Сергей Петренко - Политики безопасности компании при работе в Интернет
Очевидно, что любая официальная политика, вне зависимости от ее отношения к информационной безопасности, время от времени нарушается. Нарушение может явиться следствием пользовательской небрежности, случайной ошибки, отсутствия должной информации о текущей политике или ее непонимания. Возможно также, что некое лицо или группа лиц сознательно совершают действия, прямо противоречащие утвержденной политике безопасности. Необходимо заранее определить характер действий, предпринимаемых в случае обнаружения нарушений политики, ведь эти действия должны быть быстрыми и правильными. Следует организовать расследование, чтобы понять, как и почему нарушение стало возможным. После этого нужно внести коррективы в систему защиты. Тип и серьезность корректив зависят от характера случившегося нарушения.
Выработка ответа на нарушение политики. Политику безопасности могут нарушать самые разные лица. Некоторые из них являются своими, местными пользователями, другие нападают извне. Полезно определить сами понятия «свои» и «чужие», исходя из административных, правовых или политических положений. Эти положения очерчивают характер санкций, которые можно применить к нарушителю – от письменного выговора до привлечения к суду. Таким образом, последовательность ответных действий зависит не только от типа нарушения, но и от вида нарушителя; она должна быть продумана задолго до первого инцидента, хотя это и непросто.
Следует помнить, что правильно организованное обучение – лучшая защита. Вы обязаны поставить дело так, чтобы не только внутренние, но и внешние легальные пользователи знали положения вашей политики безопасности. Если вы будете располагать свидетельством подобного знания, это поможет вам в будущих правовых акциях, когда таковые понадобятся.
Проблемы с нелегальными пользователями, в общем, те же. Нужно получить ответы на вопросы о том, какие типы пользователей нарушают политику, как и зачем они это делают. В зависимости от результатов расследования вы можете просто заткнуть дыру в защите и удовлетвориться полученным уроком или предпочтете более жесткие меры.
Что делать, когда местные пользователи нарушают политику безопасности сторонней организации? Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным пользователям, нарушающим политику безопасности сторонней организации. Кроме того, необходимо позаботиться о защите от ответных действий сторонней организации. При выработке политики безопасности следует учесть все юридические положения, применимые к подобным ситуациям.
Спецификация контактов с внешними организациями и определение ответственных. Политика безопасности предприятия должна содержать процедуры для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие организации, команды «быстрого реагирования» (CERT, CIAC), средства массовой информации. В процедурах должно быть определено, кто имеет право на такие контакты и как именно они совершаются.
Среди прочих нужно дать ответы на следующие вопросы:
• Кто может разговаривать с прессой?
• Когда следует обращаться в правоохранительные органы?
• Если соединение выполняется из сторонней организации, имеет ли право системный администратор обратиться в эту организацию?
• Какого рода сведения об инцидентах могут выходить за пределы организации?Детальная информация по контактам должна быть постоянно доступна вместе с ясно определенными процедурами отработки этих контактов.
Каковы обязанности по отношению к соседям и другим пользователям Интернета? Рабочая группа по политике безопасности (Security Policy Working Group, SPWG) интернет-сообщества опубликовала документ под названием «Основы политики для безопасной работы в Интернет». В нем Интернет трактуется как совместное предприятие, в котором пользователи должны помогать друг другу в поддержании режима безопасности. Это положение следует учитывать при разработке политики предприятия. Главный вопрос состоит в том, какой информацией можно делиться с соседями. Ответ зависит как от типа организации (военная, учебная, коммерческая и т. д.), так и от характера случившегося нарушения.
Процедурные вопросы реагирования на нарушения. Помимо политических положений, необходимо продумать и написать процедуры, исполняемые в случае обнаружения нарушений режима безопасности. Данный вопрос подробно рассматривается в следующем разделе. Для всех видов нарушений должны быть заготовлены соответствующие процедуры.
