Руководство по выработке правил разграничения доступа к ЭВМ

         

Несанкционированный доступ


Общей угрозой для большей части организаций является несанкционированный доступ к СВТ. Несанкционированный доступ имеет много форм. Одна из них - использование чужого пароля для получения доступа к АС. Использование любой АС без разрешения может считаться несанкционированным доступом к СВТ.

Опасность несанкционированного доступа неодинакова в различных организациях. В некоторых организациях сам факт предоставления доступа несанкционированному пользователю может привести к невосстанавливаемым повреждениям СВТ. В других несанкционированный доступ открывает двери другим угрозам защите. Кроме того, некоторые организации могут быть объектом более частых атак, чем другие; поэтому риск несанкционированного доступа меняется от организации к организации. Группа CERT (CERT - смотpи часть ) заметила, что известные университеты, правительственные организации и военные части более привлекают злоумышленников.



Раскрытие информации


Другой распространенной угрозой является раскрытие информации. Оцените ценность или важность информации, хранящейся в ваших АС. Раскрытие файла паролей может стать причиной несанкционированного доступа в будущем. Обрывок предложения может дать вашему конкуренту большое преимущество. Технические заметки могут сохранить ему годы исследований.



Отказ в обслуживании


СВТ и сети предоставляют много ценных служб их пользователям. Многие люди полагаются на эти службы, так как они позволяют им эффективно решать свои задачи. Когда эти службы недоступны в нужный момент, производительность падает.

Отказ в обслуживании имеет много форм и может по-разному затрагивать пользователей. Сеть может стать неработоспособной из-за специального вредного пакета, искажений при передаче или неисправного компонента сети. Вирус может снизить производительность или остановить АС. Каждая организация должна определить, какие службы необходимы, и для каждой из этих служб оценить, к каким последствиям для организации приведет неработоспособность этого службы.

| |



Что делать, когда ваши местные пользователи нарушают ПРД другой организации?


В случае, когда местный пользователь нарушил ПРД другой организации, ваша организация должна иметь четко определенный набор административных действий, применяемых к этому пользователю. Организация также должна быть готовой к защите самой от возможных действий этой другой организации. Такие ситуации приводят к проблемам, которые должны быть отражены при разработке ПРД.



Что делать с конфиденциальной информацией?


Перед тем, как предоставить пользователям доступ к вашим службам, вам нужно определить, на каком уровне вы обеспечиваете секретность данных в вашей АС. Определив это, вы определите уровень секретности данных, которые пользователи могут хранить в вашей АС. Вы не должны позволять пользователям хранить очень важную информацию в АС, которую вы не собираетесь делать очень защищенной. Вам нужно сообщить пользователям, которые могут хранить конфиденциальную информацию, о том, какие службы, если они есть, более подходят для хранения конфиденциальной информации. Эта часть должна включать хранение данных различными способами (диски, магнитные ленты, файл-серверы и т.д.). Ваши ПРД в этой области должны быть скоординированы с ПРД в отношении прав системных администраторов (смотри раздел ).


| |



Что нужно делать в ответ на нарушение ПРД


Нарушения ПРД могут совершаться самыми разными пользователями. Некоторые из них могут быть местными пользователями, а другие - людьми со стороны. Организация может найти полезным определение того, кого считать "своим" и "чужим" на базе административных или политических границ. Эти границы косвенно определят, что нужно сделать для исправления ситуации; от выговора до наложения штрафа. Поэтому вам надо не только определить предпринимаемые шаги на основе типа нарушения, но также иметь четко определенные последовательности действий для каждого типа пользователя. Это может показаться слишком сложным, но лучше сделать это заранее, чем второпях после нарушения.

Стоит запомнить один момент в отношении ваших ПРД правильное обучение является наилучшей защитой. Когда "чужие" легально используют ваши СВТ, вы обязаны проверить, что они ознакомлены с ПРД, которые вы установили. Эта информация может пригодиться вам в будущем, когда понадобится применить уголовные санкции.

Для пользователей, использующих ваши СВТ нелегально, проблема по существу остается той же. Пользователь какого типа нарушил ПРД, почему и как он это сделал? В зависимости от результатов расследования вы можете просто заделать брешь в защите и занести ее в вашу копилку опыта. Или, если в результате нарушения вы потерпели большие убытки, вы можете сделать что-либо более жесткое.



