными рисками.
Методология, используемая при разработке политики, базируется на стандарте ISO 17799:2005 (BS 7799).
Рекомендуемая компанией Microsoft политика безопасности включает в себя:
• определение целей безопасности;
• важность обеспечения безопасности;Рис. 2.5. Этапы управления информационными рисками