Сергей Петренко - Политики безопасности компании при работе в Интернет
SECTION 03 CONSUMABLES
SECTION 04 WORKING OFF PREMISES OR USING OUTSOURCED PROCESSING
SECTION 05 USING SECURE STORAGE
SECTION 06 DOCUMENTING HARDWARE
SECTION 07 OTHER HARDWARE ISSUESChapter 06 Combating Cyber Crime SECTION 01 COMBATING CYBER CRIME
Chapter 07 Controlling e?Commerce Information Security SECTION 01 E COMMERCE ISSUES
Chapter 08 Developing and Maintaining In?House Software
SECTION 01 CONTROLLING SOFTWARE CODE
SECTION 02 SOFTWARE DEVELOPMENT
SECTION 03 TESTING & TRAINING
SECTION 04 DOCUMENTATION
SECTION 05 OTHER SOFTWARE DEVELOPMENTChapter 09 Dealing with Premises related Considerations
SECTION 01 PREMISES SECURITY
SECTION 02 DATA STORES
SECTION 03 OTHER PREMISES ISSUESChapter 10 Addressing Personnel Issues relating to Security
SECTION 01 CONTRACTUAL DOCUMENTATION
SECTION 02 CONFIDENTIAL PERSONNEL DATA
SECTION 03 PERSONNEL INFORMATION SECURITY RESPONSIBILITIES
SECTION 04 HR MANAGEMENT
SECTION 05 STAFF LEAVING EMPLOYMENT
SECTION 06 HR ISSUES OTHERChapter 11 Delivering Training and Staff Awareness
SECTION 01 AWARENESS
SECTION 02 TRAININGChapter 12 Complying with Legal and Policy Requirements
SECTION 01 COMPLYING WITH LEGAL OBLIGATIONS
SECTION 02 COMPLYING WITH POLICIES
SECTION 03 AVOIDING LITIGATION
SECTION 04 OTHER LEGAL ISSUESChapter 13 Detecting and Responding to IS Incidents
SECTION 01 REPORTING INFORMATION SECURITY INCIDENTS
SECTION 02 INVESTIGATING INFORMATION SECURITY INCIDENTS
SECTION 03 CORRECTIVE ACTIVITY
SECTION 04 OTHER INFORMATION SECURITY INCIDENT ISSUESChapter 14 Planning for Business Continuity SECTION 01 BUSINESS CONTINUITY MANAGEMENT (BCP)
3.6. Проблемы разработки политик безопасности
Сегодня отечественные предприятия остро нуждаются в политиках безопасности. Например, 44 % предприятий финансового и государственного сектора вынуждены пересматривать политики безопасности два или более раз в год. К тому же здесь часто возникают проблемы, которые заключаются в том, что высокоуровневые политики безопасности, как правило, далеки от практики и никак не связаны с низкоуровневыми техническими политиками безопасности. В свою очередь технические политики безопасности не учитывают цели и задачи организации режима информационной безопасности компании в должной мере. При этом одни технические политики безопасности задают требуемые настройки маршрутизаторов и межсетевых экранов, другие определяют правила создания паролей и порядок использования Интернета, но, как правило, они рассматриваются разрозненно и не позволяют отладить целостную интегрированную систему управления политиками безопасности. В результате если спросить у ИТ-специалистов, что такое управление политиками безопасности, то можно получить более десяти различных ответов: управление правилами и конфигурациями, управление паролями, управление уязвимостями, управление критичными обновлениями, управление пользователями и пр. В действительности, эти определения, а также многие другие верны. Именно поэтому создание, внедрение и отслеживание политик безопасности – одна из самых важных и трудных задач для специалистов в области информационных технологий и защиты информации (см. рис 3.14-3.16).
...Рис. 3.14. Пример создания политики безопасности для маршрутизатора Cisco
Среди наиболее общих проблем разработки требуемых политик безопасности следует отметить:
• сложности с поиском шаблонов или примеров подходящих по содержанию политик безопасности;
• недостаток собственных ресурсов или времени на разработку политик безопасности;
...Рис. 3.15. Пример доработки шаблона политики безопасности
• сложности с обновлением политик безопасности, особенно в территориально распределенных компаниях, где часто мониторинг соответствия версий политик безопасности на конечных местах не осуществляется;
• слишком дорогие или не достигающие поставленной цели обучение, тестирование и аттестация знаний персонала по безопасности;
• сложности с обучением пользователей требованиям политик безопасности, отслеживанием компетентности сотрудников; потребность в использовании учебных средств с Web-интерфейсом для снижения издержек на поездки сотрудников в центральный офис для обучения и тестирования (аттестации);
• сложности с доведением политик безопасности до конечных пользователей;
• нехватка сотрудников, ответственных за управление политиками безопасности.