Что происходит при нарушениях ПРД


Понятно, что когда определен любой тип официальных ПРД, независимо от того, связаны они с компьютерной секретностью или нет, рано или поздно они будут нарушены. Нарушение может произойти из-за нерадивости людей, случайной ошибки, неверной информации о текущих ПРД, или их непонимания. Также вполне возможно, что человек (или группа людей) специально совершат действия, которые являются прямым нарушением ПРД.

При обнаружении нарушения ПРД действия, предпринимаемые сразу же после нарушения, должны быть определены заранее, для того чтобы быть уверенным в том, что будет сделано все, что необходимо. Нужно провести расследование, чтобы выявить то, как и почему произошло нарушение. Затем следует выполнить ряд корректирующих действий. Что и в каком объеме нужно будет сделать, зависит от типа произошедшего нарушения.



Что такое правильное использование ресурсов ?


После определения того, кому разрешен доступ к ресурсам системы, необходимо дать рекомендации по приемлемому использованию ресурсов. Вы можете давать различные рекомендации различным типам пользователей (например, студентам, сотрудникам факультета, внешним пользователям). ПРД должны определять, что такое допустимое использование, а также что такое недопустимое использование ресурсов. В них также следует включить определение типов использования ресурсов, применение которых может быть ограниченным.

Определите границы доступа к ресурсам и полномочия при доступе. Вам понадобится учесть уровень доступа, который будут иметь различные пользователи, а также то, какие ресурсы будут доступны или ограниченно доступны различным группам людей.

В отношении допустимого использования ресурсов ваши ПРД должны однозначно установить, что каждый человек отвечает за свои действия. Их обязанности существуют всегда, независимо от того, какие механизмы секретности действуют. Должно быть явно определено, что использование чужих паролей или обход защиты являются недопустимыми действиями.

Следующие моменты следует учесть при разработке правил допустимого использования:

допустимо ли получение доступа к информации о пользователях? допустимо ли вскрытие чужих паролей? допустимо ли разрушение служб сети? должны ли пользователи предполагать, что файл, являющийся доступным всем по чтению, дает им право читать его? можно ли разрешить пользователям модифицировать файлы, которые не являются их собственными, даже если они имеют право записи в них? можно ли нескольким пользователям использовать одно и то же регистрационное имя и пароль?

Ответом на большинство этих вопросов будет "НЕТ".

Вы можете захотеть включить в ваши ПРД пункт, связанный с программным обеспечением, защищенным авторскими правами или лицензированным. Лицензионное соглашение с производителями может потребовать некоторых усилий от вас для того чтобы гарантировать отсутствие нарушений лицензии. Кроме того, вы можете захотеть проинформировать пользователей, что копирование программ, защищенных авторскими правами, является нарушением законов об авторских правах и запрещено.


В отношении программного обеспечения, которое является лицензионным или защищено авторскими правами, вы можете захотеть включить в ПРД следующую информацию:

какое лицензионное и защищенное авторскими правами программное обеспечение не может копироваться за исключением случая, когда явно сказано, что вы можете делать это; методы доведения информации о статусе разрешения копирования программ; фразу "Когда у вас возникли сомнения, НЕ КОПИРУЙТЕ".

Ваши правила допустимого использования очень важны. ПРД, которые явно не определяют, что запрещено, могут впоследствии не позволить вам доказать, что пользователь нарушает ПРД.

Существуют исключения, такие как пользователи или администраторы, желающие иметь "лицензию на хэккерство" - вы можете столкнуться с ситуацией, когда пользователи захотят исследовать ваши АС ради тестирования защищенности. Вы должны разработать ПРД, которые будут определять, можно ли вам разрешать такой тип исследований ваших сетевых служб и, если это так, каковы рекомендации при проведении таких исследований.

Что вам следует отразить в этой части ПРД:

можно ли это делать вообще; какой тип деятельности разрешен: доступ к информации, запуск сетевых вирусов, запуск вирусов, и т.д.; какой контроль должен осуществляться при этом, чтобы гарантировать, что ситуация не вышла из-под контроля (например, выделить сегмент вашей сети для этих тестов); каким образом вы будете защищать остальных пользователей, чтобы они не стали жертвами этих процессов, включая внешних пользователей и сети; процесс получения разрешения на проведение этих тестов.

