Политики безопасности компании при работе в Интернет - Сергей Петренко

Далее необходимо четко определить уровень привилегий по внесению изменений, а также порядок внесения изменений. Здесь возможны следующие корректирующие действия:

• реализация изменений для предупреждения дальнейшего распространения нарушения,

• изолирование поврежденных систем,

• взаимодействие с провайдером для отслеживания источника атаки,

• использование записывающих устройств для сбора доказательств,

• отключение поврежденных систем или источников атаки,

• обращение в правоохранительные органы или федеральные агентства,

• выключение поврежденных систем,

• восстановление систем в соответствии со списком приоритетности,

• уведомление руководства и юристов компании.

Необходимо детализировать любые изменения в политике безопасности, которые могут быть произведены без обязательного получения разрешения от руководства.

Отметим, что существуют две основные причины для сбора и хранения информации об атаках: определение последствий реализации атаки и расследование и преследование злоумышлеников. Тип информации, способ сбора и обработка информации обусловлены целями реагирования на нарушения безопасности.

Для определения последствий нарушения безопасности рекомендуется осуществить следующие шаги:

• зафиксировать инцидент с помощью записи сетевого трафика, снятия копий файлов журналов, активных учетных записей и сетевых подключений;

• ограничить дальнейшие нарушения путем отключения учетных записей, отсоединения сетевого оборудования от сети и от Интернета;

• провести резервное копирование скомпрометированных систем для проведения детального анализа повреждений и метода атаки;

• попытаться найти другие подтверждения компрометации. Часто при компрометации системы оказываются затронутыми другие системы и учетные записи;

• просматривать хранимые файлы журналов устройств безопасности и сетевого мониторинга, так как они часто являются ключом для определения метода атаки.

Если необходимо произвести юридические действия, следует уведомить руководство и привлечь юристов компании для сбора соответствующих доказательств. Если нарушение было внутренним, то потребуется привлечь сотрудников отдела кадров компании.

Восстановление. Восстановление работоспособности сервисов сети компании является конечной целью процедуры реагирования на нарушения в области безопасности. Здесь необходимо определить порядок восстановления доступности сервисов, например с помощью процедур резервного копирования. При этом надо учитывать, что каждая система имеет свои собственные механизмы резервного копирования. Поэтому политика безопасности, являясь общей для всех элементов сети, при необходимости должна позволять детализировать условия восстановления конкретного элемента. Если требуется получить разрешение на восстановление, нужно описать порядок получения разрешения в политике безопасности.

Пересмотр политики безопасности. Пересмотр политики безопасности является заключительным этапом жизненного цикла политики безопасности. Здесь важно обратить внимание на следующее. Политика безопасности должна быть «жизнеспособным» документом, адаптированным к изменяющимся условиям. Сравнение существующей политики безопасности с лучшими практиками в этой области и последующий пересмотр политики должны поддерживать в актуальном состоянии защищенность активов сети. Необходимо регулярно обращаться на Web-сайты различных независимых аналитических центров, например CERT или SANS, за полезными советами и рекомендациями по обеспечению безопасности и учитывать их в поддерживаемой политике безопасности компании.

Также рекомендуется проводить аудит безопасности сети путем обращения в соответствующие консалтинговые компании, специализирующиеся на оказании подобных услуг. Для сетей с высокими требованиями к доступности информационных ресурсов рекомендуется проведение независимого аудита безопасности как минимум раз в год. Кроме того, достаточно эффективны и внутренние тренировки для отработки действий в чрезвычайных ситуациях.

2.3.2. Пример политики сетевой безопасности

Область действия политики. Как авторизованный пользователь корпоративной сети каждый сотрудник компании обладает доступом к информации с различным уровнем конфиденциальности. Ознакомление и соблюдение политики сетевой безопасности компании (далее – «политика») является важной обязанностью каждого сотрудника для обеспечения конфиденциальности, целостности и доступности информационных активов компании. При этом компания следует принципу «знать только то, что необходимо знать для выполнения своих служебных обязанностей».

Целевая аудитория. Политика обязательна для следующих сотрудников компании:

• рядовых пользователей сети, выполняющих свои служебные обязанности на рабочих местах;

• специалистов ИТ-службы и службы безопасности, ответственных за эксплуатацию и сопровождение информационной системы, а также за соблюдение политики безопасности;

• менеджеров, ответственных за организацию режима информационной безопасности компании;

• руководства компании, которое стремится обеспечить целостность, конфиденциальность и доступность информационных активов компании в соответствии с целями и задачами бизнеса;

• юристов и аудиторов компании, которые обеспокоены сохранением репутации компании и ответственностью компании перед клиентами и партнерами.

Область действия. Политика является частью программы компании по обеспечению безопасности ее информационных активов. Политика определяет допустимые правила доступа сотрудников, клиентов, партнеров и вендоров к открытым и конфиденциальным информационным активам в сети компании.

Юридические права. Совет директоров уполномочен акционерами компании создать, внедрить и поддерживать политику в соответствии с требованиями государственных органов, федерального и международного законодательства. Директор (начальник) службы информационной безопасности и главный юрист компании несут ответственность за реализацию этой политики.

Заинтересованные стороны. Следующий персонал компании несет личную ответственность за создание, поддержку и внедрение политики сетевой безопасности:

• директор по финансам,

• директор по развитию,

• директор службы продаж и маркетинга,

• исполнительный директор, СЕО,

• директор информационной службы, CIO,

• директор службы информационной безопасности, CISO,

• директор по сетям и телекоммуникациям,

• главный менеджер по информационным системам,

• директор службы качества и внутреннего аудита,

• главный юрист компании,

• директор службы персонала,

• директор системной поддержки и сопровождения,

• директор службы разработки приложений.

Обязанности системного администратора. Системный администратор сетевого оборудования отвечает за выполнение следующих требований:

• назначение учетной записи отдельным сотрудникам (не группам);

• обеспечение уникальности учетных записей сотрудников и оборудования внутри компании;

• установка обновлений безопасности и сервисных пакетов, рекомендованных отделом информационной безопасности, в соответствии с их уровнем критичности;

• осуществление управления учетными записями и паролями;

• отключение учетных записей при увольнении сотрудников;

• хранение файлов конфигураций сетевых устройств на защищенном TFTP-сервере. Защита конфигураций от разглашения. Использование керберизованного rcp между маршрутизаторами Cisco и сервером TFTP;

• ежедневное исследование файлов журналов. Немедленное оповещение отдела информационной безопасности об инцидентах, связанных с безопасностью. Еженедельная отправка отчетов о небольших нарушениях безопасности (типа многократных неудачных попыток регистрации) в отдел информационной безопасности;

• использование средств управления и контроля сетевой безопасности для поиска «слабых» паролей, сетевых уязвимостей и средств проверки целостности файлов и системных конфигураций (таких, как Cisco IDS, Cisco Netsys, Crack, COPS, Tiger, Tripwire) на постоянной основе.

Процедура поддержки политики безопасности. Заинтересованные стороны компании должны просматривать и обновлять политику не реже одного раза в год. Отдел информационных систем под руководством отдела информационной безопасности проводит аудит сети на регулярной основе и документирует результаты проверок.

Процедура реализации. Директор по развитию сетей и телекоммуникаций должен определить точную сетевую топологию и сетевое оборудование компании, в рамках которых будет действовать настоящая политика безопасности.