Высшее профессиональное образование
Б а к а л а В р и ат
В. В. платоноВ
программноаппаратные средстВа
защиты информации
Учебник
для студентов
высших учебных заведений,
обучающихся по направлению подготовки
«Информационная безопасность»
УДК 004.56(075.8)
ББК 32.81я73
П375
Р е ц е н з е н т —
зав. кафедрой «Информатика и информационная безопасность»
Санкт-Петербургского государственного университета путей сообщения, д-р техн. наук, проф. А. А. Корниенко Платонов В. В.
П375 Программно-аппаратные средства защиты информации : учебник для студ. учреждений высш. проф. образования / В. В.Платонов. — М. : Издательский центр «Академия», 2013. — 336 с. — (Сер. Бакалавриат).
ISBN 978-5-7695-9327- Учебник создан в соответствии с Федеральным государственным образовательным стандартом по направлению подготовки 090900 «Информационная безопасность» («квалификация «бакалавр»).
Показано обеспечение безопасности межсетевого взаимодействия. Рассмотрены основные виды вредоносных программ, удаленные сетевые атаки и организация защиты от них. Изложены методы описания атак и основные тенденции их развития. Описаны основные технологии межсетевых экранов, их оценка и тестирование. Проанализированы методы построения систем обнаружения вторжений. Рассмотрены проблемы защиты при организации удаленного доступа, построение и функционирование виртуальных ведомственных сетей (VPN), а также основные отечественные средства для их построения.
Для студентов учреждений высшего профессионального образования.
УДК 004.56(075.8) ББК 32.81я Оригинал-макет данного издания является собственностью Издательского центра «Академия», и его воспроизведение любым способом без согласия правообладателя запрещается © Платонов В. В., © Образовательно-издательский центр «Академия», ISBN 978-5-7695-9327-7 © Оформление. Издательский центр «Академия», Предисловие Я пришел к выводу, что наилучшими экс пертами в области безопасности являются люди, исследующие несовершенства за щитных мер.
Б.Шнайер.Секретыиложь Современный мир невозможно представить без средств коммуникаций и вычислительной техники, в которых главенствующую роль играет программное обеспечение. Информационные технологии прогрессируют очень быстро, охватывая все более широкие области человеческой деятельности. Поэтому безопасность информационных технологий является одним из важнейших аспектов обеспечения их функционирования.
Коммуникации и информационные технологии слились воедино.
Во многом этому способствовало использование сети Интернет, которая стала глобальной и всеобщей средой коммуникации. Стеку протоколов TCP/IP, разработанному более 30 лет назад, несмотря на его недостатки, удалось покорить весь мир. Рост числа компьютеров и компьютерных сетей, все более широкое использование сетевых технологий и технологии Интернета не только значительно расширили географию пользователей, их возможности по общению друг с другом, но и увеличили возможность реализации сетевых бизнеспроцессов. Организации, компании и рядовые пользователи получили возможность использовать технологии Интернета в своей повседневной деятельности. Этому способствует развитие существующих служб и появление новых, востребованных мировым сообществом.
Кроме увеличивающихся возможностей использование интернеттехнологий значительно увеличивает и риск потери данных, потери репутации и просто финансовые потери. Во многом это обусловлено тем, что изначально технологии Интернета не были предназначены для обеспечения безопасности функционирования, кроме того, первые пользователи Интернета главной задачей считали обеспечение возможности надежной связи друг с другом.
Статистика показывает, что с каждым годом растет финансовый ущерб, наносимый компьютерными преступниками. Рост числа пользователей, недостатки в программном обеспечении пользователей, наличие свободного доступа к зловредным программам, а также практическая ненаказуемость совершения проступков привели к тому, что организациям, компаниям и рядовым пользователям приходится уделять внимание и время обеспечению защиты.
Современные распределенные компьютерные системы не могут быть защищены только использованием организационных мер и средств физической защиты. Для безопасности функционирования информационных технологий необходимо использовать механизмы и средства сетевой защиты, которые обеспечивают конфиденциальность, целостность и доступность компьютерных систем, программного обеспечения и данных.