В тех случаях, когда вы разрешили проведение таких исследований, вы должны изолировать тестируемую часть сети от основной сети. Сетевые вирусы и просто вирусы никогда не должны запускаться в реальной сети.

Вы можете также захотеть подрядить кого-либо для оценки защищенности ваших АС, что может включать их исследование. Вы можете захотеть отразить этот момент в ваших ПРД.


Интерпретация ПРД


Важно определить, кто будет интерпретировать ПРД. Это может быть человек или комитет. Независимо от того, насколько хорошо они написаны, ПРД время от времени будут требовать интерпретации, и это поможет впоследствии пересмотреть их при необходимости.



Каковы обязанности перед вашими соседями и другими организациями Интернета?


Рабочая группа по политике секретности в IETF работает над документом, имеющим название "Политические рекомендации по безопасной работе в Интернете"[23]. Он связан с тем, что Интернет это единое целое, и что организации должны оказывать друг другу помощь. Это момент также следует отразить при разработке ПРД организации. В основном нужно определить, какой объем информации можно сообщать другим организациям. Он будет меняться от организации к организации в зависимости от типа организации (например, военная, образовательная, коммерческая), а также от типа произошедшего нарушения секретности.



Каковы права и обязанности пользователей?


Ваши ПРД должны включать пункты о правах и обязанностях пользователей в отношении использования СВТ и сервисов организации. Должно быть явно установлено, что пользователи отвечают за понимание и соблюдение правил безопасности в АС, которые они используют. Далее приводится список моментов, которые вы можете захотеть зафиксировать в этой области ПРД:

каковы рекомендации в отношении использования ресурсов (ограничиваются ли пользователи в чем-либо, и если это так, то каковы эти ограничения); что может явиться злоупотреблением с точки зрения производительности АС; разрешается ли нескольким пользователям использовать одно регистрационное имя или позволять другим использовать их имена; как "секретным" пользователям следует хранить свои пароли; как часто пользователям следует менять свои пароли, а также любые другие ограничения или требования в отношении паролей; будете ли вы производить резервные копии, или пользователям следует самим делать свои копии; запрет на разглашение информации, которая может являться частной собственностью; пункт о безопасности электронной почты(Акт о конфиденциальности электpонных коммуникаций); политика в отношении электронных коммуникаций: фальсификация почты.

Ассоциация электpонной почты финансиpовала публикацию о конфиденциальности электpонной почты в компаниях[4]. Их базовой рекомендацией в отношении электронной почты является то, что каждая организация должна иметь политику по защите частной собственности своих служащих. Также рекомендуется, чтобы организации установили политику в отношении частной собственности при использовании всех сред передачи информации, а не только электронной почты.

Предлагается пять критериев для оценки любой политики:

Согласуется ли политика с законами и требованиями общественных организаций?

Пытается ли политика найти компромисс между интересами служащих, руководства организации и общественных организаций?

Действует ли эта политика в жизни и требуют ли ее соблюдения?

Касается ли эта политика различных форм взаимодействия и хранения информации, имеющих место в организации?

Была ли эта политика известна заранее и согласована со всеми заинтересованными лицами?



Каковы права и обязанности системного администратора по отношению к пользователям?


Существует компромисс между правами пользователя на абсолютную частную собственность и необходимостью системным администраторам собирать информацию, необходимую для выявления причин возникновения проблемы. Также существует различие между необходимостью системного администратора собирать информацию для решения проблемы и исследованием причин нарушения защиты. ПРД должны определять, в какой степени системные администраторы могут исследовать пользовательские файлы для диагностики проблем или других целей, и какие права вы гарантируете пользователям. Вы можете также захотеть добавить утверждение относительно обязательств системных администраторов по сохранению в тайне информации, полученной ими при таких исследованиях. Для этого надо ответить на несколько вопросов:

может ли администратор наблюдать за состоянием файлов пользователя или читать их по какой-либо причине? каковы при этом его обязательства? имеют ли право сетевые администраторы просматривать траффик сети или СВТ?