Пресекать или следить? Когда на организацию совершается нападение, грозящее нарушением информационной безопасности, стратегия ответных действий может строиться под влиянием двух противоположных подходов. Если руководство опасается уязвимости предприятия, оно может предпочесть стратегию «защититься и продолжить». Главной целью подобного подхода является защита информационных ресурсов и максимально быстрое восстановление нормальной работы пользователей. Действиям нарушителя оказывается максимальное противодействие, дальнейший доступ предотвращается, после чего немедленно начинается процесс оценки нанесенных повреждений и восстановления. Возможно, при этом придется выключить компьютерную систему, закрыть доступ в сеть или предпринять иные жесткие меры. Оборотная сторона данной медали состоит в том, что пока злоумышленник не выявлен, он может вновь напасть на эту же или другую организацию прежним или новым способом.
Другой подход, «выследить и осудить», опирается на иные философию и систему целей. Основная цель состоит в том, чтобы позволить злоумышленнику продолжать свои действия, пока организация не сможет установить его личность. Такой подход нравится правоохранительным органам. К сожалению, эти органы не смогут освободить организацию от ответственности, если пользователи обратятся в суд с иском по поводу ущерба, нанесенного их программам и данным.
Судебное преследование – не единственный возможный исход установления личности нарушителя. Если виновным оказался штатный сотрудник или студент, организация может предпочесть дисциплинарные меры. В политике безопасности должны быть перечислены допустимые варианты наказания и критерии выбора одного или нескольких из них в зависимости от личности виновного.
Руководство организации должно заранее тщательно взвесить различные возможности при выборе стратегии ответных действий. В принципе стратегия может зависеть от конкретных обстоятельств нападения. Возможен и выбор единой стратегии на все случаи жизни. Нужно принять во внимание все за и против и проинформировать пользователей о принятом решении, чтобы они в любом случае осознавали степень своей уязвимости.
Следующий контрольный перечень помогает сделать выбор между стратегиями «защититься и продолжить» и «выследить и осудить». При каких обстоятельствах следует предпочесть стратегию «защититься и продолжить»:
• активы организации недостаточно защищены;
• продолжающееся вторжение сопряжено с большим финансовым риском;
• нет возможности или намерения осудить злоумышленника;
• неизвестен круг пользователей;
• пользователи неопытны, а их работа уязвима;
• пользователи могут привлечь организацию к суду за нанесенный ущерб.При каких обстоятельствах следует предпочесть стратегию «выследить и осудить»:
• активы и системы хорошо защищены;
• имеются хорошие резервные копии;
• угроза активам организации меньше потенциального ущерба от будущих повторных вторжений;
• имеет место согласованная атака, повторяющаяся с большой частотой и настойчивостью;
• организация притягивает злоумышленников и, следовательно, подвергается частым атакам;
• организация готова идти на риск, позволяя продолжить вторжение;
• действия злоумышленника можно контролировать;
• доступны развитые средства отслеживания, так что преследование нарушителя имеет хорошие шансы на успех;
• обслуживающий персонал обладает достаточной квалификацией для успешного выслеживания;
• руководство организации желает осудить злоумышленника;• системный администратор знает, какого рода информация обеспечит успешное преследование;
• имеется тесный контакт с правоохранительными органами;
• в организации есть человек, хорошо знающий соответствующие законы;
• организация готова к искам собственных пользователей по поводу программ и данных, скомпрометированных во время выслеживания злоумышленника.
Толкование политики безопасности. Важно определить, кто будет интерпретировать политику безопасности. Это может быть отдельное лицо или комитет. Вне зависимости от того, насколько хорошо она написана, политика безопасности время от времени нуждается в разъяснении, а заодно и в пересмотре.
Гласность политики безопасности. После того как положения политики безопасности записаны и одобрены, необходимо начать активный процесс, гарантирующий, что политика воспринята и обсуждена. Почтовую рассылку нельзя признать достаточной мерой. Прежде чем политика вступит в силу, следует отвести время для дискуссий, чтобы все заинтересованные пользователи могли высказать свое мнение и указать на недостатки политики. В идеале политика должна соблюдать баланс между безопасностью и производительностью труда.