В последнее десятилетие сформировался рынок средств обеспечения информационной безопасности, все большее число различных организаций подключается к решению насущных задач обеспечения защиты. Решение этих задач осложняется рядом причин. Среди них необходимо отметить следующие: отсутствие единой терминологии и единой теории обеспечения защиты, использование, как правило, программных средств зарубежных производителей, высокую стоимость качественных средств защиты. Реализация защиты информации в современных корпоративных сетях опирается на использование средств защиты, реализованных программными, аппаратными и программно-аппаратными методами. Количество изданий и статей, посвященных различным вопросам обеспечения информационной безопасности, увеличивается с каждым годом.
В настоящем учебнике рассмотрены основные технологии, используемые при построении систем защиты корпоративных сетей.
«Безопасность — это процесс, а не продукт»1, — отметил Б.Шнайер в своей книге «Секреты и ложь». Область задач обеспечения информационной безопасности достаточно широка. Вне рамок рассмотрения остались многие важные вопросы, например, защита операционных систем, защита баз данных, защита информации от утечки по техническим каналам, защита беспроводных сетей, а также вопросы криптографической защиты. Рассмотрены подходы и технологии, лежащие в основе построения систем защиты.
В настоящем издании использованы материалы лекций дисциплин, которые читаются на кафедре «Информационная безопасность компьютерных систем» факультета технической кибернетики СанктПетербургского государственного политехнического университета.
Учебник состоит из шести глав. В гл. 1 рассмотрены проблемы обеспечения безопасности межсетевого взаимодействия, приводится системная классификация угроз. Изложены основные вопросы обеспечения информационной безопасности и обобщенная схема управления безопасностью, вопросы построения политики безопасности организации и существующие шаблоны политик. Для сетевой политики безопасности рассмотрены сетевые периметры организаШнайер Б. Секреты и ложь. Безопасность данных в цифровом мире / Б. Шнайер. — СПб. : Питер, 2003. — 368 с.
ции и элементы построения эшелонированной защиты. В качестве одной из важнейших задач управления информационной безопасностью рассмотрен подход к управлению рисками, включая вопросы оценки риска и методику его уменьшения. Изложены основные понятия аудита и его значение в обеспечении информационной безопасности.
В гл. 2 рассмотрены основные виды вредоносного программного обеспечения, их особенности и методы защиты.
В гл. 3 рассмотрена основная угроза межсетевого взаимодействия — удаленные сетевые атаки. Приведены элементы терминологии и рассмотрены примеры некоторых атак. Основное внимание уделено существующим подходам к классификации атак и рассмотрено построение онтологии удаленных сетевых атак. Приведен подход и примеры оценивания степени серьезности атак.
В гл. 4 рассмотрены основные этапы становления технологий межсетевых экранов. Технологии проиллюстрированы примерами списков контроля доступа для маршрутизаторов компании Cisco.
Приведены методы обхода межсетевых экранов, а также основные подходы к тестированию экранов.
В гл. 5 рассмотрены системы обнаружения вторжений, приводится их классификация. Основное внимание уделено анализу перспективных подходов к обнаружению, использующих технологии искусственного интеллекта. Рассмотрены методы обхода (обмана) систем обнаружения вторжений и существующие методики тестирования систем обнаружения, подходы к построению систем предотвращения вторжений.
В гл. 6 рассмотрены общие вопросы туннелирования и принципы построения виртуальных частных сетей. Проанализированы основные протоколы организации виртуальных частных сетей на канальном, сетевом и транспортном уровнях.
В Приложении даны основные используемые понятия (определения), приводимые в стандартах Российской Федерации, и списки использованных RFC (Request for Comments).
обесПечение безоПасности межсетевого взаимодействия Современные вычислительные сети организаций представляют собой сложные системы, состоящие из множества компонентов.
Среди этого множества компонентов можно выделить разнообразные компьютеры, системное и прикладное программное обеспечение (ПО) этих компьютеров, сетевые адаптеры, концентраторы, коммутаторы, маршрутизаторы и соединительные (кабельные) системы.
Широкое использование Интернета и интернет-технологий привело к качественному изменению вычислительных сетей. Если ранее Интернет использовался в основном в качестве среды передачи, то в настоящее время Интернет становится не только средством интерактивного взаимодействия людей, но и средством ведения деловых операций организаций, реальным средством проведения бизнесопераций.