Кого это затрагивает?


Вырабатываемые ПРД организации потенциально касаются каждого пользователя АС организации в ряде случаев. Пользователи АС могут отвечать за администрирование паролей пользователей. Системные администраторы обязаны фиксировать бреши в защите и осуществлять надзор за АС.

Очень важно определить группы людей, затрагиваемые данными ПРД, в самом начале процесса. Могут уже существовать группы, связанные с секретностью, которые считают ПРД своим полем деятельности. Группами, которых могут касаться эти ПРД, являются группы аудирования/управления, организации, имеющие дело с физической секретностью, университетские группы информационных систем и т.д. Привлечение этих групп к процессу выработки с самого начала может помочь обеспечить приемлемость ПРД.



Кому разрешено использовать ресурсы?


Одним из действий, которые вы должны произвести при разработке ваших ПРД, - это определение тех лиц, кому разрешается использовать вашу АС и ваши сервисы. ПРД должны явно определять, кому официально разрешено использовать эти ресурсы.



Кто может иметь привилегии системного администратора?


Одним из решений в области защиты, которое нужно принимать очень тщательно, - это кто будет иметь привилегии системного администратора и доступ к паролям ваших служб. Естественно, что системные администраторы будут иметь такие права, но неизбежно и другие пользователи будут просить специальных привилегий. Ваши ПРД должны так или иначе решать эту проблему. Ограничение выдачи привилегий - один из способов защиты от угроз, исходящих от местных пользователей. Целью является компромисс между ограничением доступа ради большей безопасности и предоставлением привилегий тем людям, кому на самом деле нужны такие привилегии, чтобы они могли решать свои задачи. Одним из подходов к решению является предоставление только тех привилегий, которые необходимы для выполнения своих задач пользователем.

Кроме того, люди, владеющие особыми привилегиями, должны быть учтены специальным органом, и эта информация также должна зафиксирована в ПРД организации. Если человек, которому вы предоставили особые привилегии, не учтен сам по себе где-либо, вы рискуете потерять контроль за вашей АС и у вас возникнут трудности при управлении безопасностью.



Кто отвечает за предоставление доступа и надежное предоставление услуг?


Ваши ПРД должны устанавливать, кто отвечает за предоставление разрешения на доступ к вашим службам. Более того, должно быть определено, какой тип доступа они могут предоставлять. Если вы не контролируете, кто дает разрешение на доступ к вашим АС, вы не контролируете, кто использует ваши АС. Контроль за тем, кто имеет право давать доступ, позволит также вам узнать, кто имел или не имел разрешение на доступ при последующих проблемах с защитой.

Существует много схем, которые можно использовать для управления распределением доступа к вашим службам. Далее приводятся факторы, которые вы должны учитывать при определении того, кто распределяет доступ к вашим службам:

Будете вы управлять предоставлением доступа из одного места или дадите это право нескольким местам?

У вас может быть одно центральное место для предоставления полномочий на доступ в распределенной системе, в которой различные ведомства независимо отвечают за предоставление полномочий на доступ. Нужен компромисс между защищенностью и удобством. Чем более это процесс централизован, тем более он защищен.

Какие методы вы будете использовать для регистрации новых пользователей и прекращения доступа?

С точки зрения безопасности вам нужно знать механизм, который будет использован при регистрации новых пользователей. При самом незащищенном варианте люди, которые отвечают за регистрацию пользователей, могут просто войти в систему и создать нового пользователя вручную или с помощью механизма, определенного производителем. В общем случае эти механизмы доверяют человеку, запускающему их, и человек, запускающий их, обычно имеет большие привилегии. Если вы выбрали этот способ, вам нужно выбрать кого-либо, кто не подведет вас при решении этой задачи. Другим способом будет создание интегрированной системы, которая запускается людьми, отвечающими за регистрацию, или самими пользователями. Помните, что даже наличие самого защищенного средства создания новых пользователей не избавляет вас от возможности злоупотреблений им.


У вас должны быть разработаны специфические процедуры для добавления новых пользователей в АС. Эти процедуры должны быть хорошо документированы для предотвращения неоднозначных толкований и уменьшения числа ошибок. Уязвимость защиты при создании новых пользователей возникает не только из-за возможных злоупотреблений, но также из-за возможных ошибок. Просто и хорошо документированная процедура поможет быть уверенным, что ошибок не будет. Вы также должны быть уверены, что люди, которые исполняют эти процедуры, понимают вас.