...Рис. 3.16. Пример трансляции текста политики в технические спецификации
Для решения этих и других проблем можно воспользоваться специальными системами управления политиками безопасности. К основным задачам названных систем относятся:
• эффективное создание текстовых политик безопасности и управление ими;
• осуществление программы ознакомления сотрудников с политиками информационной безопасности, проверка знаний и понимания названных политик;
• обеспечение связи между высокоуровневыми текстовыми политиками безопасности и техническими политиками конфигураций аппаратно-программных средств защиты информации и пр.
3.7. Обзор возможностей современных систем управления политиками безопасности
Как правило, современные системы управления политиками безопасности используют лицензированные библиотеки политик безопасности, разработанные другими компаниями. Так, например, продукт компании NetlQ, использует библиотеку Information Security Policies Made Easy (ISPME), решение компании Bindview ориентировано на применение библиотеки Meta Security Group, а система управления компании Zequel поставляется вместе с библиотекой компаний Protiviti и Bizmanualz. Каждый из названных продуктов включает примеры политик безопасности, разработанные на основе международного стандарта ISO 17799. Ряд компаний, например компания NetlQ, создавая политики безопасности на основе требований стандарта ISO 17799, сортируют их по функционалу и темам – от классификации данных до безопасности Web-серверов (см. рис. 3.17).
...Рис. 3.17. Пример библиотеки политик безопасности
Общей особенностью современных систем управления политиками безопасности является возможность оперативно создавать высоуровневые и низкоуровневые политики безопасности, распространять эти политики сотрудникам компании и ослеживать факты ознакомления и согласия с политиками. Далее рассмотрим возможности современных инструментальных систем управления политиками безопасности на примере решений Bindview Policy Operations Center (РОС), NetlQ VigilEnt Policy Center (VPC), Zequel Dynamic Policy. Сводные характеристики указанных систем управления политиками безопасности представлены в табл. 3.6 и 3.7.
Таблица 3.6. Характеристики систем управления политиками безопасности
Таблица 3.7. Оценка возможностей систем управления политиками безопасности
3.7.1 Bindview Policy Operations Center
Основное отличие Policy Operations Center Bindview Corp. (www.bindview.com) от других систем управления политиками безопасности заключается в том, что Bindview РОС по существу является удаленным сервисом компании Bindview. В качестве библиотеки шаблонов политик безопасности используется разработка компании Meta Security Group. Уникальной особенностью системы является встроенная возможность анализа защищенности корпоративной информационной системы (vulnerability reporting). Однако в целом названная система уступает по функциональным возможностям NetlQ, VigilEnt Policy Center (VPC) и DynamicPolicy. Особенно это заметно при создании и внедрении политик безопасности, а также соответствующих тестов для проверки знаний сотрудников компании.
Как сервис Bindview РОС не требует каких-либо затрат на серверное оборудование. Но поскольку продукт работает удаленно, нет возможности подключить к нему корпоративную службу каталога, однако пользователи могут быть импортированы через текстовый файл. Для безопасного удаленного доступа к серверу может использоваться протокол SSL (128-bit encryption). Пользовательский интерфейс РОС наиболее развит из всех продуктов. РОС отображает, в каком статусе находится политика безопасности – в черновом варианте, на согласовании, на утверждении или уже утверждена.
Для создания политики безопасности используется мастер (wizard), который позволяет выбрать подходящий способ создания политики безопасности – наследование примера политики безопасности или загрузка готовой политики.
После подготовки на своем компьютере черновой версии политики безопасности уполномоченное лицо производит загрузку политики на сервер. После импортирования политика безопасности получает новый номер версии, при этом старая версия политики архивируется. При необходимости сотрудники, согласующие политики безопасности, могут обращаться к предыдущим версиям политики безопасности.
3.7.2. Zequel Technologies DynamicPolicy
DynamicPolicy функционирует под управлением Windows 2000 Server (с поддержкой SMTP) на платформе Pentium IV (с минимальным объемом ОЗУ 512 Мб) и поставляется с собственным Web-сервером (Apache 1.3.27 и РНР 4.3.1). После установки DynamicPolicy для запуска и остановки Apache и MySQL используется специальный скрипт.
Текущая версия Zequel Technologies DynamicPolicy (www.zequel.com) по своей функциональности не уступает РОС и VPC. Эта система управления политиками безопасности позволяет импортировать и экспортировать примеры политик безопасности, в частности политики безопасности стандартов ISO 17799 и SOX. Далее становится возможным разрабатывать свои собственные, оригинальные политики безопасности. При этом пользовательский интерфейс DynamicPolicy достаточно сложен и может вызвать определенные трудности на начальном этапе изучения системы.
