Сергей Петренко - Политики безопасности компании при работе в Интернет
В этом случае рекомендуемая структура руководящих документов по обеспечению информационной безопасности компании может быть представлена следующим образом (см. рис. 2.2).
...Рис. 2.2. Структура руководящих документов безопасности
После создания корпоративной политики создается серия стандартов. Под стандартами IBM понимает документы, описывающие порядок применения корпоративной политики безопасности в терминах аутентификации, авторизации, идентификации, контроля доступа и т. д. Стандарты могут требовать частых изменений, так как на них оказывают влияние текущие угрозы и уязвимости информационных технологий.
В представлении IBM политики и стандарты безопасности создаются для:
• разработки правил и норм безопасности уровня компании;
• анализа информационных рисков и способов их уменьшения;
• формализации способов защиты, которые должны быть реализованы;
• определения ожиданий со стороны компании и сотрудников;
• четкого определения процедур безопасности, которым нужно следовать;
• обеспечения юридической поддержки в случае возникновения проблем в области безопасности.
Стандарты реализуются с помощью практик и/или процедур. Практики являются реализацией стандартов в операционных системах, приложениях и информационных системах. В них детализируются сервисы, устанавливаемые на операционных системах, порядок создания учетных записей и т. д. Процедуры документируют процессы запроса и подтверждения доступа к определенным сервисам, например VPN.
Рассмотрим особенности предлагаемого подхода IBM (рис. 2.3) на следующем примере:
• проблемная ситуация – сотрудники загружают программное обеспечение из сети Интернет, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности работы сотрудников компании;
• в политику безопасности добавляется строка – «информационные ресурсы компании могут быть использованы только для выполнения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудникам компании;
• создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспечение разрешены для использования сотрудниками;
• практика безопасности описывает, как настроить операционную систему в соответствии с требованиями стандарта безопасности;
• процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или установку дополнительного программного обеспечения сотрудниками;
• устанавливаются дополнительные сервисы для контроля выполнения требований политики безопасности....Рис. 2.3. Подход IBM к разработке документов безопасности
2.1.2. Пример стандарта безопасности для ОС семейства UNIX
Цель и область действия стандарта: документ определяет требования по защите компьютеров, работающих под управлением ОС семейства UNIX.
Аудитория: персонал служб информационных технологий и информационной безопасности.
Полномочия: отдел информационной безопасности наделяется всеми полномочиями для разрешения возможных проблем, связанных с безопасностью серверов информационной системы компании, и несет за это ответственность. Департамент управления информационными рисками утверждает все отклонения от требований данного стандарта.
Срок действия: с 1 января до 31 декабря … года.
Исключения: все отклонения от выполнения данного стандарта должны получить подтверждение в отделе информационной безопасности.
Поддержка: по всем вопросам, связанным с этим стандартом, обращаться в отдел информационной безопасности.
Пересмотр стандарта: стандарт пересматривается ежегодно.
СТАНДАРТ БЕЗОПАСНОСТИ ОС СЕМЕЙСТВА UNIX УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП
Настройки по умолчанию. Операционная система и права доступа к файлам должны быть настроены в режиме защищенной конфигурации при использовании umask по умолчанию, что гарантирует надлежащие разрешения доступа. Все пароли, установленные вендорами по умолчанию, должны быть изменены перед промышленной эксплуатацией системы.
Администрирование учетных записей пользователей и групп:
• учетные записи с привилегиями, равными привилегиям учетной записи root, запрещены;
• все идентификаторы групп и пользователей должны быть изменены таким образом, чтобы не было одинаковых учетных записей и владение учетной записью могло быть отслежено;
• выдача привилегированных учетных записей должна производиться с разрешения владельца системы;
• каждый пользователь системы должен иметь учетную запись с уникальным именем, идентификатором пользователя и паролем;
• все системные администраторы должны иметь свою собственную учетную запись;
• непосредственный доступ к учетной записи root для выполнения повседневных администраторских задач запрещен;
• только учетным записям администраторов предоставляется право повышения уровня привилегий;
• процесс регистрации в системе должен отображать данные о предыдущем входе в систему;
• неактивные учетные записи пользователей должны быть удалены;
• все пользовательские shell должны быть в списке легальных shell операционной системы;
• добавление нового shell осуществляется системными администраторами с разрешения владельца системы.Профили пользователей. Все глобальные профили должны иметь значение umask, равное 0 2 3, то есть полный доступ – для владельца, доступ на чтение и выполнение – для членов группы владельцев и доступ на чтение – для всех остальных пользователей. Администраторы должны проверять индивидуальные профили для обеспечения целостности системы. Запрещено использовать текущую директорию в переменной shell PATH.
Политика использования паролей. Пароли должны удовлетворять требованиям, описанным в Инструкции по использованию паролей.
Домашние директории. Домашние директории обязательны для любой учетной записи, если только это не требуется для какого-нибудь приложения.
Совместно используемые директории. Директории могут использоваться совместно несколькими учетными записями, принадлежащими к одной группе или объединенными общей функциональной потребностью. Членам такой группы разрешается доступ на запись в директорию. Группа (ее идентификатор) является собственником всех файлов и вложенных директорий.
Совместно используемые учетные записи. Использование одной пользовательской учетной записи для совместной работы несколькими пользователями запрещено. Разрешается совместно использовать только специальные администраторские учетные записи или учетные записи для операций восстановления, при этом данные учетные записи не должны иметь права повышать свои привилегии.
Привилегированные учетные записи. Эти учетные записи имеют право повышать свои привилегии до уровня root. Совместное их использование строго запрещается. Обязательно журналирование таких учетных записей, и выданы они могут быть только системным администраторам и администраторам приложений.
Приветственное приглашение. При регистрации пользователя в системе должно появляться приветственное приглашение. Это сообщение должно иметь следующее содержание:
• эта система предназначена для использования только авторизованными пользователями;
• пользователи, использующие систему без авторизации или превысившие свои полномочия, являются нарушителями режима информационной безопасности, их действия в системе будут записаны и проанализированы системными администраторами;
• регистрация действий пользователей в системе может осуществляться при ненадлежащем использовании ими системы или при проведении регламентных работ;
• любое использование системы пользователями подтверждает правомерность мониторинга действий пользователей в системе, и, в случае нарушения режима информационной безопасности, системные администраторы вправе предоставлять записи действий пользователей в правоохранительные органы для проведения расследований.СЕТЕВОЙ ДОСТУП УДАЛЕННЫЙ ДОСТУП
Команды удаленного управления. Удаленный доступ к системе с использованием r-команд семейства BSD для удаленного управления (rlogin, rexec) должен быть отключен, если только не существует другого способа управлять приложениями и системой. Если такой доступ необходим для выгрузки/загрузки файлов, то должна быть создана специальная учетная запись таким образом, чтобы нельзя было с ее помощью получить shell. Использование r-команд для удаленного управления запрещено.
Устройства удаленного доступа. Установка и использование любых устройств удаленного доступа, за исключением специально предназначенных для этих целей систем, запрещены. Для указанных систем все действия регистрируются.