Предоставление полномочий пользователю на доступ к АС - один из самых уязвимых моментов. Вы должны быть уверены, что пароль, выбранный вначале, не может быть легко угадан. Вы должны избегать использования в качестве начального пароля слова, производного от имени пользователя, являющегося частью имени пользователя, или некоторого алгоритмически сгенерированного пароля, который может быть легко угадан. Кроме того, вам не следует позволять пользователям продолжать использовать начальный пароль неопределенно долгое время. Если это возможно, вы должны заставлять пользователей менять начальный пароль при первом сеансе работы с АС. Учитывайте то, что некоторые пользователи могут так никогда и не войти в АС, что делает их пароли уязвимыми неопределенно долгое время. Некоторые организации приняли решение удалять пользователей, которые никогда не пользовались АС, и заставлять владельцев этих имен заново регистрироваться в списке пользователей.


Кто вырабатывает ПРД?


Создание ПРД должно осуществляться совместными усилиями технического персонала, понимающего все тонкости предлагаемых правил и их реализации, и ЛПР, имеющих власть для претворения правил в жизнь. ПРД, которые либо не могут быть реализованы, либо не подкреплены организационными мерами, являются бесполезными.

Так как ПРД к АС могут затрагивать любого члена организации, стоит принять некоторые меры предосторожности, чтобы быть уверенным, что вы имеете достаточно прав, чтобы принимать какие-либо решения в области ПРД. Хотя конкретная группа (такая, как группа информационных средств университета) может иметь право претворять в жизнь ПРД, требуется поддержка и одобрение ПРД группой более высокого ранга в организации.



Обязанности


Ключевым моментом в ПРД является гарантия того, что каждый знает свои обязанности по поддержанию защиты. ПРД не могут предвидеть все возможные варианты, тем не менее, они могут гарантировать, что для решения каждого типа проблем назначен кто-либо, отвечающий за их решение.

Могут существовать уровни ответственности, связанные с ПРД. На одном уровне каждый пользователь АС отвечает за защиту своего регистрационного имени и пароля. Пользователь, который позволил скомпрометировать свой пароль, увеличивает шансы того, что будут скомпрометированы другие пароли или ресурсы.

Системные администраторы образуют другой уровень ответственности: они должны помогать обеспечивать гарантию секретности АС. Сетевые администраторы могут находиться на еще одном уровне.

| |



Общая постановка проблемы


Одной из самых важных причин выработки ПРД является необходимость гарантии того, что затраты на защиту принесут впоследствии прибыли (выгоду). Хотя это может показаться очевидным, но вы можете быть введены в заблуждение, где следует приложить усилия по организации защиты. Например, много говорят о злоумышленниках со стороны, проникающих в АС; но просмотр большинства обзоров по компьютерной безопасности показывает, что для большинства организаций потери от внутренних злоумышленников ("своих") гораздо больше.

Анализ риска включает определение того, что вам нужно защищать, от чего вы защищаетесь, и как защищаться. Для этого вам надо определить все, чем вы рискуете, и отранжировать их по уровню важности. Этот процесс включает принятие экономичных решений о том, что вы хотите защищать. Старый афоризм гласит, что вы не должны тратить больше денег для защиты чего-либо, чем оно на самом деле стоит.

Полное рассмотрение анализа риска находится за пределами этого документа. [3, FITES] и [16,PFLEEGER] являются вводными книгами в этой области. Тем не менее, существуют два элемента анализа риска, которые будут кратко рассмотрены в двух следующих разделах.

определение ценностей; выявление угроз.

Для каждой ценности базовыми целями защиты являются доступность, конфиденциальность и целостность. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти три качества.



Определение ценностей


Одним из шагов при анализе риска является определение той собственности организации, которую нужно защищать. Некоторые вещи очевидны, такие, как различные СВТ, а некоторые упускаются, такие, как люди, которые реально используют эти СВТ. Необходим список всех вещей, которых затрагивает проблема защиты.