Популярность IP-технологий объясняется их объективными достоинствами. К числу таких достоинств можно отнести относительную простоту основополагающих принципов технологии. Одним из таких принципов является открытость, что выражается свободным обсуждением, исследованием и тестированием новых протоколов стека TCP/IP в рамках не только рабочих групп комитета Internet Engineering Task Force (IETF), но и всего мирового сообщества. Разрабатываемые и предлагаемые стандарты и спецификации доступны практически всем пользователям Интернет. Открытость технологии позволяет обеспечить относительно простую интеграцию в IP-сети других технологий, что значительно увеличивает области применения Интернета.
Другим достоинством IP-технологий является масштабируемость, которая была заложена уже при разработке Интернета. Иерархически организованный стек TCP/IP позволяет наращивать сети организаций в достаточно больших пределах.
Эти и другие достоинства обеспечили на настоящий момент широкое применение IP-технологий. Технологии, которые привели к успеху Интернета, оказались чрезвычайно перспективными и для внутренних сетей организаций — сетей интранет (intranet).
Корпоративная сеть (интранет) — это сеть на уровне компании, в которой используются программные средства, основанные на стеке протоколов TCP/IP.
Под экстранет-сетями понимается интранет-сеть, подключенная к Интернету, т. е. это сеть типа интранет, но санкционирующая доступ к ее ресурсам определенной категории пользователей, наделенной соответствующими полномочиями.
Поскольку в дальнейшем будут рассматриваться средства защиты, то все сети представляются как локальные сети, подключенные к Интернету. При этом рассмотрении не важно, используется ли в данной сети Web-технология, поэтому далее будем называть такие сети корпоративными.
Главные особенности корпоративных сетей — глобальность связей, масштабность и гетерогенность — представляют и повышенную опасность для выполнения ими своих функциональных задач. Поскольку протоколы семейства TCP/IP разработаны достаточно давно, когда проблема безопасности еще не стояла так остро, как сейчас, то они, в первую очередь, разрабатывались как функциональные и легко переносимые, что помогло распространиться стеку TCP/IP на множество компьютерных платформ. Кроме того, в настоящее время при использовании Интернета в распоряжении злоумышленников появляются многочисленные средства и методы проникновения в корпоративные сети.
1.1. основы сетевого и межсетевого взаимодействия Под межсетевым взаимодействием понимается взаимодействие двух локальных сетей, при котором они функционируют как самостоятельные единицы объединенной сети. Под взаимодействием сетей понимают методы расширения, сегментации и объединения локальных сетей таким образом, чтобы общая пропускная способность была как можно выше. В качестве устройств межсетевого взаимодействия выступают повторители, мосты, коммутаторы, маршрутизаторы и шлюзы. Кроме того, под межсетевым взаимодействием понимается совокупность протоколов, которая позволяет организовать обмен данными между различными сетями. Одним из наиболее употребительных наборов протоколов стало семейство протоколов TCP/IP, разработанное по заказу Министерства обороны США.
Протоколы TCP/IP были разработаны по инициативе Министерства обороны США для сети Arpanet — глобальной сети передачи пакетов, которая впервые была продемонстрирована в 1972 г. В наМодель OSI Модель TCP/IP Рис. 1.1. Уровневые структуры стеков протоколов стоящее время Arpanet является частью глобальной сети, известной как Интернет.
Громадное распространение Интернета привело к тому, что сетевой стек протоколов TCP/IP стал практически основным при организации межсетевого взаимодействия. Разработанная в конце 70-х годов ХХ в. совокупность протоколов опиралась на уровневую структуру, которая послужила основой для последующих разработок модели Open System Interconnection (рис. 1.1).
Технология данного стека протоколов оказалась настолько удобной, что ее стали использовать не только для работы в Интернете, но и при организации работы в корпоративных сетях.
В связи с гигантским ростом численности хостов, подключенных к Интернету, и ростом числа компаний, использующих технологии Интернета для ведения своего бизнеса, значительно увеличилось число инцидентов, связанных с информационной безопасностью (ИБ). Данные CERT (Computer Emergency Response Team) показывают, что число зарегистрированных инцидентов постоянно увеличивается (рис. 1.2).
