• Windows NT 4.0 Technical Protection Standard,
• Windows XP Technical Protection Standard.
Дополнительно могут поставляться шаблоны политик безопасности, специфичные только для США (СЕВА и HIPAA). Имеется также возможность создавать собственные политики безопасности «с нуля» или импортировать готовые политики безопасности. Примеры тестов, поставляемых вместе с VPC, коррелируют с примерами политик безопасности из библиотеки ISPME (см. рис. 3.21). Вопросы тестов связаны с соответствующими положениями из текста политик безопасности.
Рис. 3.21. Пример теста на знание политики безопасности
Тесты позволяют оперативно оценить уровень соответствия корпоративной политики безопасности определведомственному акту или стандарту безопасности. Имеется возможность получить метрические оценки состояния безопасности, а также отслеживать динамику изменения этих оценок.
Для фиксации факта ознакомления с политикой безопасности NetlQ, VPC использует ЭЦП. Отчеты, создаваемые VPC, позволяют ознакомиться со списком сотрудников компании, подписавших политику безопасности. Имеется возможность установить различные напоминания для не ознакомленных с нею сотрудников.
Администратор может установить срок действия политики безопасности – после его окончания (по умолчанию 5 лет) сотрудники компании получат уведомление о необходимости пересмотра политики безопасности.
Важной особенностью NetlQ, VigilEnt Policy Center, отличающей его от других продуктов данного класса, является его способность интегрироваться с системами управления техническими политиками, в частности с NetlQ, VigilEnt Security Manager. To есть имеется возможность проводить онлайн-мониторинг и проверку соответствия технической политики и ее текущего состояния на различных технологических платформах существующим политикам более высокого уровня, а также политикам, определяющим требования к параметрам конечных систем. Это помогает существенно экономить время и ресурсы при подготовке отчетов для инспекций контролирующих ведомств, проверке правильности ведения финансовой отчетности, при проведении финансовых аудитов, а также в повседневной работе службы информационной безопасности.
Таким образом, NetlQ VPC позволяет транслировать политики безопасности, созданные на основе шаблонов или примеров политик стандарта ISO 17799, в детальные технические политики для всех основных компонент корпоративной информационной системы, включая серверы приложений, СУБД, продукты контентной фильтрации и межсетевые экраны, работающие на платформах Win2K или Solaris.
Далее представлен пример задания технической политики безопасности (см. рис, 3.22-3.25).
Рис. 3.22. Пример задания правил безопасностис
Рис. 3.23. Выбор платформы
Пример выбора параметров, которые может контролировать агент NetlQ, Vulnerability Manager на выбранной платформе, представлен на рис. 3.24.
Рис. 3.24. Детализация характеристик платформы
Рис. 3.25. Пример задания политики безопасности
В состав линейки NetlQ, входит также Security Manager, который позволяет централизованно собирать, сохранять, очищать, агрегировать, коррелировать и в удобной для анализа форме отображать события от таких систем, как Cisco IOS, Check Point FW-1, ISS RealSecure и TrendMicro InterScanVirusWall. Другой компонент, VigilEnt User Manager (VUM), автоматизирует процесс управления пользователями – управление учетными записями и паролями, включая самообслуживание пользователей по управлению своими паролями через Web-портал.
VigilEnt Policy Center позволяет не только проверять факт прочтения и понимания политик, но также предоставляет сотрудникам возможность легко регистрировать и документировать факты нарушения политик (см. рис. 3.26).
Рис. 3.26. Пример регистрации инцидента безопасности
3.8. Отечественная специфика разработки политик безопасности
Новое поколение стандартов в области защиты информации отличается как от предыдущего, так и от руководящих документов Гостехкомиссии России 1992–1998 годов большей формализацией политик безопасности и более детальным комплексным учетом качественно и количественно проверяемых и управляемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный же подход к разработке политик безопасности, когда на соответствие определенным правилам безопасности проверяется не только программно-техническая составляющая защиты информации компании, но и организационно-административные меры по ее обеспечению. Вместе с тем необходимо учитывать перспективы и тенденции развития стандартов безопасности (см. рис. 3.27).