Вот один из возможных списков категорий вещей, составленный на основе списка, пpедложенного Пфлигеpом [16, PFLEEGER, стpаница 459] :

Оборудование: системные блоки, платы расширения, клавиатуры, терминалы, рабочие станции, отдельные персональные компьютеры, принтеры, дисковые накопители, коммуникационное оборудование, терминальные серверы, маршрутизаторы.

Программное обеспечение: исходные тексты программ, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные системы.

Данные: во время выполнения, сохраненные при оперативном использовании , архивированные, журналы действий, базы данных, при передаче по каналам связи.

Люди: пользователи, обслуживающий персонал, необходимый для работы АС.

Документация: по программам, по СВТ, по АС, по локальным административным мерам безопасности.

Расходные материалы: бумага, красящие ленты, магнитные ленты.



Определение того, с кем связываться во внешних организациях


ПРД должны включать процедуры для взаимодействия со внешними организациями. Они включают в себя пpавоохpанительные оpганы, другие организации( напpимеp, CERT, CIAC), специальные организации по противодействию промышленному шпионажу и агентства печати. Эти процедуры должны устанавливать, кто имеет право связываться с ними, как это надо делать. Заранее надо продумать ответы на следующие вопросы:

Кто может выступать перед прессой? Когда надо связываться с органами внутренних дел и специальными организациями? Если инициатором такого контакта является другая организация, уполномочен ли системный администратор участвовать в такого рода контактах? Можно ли сообщать какие-либо данные? Какого рода?

Детальная информация о том, с кем связываться, должна быть общедоступна вместе с четко определенными процедурами, которым надо следовать.



Организационные вопросы


Цель разработки официальных ПРД к АС в организации определить, каким, с точки зрения организации, должно быть правильное использование СВТ и сетей, и определить СРД, предотвращающие инциденты с защитой и помогающие их уладить. Для того, чтобы сделать все это, нужно учесть все особенности конкретной организации.

Во-первых, нужно учесть цели и задачи организации. Например, у военной базы интересы в области секретности сильно отличаются от тех, что имеются у университета.

Во-вторых, разрабатываемые ПРД организации должны быть согласованы с существующими правилами и законами, действие которых распространяется на организацию. Поэтому необходимо выявить их и учитывать при выработке ПРД.

В-третьих, за исключением случая, когда сеть организации полностью изолирована и автономна, необходимо рассматривать проблему защиты в более глобальном контексте. ПРД должны учитывать ситуации, когда местные проблемы с секретностью возникают вследствие нарушений защиты в удаленной организации, а также ситуации, когда проблемы с секретностью в удаленной организации являются результатом нарушений на местной СВТ или местным пользователем.



Политические проблемы


Существует ряд проблем, которые нужно решить при разработке ПРД. Вот они:

Эти проблемы рассматриваются ниже. Кроме того, вы можете захотеть включить в ваши ПРД раздел, связанный с этикой использования СВТ и АС. Паpкеp, Своуп и Бейкеp [17, PARKER90], а также Фоpестеp и Моppисон[18,FORESTER] являются двумя полезными спpавочными pуководствами, описывающими этические вопpосы.



Проблема процедур улаживания инцидента


Помимо утверждений относительно политики разрабатываемый документ должен включать процедуры улаживания конфликта. Они детально описываются в следующей главе. Должны существовать процедуры, применимые ко всем видам нарушения ПРД.

| |



Публикация ПРД


Как только ПРД организации выработаны и описаны, должен начаться энергичный процесс их доведения, чтобы быть уверенным в том, что их положения стали повсеместно известны и обсуждаются. Недостаточно просто вывесить ПРД на доске объявлений. Нужно разрешить в течение некоторого периода давать свои комментарии до того, как ПРД начнут действовать, чтобы быть уверенным в том, что все заинтересованные пользователи имели возможность высказать свое мнение и пожелания. В идеале ПРД должны найти золотую середину между защищенностью и производительностью.

Нужно провести несколько собраний, чтобы узнать все замечания, а также удостовериться, что ПРД правильно поняты. (Те, кто отвечает за публикацию ПРД, могут быть хорошими специалистами, но не уметь писать документы). На этих собрания должны присутствовать как верхнее звено управления организацией, так и простые служащие. Защита - коллективное дело.