Начиная с 2004 г. этот рост стал еще более значительным, в связи с чем CERT перестала публиковать итоговые данные. Количество инцидентов тесно связано с количеством обнаруженных уязвимостей. Сводные данные базы данных уязвимостей США (National Vulnerability Database, http://nvd.nist.gov) за последние 12 лет приведены на рис. 1.3.
Рис. 1.2. Число зарегистрированных CERT инцидентов Под уязвимостью (vulnerability) информационной системы понимается любая характеристика, использование которой нарушителем может привести к реализации угрозы.
Угрозой (threat) информационной системе называется потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба (материального, морального или иного) ресурсам системы.
К настоящему времени известно большое количество разноплановых угроз различного происхождения, таящих в себе различную опасность для информации. Системная классификация угроз приведена в табл. 1.1.
Рис. 1.3. Число зарегистрированных NVD уязвимостей Т а б л и ц а 1.1. системная классификация угроз Параметры класЗначения параметров Содержание значения сификации Виды угроз Физическая целостность Уничтожение (искажение) Технические устройства Регистрации, ввода, обработки, хранения, передачи Виды угроз — это основополагающий параметр, определяющий целевую направленность защиты информации.
Под случайным понимается такое происхождение угроз, которое обусловливается спонтанными и не зависящими от воли людей обстоятельствами, возникающими в системе обработки данных в процессе ее функционирования. Наиболее известными событиями данного плана являются отказы, сбои, ошибки, стихийные бедствия и побочные влияния:
• отказ — нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций;
• сбой — временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;
• ошибка — неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния;
• побочное влияние — негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.
Преднамеренное происхождение угрозы обусловливается злоумышленными действиями людей, осуществляемыми в целях реализации одного или нескольких видов угроз.
Отмечены две разновидности предпосылок появления угроз: объективные (количественная или качественная недостаточность элементов системы) и субъективные (деятельность разведывательных служб иностранных государств, промышленный шпионаж, деятельность криминальных и хулиганствующих элементов, злоумышленные действия недобросовестных сотрудников системы). Перечисленные разновидности предпосылок интерпретируются следующим образом:
• количественная недостаточность — физическая нехватка одного или нескольких элементов системы обработки данных, вызывающая нарушения технологического процесса обработки и (или) перегрузку имеющихся элементов;
• качественная недостаточность — несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности для случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию;
• деятельность разведывательных служб иностранных государств — специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами;
• промышленный шпионаж — негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или похищения, а также по созданию для себя благоприятных условий в целях получения максимальной выгоды;
• действия криминальных и хулиганствующих элементов — хищение информации или компьютерных программ в целях наживы или их разрушение в интересах конкурентов;
• злоумышленные действия недобросовестных сотрудников — хищение (копирование) или уничтожение информационных массивов и (или) программ по эгоистическим или корыстным мотивам.
Источниками угроз являются люди, технические устройства, программы и алгоритмы, технологические схемы обработки данных и внешняя среда:
• люди — персонал, пользователи и посторонние лица, которые могут взаимодействовать с ресурсами и данными организации непосредственно с рабочих мест и удаленно, используя сетевое взаимодействие;
• технические средства — непосредственно связанные с обработкой, хранением и передачей информации (например, средства регистрации данных, средства ввода и т. д.), и вспомогательные (например, средства электропитания, кондиционирования и т. д.);
• модели, алгоритмы и программы — эту группу источников рассматривают как недостатки проектирования, реализации и конфигурации (эксплуатации) и называют недостатками программного обеспечения (общего назначения, прикладного и вспомогательного);
• технологическая схема обработки данных — выделяют ручные, интерактивные, внутримашинные и сетевые технологические схемы обработки;
• внешняя среда — выделяют состояние среды (возможность пожаров, землетрясений и т. п.), побочные шумы (особенно опасные при передаче данных) и побочные сигналы (например, электромагнитное излучение аппаратуры).
Основными причинами утечки информации являются:
• несоблюдение персоналом норм, требований, правил эксплуатации;
• ошибки в проектировании системы и систем защиты;
• ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом норм, требований, правил эксплуатации может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы.
Причины утечки информации достаточно тесно связаны с видами утечки информации. Рассматриваются три вида утечки информации:
• разглашение;
• несанкционированный доступ к информации;
• получение защищаемой информации разведками (как отечественными, так и иностранными).