Рис. 3.27. Перспективы и тенденции развития стандартов безопасности
В противоположность германскому стандарту BSI, предоставляющему возможность использовать конкретные «частные» политики безопасности, стандарты ISO 15408, ISO 17799 и CobiT позволяют рассмотреть только наиболее общие политики информационной безопасности, характерные для процессов защиты информации в целом. При этом все названные подходы обладают определенными ограничениями. Ограничением германского стандарта BSI является невозможность распространить рекомендации этого стандарта на политики безопасности в российских компаниях, инфраструктура которых отличается от ранее рассмотренных примеров корпоративных систем защиты информации и соответствующих политик безопасности. Ограничением стандартов ISO 17799 и CobiT является трудность перехода от общих политик безопасности к частным политикам информационной безопасности в российских компаниях. Основная причина этого заключается в том, что требуемые политики безопасности любой российской компании дополнительно характеризуются определенными индивидуальными специфическими условиями бизнес-деятельности, в частности ограничениями и регулированием российской нормативной базы в области защиты информации. Так, в России нормативную базу в области защиты информации в автоматизированных системах (АС) составляют нормативно-правовые документы (федеральные законы, указы Президента, постановления Правительства) и нормативно-технические документы (государственные стандарты, руководящие документы Гостехкомиссии (ФСТЭК) России, отраслевые и ведомственные стандарты). В Приложении 7 приведены основные документы, регулирующие вопросы защиты информации на территории РФ. Также надо учитывать, что после принятия и вступления в силу Федерального закона «О техническом регулировании», а также ГОСТ Р ИСО/МЭК 15408 статус ряда нормативных документов (государственных стандартов, отраслевых стандартов, стандартов организаций и др.) изменился. При этом государственные стандарты Российской Федерации из основного инструмента технического регулирования трансформировались в российские национальные стандарты, требования которых стали носить добровольный характер. Обязательные требования стали устанавливаться в технических регламентах.
Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации, можно эффективно разработать и внедрить политики безопасности в конкретных отечественных организациях и на предприятиях. И первые положительные примеры не заставили себя долго ждать. Так, например, Банком России с целью повышения уровня информационной безопасности как самого банка, так и организаций банковской системы Российской Федерации в соответствии с Федеральным законом № 184-ФЗ «О техническом регулировании» Распоряжением от 18 ноября 2004 года № Р-609 с 1 декабря 2004 года введен в действие стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее – «стандарт»).
Стандарт был разработан коллективом, в который вошли представители Банка России, Ассоциации российских банков, Ассоциации региональных банков, Национальной валютной ассоциации, Института банковского дела Ассоциации российских банков, Акционерного коммерческого Сберегательного банка Российской Федерации, Альфа-банка, Россельхозбанка, банка «Петрокоммерц», банка «Российский кредит», Московской межбанковской валютной биржи, НПФ «Кристалл», Государственного научно-исследовательского института проблем защиты информации Федеральной службы по техническому и экспортному контролю, аудиторской компании KPMG.
Основные цели и задачи разработки стандарта заключались в следующем:
• повышение доверия к банковской системе Российской Федерации;
• повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе – стабильности функционирования банковской системы России в целом;
• достижение адекватности мер по устранению реальных угроз информационной безопасности;
• предотвращение и/или снижение ущерба от инцидентов информационной безопасности;
• установление единых требований по обеспечению информационной безопасности для организаций банковской системы Российской Федерации;
• повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы Российской Федерации.По мнению экспертов, стандарт содержит наиболее важные рекомендации по разработке основополагающих документов по проблеме информационной безопасности, необходимые требования по безопасности информационных и телекоммуникационных технологий. При этом в соответствии с Федеральным законом № 184-ФЗ «О техническом регулировании» стандарт отнесен к категории «стандарт организации», и его положения не носят обязательного характера и рекомендованы к применению кредитными организациями на добровольной основе. Стандарт является открытым документом, предполагающим его регулярную корректировку в соответствии с динамикой изменения угроз информационной безопасности. Новую (уточненную) редакцию стандарта предполагается подготовить к концу 2005 года. Работы по дальнейшему сопровождению и доработке стандарта ведутся специально созданным Подкомитетом 3 «Защита информации в кредитно-финансовой сфере» Технического комитета 362 «Защита информации» Федерального агентства по техническому регулированию и метрологии [12] .