Помимо публикации ПРД перед их внедрением организации важно поддерживать осведомленность служащих о ПРД. Текущим пользователям надо периодически напоминать их положения. Новым пользователям следует узнавать о ПРД при ознакомлении с организацией. Было бы желательно, чтобы перед тем, как использовать службы организации, пользователи бы давали подписку о том, что они ознакомлены с ПРД и уяснили их. Если впоследствии к этим пользователям необходимо будет применить санкции с точки зрения закона, эта подписка может сыграть важную роль.

| |



Выявление угроз


Как только ценности, требующие защиты, определены, необходимо выявить угрозы этим ценностям. Затем можно изучить угрозы, чтобы определить, каковы могут быть потенциальные потери. Это поможет выяснить, от каких угроз вы пытаетесь защищать ваши ценности.

Следующие разделы описывают несколько возможных угроз.



Закрыть или открыть


Всякий раз, когда в организации происходит инцидент, который может скомпрометировать компьютерную безопасность, на стратегию ответных действий могут повлиять два противоположных фактора.

Если управление организации боится, что она сильно уязвима, то может применять стратегию "Защити и Работай". Основной целью такого подхода является защита и сохранение служб организации и как можно более быстрое их восстановление после нарушений для пользователей. Будет производиться активное противодействие злоумышленникам, защита от дальнейших попыток их доступа и немедленное восстановление после разрушений. Этот процесс может включать отключение служб, прекращение доступа к сети, или другие жесткие меры. Недостатком является то, что если злоумышленника не удалось установить, он может проникнуть в АС другим путем или атаковать другую организацию.

Альтернативный подход, "Проследи и Накажи" исповедует другую философию и цели. Основной целью является позволить злоумышленникам продолжать свою деятельность в организации до тех пор, пока организация не сможет установить, кто это такой. Этот подход практикуется органами внутренних дел. Недостатком его является то, что МВД не может защитить организацию от возможных судебных процессов с пользователями из-за разрушений их АС и данных.

Уголовная ответственность - не единственное возможное наказание после определения злоумышленника. Если виновником является служащий или студент, организация может использовать административные наказания. В ПРД следует указать возможные варианты наказаний, и какой из них выбрать после поимки преступника.

Управление организацией должно проявить особую осторожность при выборе подхода, который будет использоваться для решения данной проблемы, и выбрать его до того, как произойдет нарушение. Используемая стратегия может зависеть от ситуации. Или может быть принята глобальная политика, которая регламентирует один подход во всех случаях жизни. Следует тщательно взвесить все за и против и довести принятую политику до пользователей, чтобы они знали насколько они уязвимы, независимо от того, какой подход используется.


Далее приводится условий, чтобы помочь организации определить, какую стратегию избрать: "Защищай и Работай" или "Проследи и Накажи".

Защищай и Работай

Если ценности не очень хорошо защищены Если продолжение работы злоумышленника может привести к большому финансовому риску Если нет возможности наказать нарушителя в уголовном порядке Если местонахождение пользователей тяжело определить Если пользователи неопытны и их работа уязвима Если организация уязвима в отношении судебных процессов с пользователями, например, если ее ресурсы невелики

Проследи и Накажи

Если ценности и системы хорошо защищены Если имеются хорошие архивные копии Если риск для ценностей перевешивается возможными разрушениями в результате будущих проникновений Если это большая атака, возникающая с большой частотой и интенсивностью Если организация привлекательна для злоумышленников, и вследствие этого регулярно атакуется ими. Если организация согласна подвергать ценности финансовому риску в результате продолжающегося проникновения. Если доступ злоумышленника контролируется Если средства наблюдения так хорошо разработаны, что делают слежение безопасным. Если программисты организации настолько хорошо разбираются в операционной системе, утилитах и системах, что слежение становится безопасным Если есть согласие части управления организации на судебное преследование нарушителя Если системные администраторы хорошо знают, что является уликами для суда Если есть контакт со знающими сотрудниками внутренних дел Если есть человек в организации, разбирающийся в связанных с этим вопросах законности Если организация готова к судебным процессам с пользователями, если их данные или системы будут скомпрометированы в процессе слежки за злоумышленником

| |