Под р а з г л а ш е н и е м и н ф о р м а ц и и понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.
получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть государство, юридическое лицо, группа физических лиц (в том числе общественная организация), отдельное физическое лицо.
П о л у ч е н и е з а щ и щ а е м о й и н ф о р м а ц и и р а з в е д к ам и может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).
Канал утечки информации — совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя.
Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей систему, или вне ее.
Далее будем рассматривать только угрозы, связанные с межсетевым взаимодействием.
1.2. информационная безопасность Начиная с середины 90-х годов ХХ в. стало ясно, что Интернет может использоваться не только как альтернативный канал получения информации, но и как экономически оправданная альтернатива. Развитие компьютерной техники, средств телекоммуникаций, миниатюризация аппаратуры привели к развитию информационной инфраструктуры нового поколения. Конкуренция и высокая инвестиционная привлекательность обеспечили лавинообразный рост числа предприятий и организаций, использующих инфраструктуру и технологии Интернета как каналы получения информации, необходимой для экономической деятельности.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Вопросы обеспечения информационной безопасности исследуются в разных странах достаточно давно. В настоящее время сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим различные меры обеспечения безопасности на следующих уровнях:
• законодательный (законы, нормативные акты, стандарты);
• административный (действия общего характера, предпринимаемые руководством организации);
• процедурный (меры безопасности, реализуемые персоналом);
• программно-технический (конкретные технические меры).
При обеспечении ИБ существует два аспекта: формальный — определение критериев, которым должны соответствовать защищенные информационные технологии, и практический — определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.
Независимо от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ в том или ином виде должны включать в себя следующие этапы:
• определение политики ИБ;
• определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;
• оценка рисков;
• управление рисками;
• выбор контрмер, обеспечивающих режим ИБ;
• аудит системы управления ИБ.
Сущность информационной безопасности — защита объектов информации организации и бизнес-процессов, которые они поддерживают, в контексте:
• конфиденциальности — информация доступна только тем, кто авторизован для доступа;
• целостности — точность и полнота информации и методов обработки гарантирована;
• доступности — информация и ассоциированные объекты доступны по требованию авторизованных пользователей.
Международным сообществом установлено девять принципов обеспечения безопасности информационных систем (ИС) и сетей:
1) информированность (awareness) — участники должны сознавать необходимость безопасности информационных систем и сетей и то, что можно сделать для усиления безопасности;
2) ответственность (responsibility) — все участники ответственны за безопасность ИС и сетей;
3) реагирование (response) — участники должны действовать одновременно и совместно для защиты, обнаружения и реакции на инциденты безопасности;
4) этика (ethics) — участники должны соблюдать законные интересы друг друга;
5) демократия (democracy) — безопасность ИС и сетей должна быть совместима с главными ценностями демократического общества;
Рис. 1.4. Схема управления информационной безопасностью 6) оценка риска (risk assessment) — участники должны проводить оценку риска;
7) планирование (проектирование) и применение безопасности (security design and implementation) — участники должны включать механизмы обеспечения безопасности в информационные системы и сети;
8) управление безопасностью (security management) — участники должны использовать исчерпывающий подход к управлению безопасностью;
9) переоценка (reassessment) — участники должны пересматривать и переоценивать безопасность ИС и сетей и проводить соответствующие модификации политики безопасности, практики, оценок и процедур.
Защита информационных объектов является важнейшей задачей организации.
Управление рисками ИБ выступает интегральной частью процесса управления рисками организации. Схема управления ИБ приведена на рис. 1.4.
Основополагающим элементом защиты является определение политики безопасности защищаемой системы.
1.3. Политика безопасности Политика информационной безопасности (или политика безопасности) является планом высокого уровня, в котором описываются цели и задачи организации, а также мероприятия в сфере обеспечения безопасности. Политика описывает безопасность в обобщенных терминах без специфических деталей. Она обеспечивает планирование всей программы обеспечения безопасности. Политика информационной безопасности должна обеспечить защиту выполнения задач организации или защиту делового процесса.
Средствами обеспечения делового процесса (бизнес-процесса) являются аппаратные средства и программное обеспечение, которые должны быть охвачены политикой безопасности (ПБ). Поэтому в качестве основной задачи необходимо предусмотреть полную инвентаризацию системы, включая карту сети. При составлении карты сети необходимо определить потоки информации в каждой системе.
Схема информационных потоков может показать, насколько потоки информации обеспечивают бизнес-процессы, а также показать области, в которых важно обеспечить защиту информации, и принять дополнительные меры для обеспечения живучести. Кроме того, с помощью этой схемы можно определить места, в которых должна обрабатываться информация, как эта информация должна храниться, регистрироваться, дублироваться, перемещаться и контролироваться.
Инвентаризация, кроме аппаратных и программных средств, должна охватывать и некомпьютерные ресурсы, такие как программная документация, документация на аппаратуру, технологическая документация и т. д. Эти документы могут содержать информацию относительно особенностей организации бизнеса, а также могут показать области, которые могут быть использованы нарушителями.
Определение политики ИБ должно сводиться к следующим практическим шагам.
1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, в том числе:
• управление доступом к средствам вычислительной техники (СВТ), программам и данным;
• антивирусную защиту;
• вопросы резервного копирования;
• проведение ремонтных и восстановительных работ;
• информирование об инцидентах в области ИБ.
2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
3. Определение требований к режиму информационной безопасности.
4. Структуризация контрмер по уровням.
5. Определения порядка сертификации на соответствие стандартам в области ИБ.
6. Определение периодичности проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.
Реальная политика безопасности организации может включать в себя следующие разделы:
• общие положения;
• политика управления паролями;
• идентификация пользователей;
• полномочия пользователей;
• защита информационных ресурсов организации от компьютерных вирусов;
• правила установки и контроля сетевых соединений;
• правила политики безопасности по работе с системой электронной почты;
• правила обеспечения безопасности информационных ресурсов;
• обязанности пользователей по выполнению правил ПБ и т. д.
Политика безопасности не должна быть «мертвым» документом.
Правила должны изменяться и развиваться по мере развития самой организации, появления новых технологий, систем и проектов. Для этого необходимо периодически пересматривать правила. Одним из методов пересмотра политики безопасности, в частности, является аудит информационных систем. Поэтому можно говорить, что политика безопасности организации и, естественно, политика инфорРис. 1.5. Жизненный цикл политики безопасности мационной безопасности имеют свой жизненный цикл. Жизненный цикл политики безопасности приведен на рис. 1.5.
Определенных сроков того, как часто надо пересматривать правила, не существует. Однако рекомендуется, чтобы этот срок составлял от шести месяцев до одного года.
После разработки и внедрения правил безопасности пользователи должны быть ознакомлены с требованиями ИБ, а персонал пройти соответствующее обучение. При возникновении инцидентов работа должна вестись в соответствии с разработанными планами.
1.3.1. Шаблоны политик безопасности Политика безопасности организации — это документ, описывающий специфические требования или правила, которые должны выполняться. В области информационной и сетевой безопасности политики обычно специфичны к области применения. Стандарт — это коллекция системно-специфических или процедурноспецифических требований, которые должен выполнять каждый пользователь. Ведущие организации, занимающиеся вопросами обеспечения информационной безопасности, разработали шаблоны ПБ. Например, институт SANS (System Administration, Networking, and Security) разработал серию шаблонов различных ПБ (www.sans.
org/resources/policies/).
В число этих шаблонов входят, например, следующие политики:
• допустимая политика шифрования — определяет требования к криптографическим алгоритмам, используемым в организации;
• допустимая политика использования — определяет использование оборудования и компьютерных служб для защиты пользователей, ресурсов организации и собственно информации;
• антивирусная защита — определяет основные принципы эффективного уменьшения угрозы компьютерных вирусов для сети организации;
• политика оценки приобретений — определяет возможности покупок средств защиты организацией и определяет минимальные требования к оценке покупок, выполняемых группой информационной безопасности;
• политика аудита сканирования уязвимостей — определяет требования и назначает ответственного для сопровождения аудита и оценки риска, чтобы удостовериться в целостности информационных ресурсов, исследовать инциденты, устанавливать соответствие политикам безопасности или проводить мониторинг пользовательской и системной активности;
• политика автоматически передаваемой почты — документирует требования того, что никакая почта не может быть автоматически перенаправлена внешнему источнику без соответствующей санкции менеджера или директора;