Рекомендации по защите информации
Проблемы с несанкционированным доступом к конфиденциальной информации возникают в сети Internet довольно часто, заставляя пользователей обращаться к специальным средствам защиты данных. Эксперты прежде всего рекомендуют:
• Установить своеобразный "брандмауэр" — защитную стенку в виде буфера на стыке между сетью Internet и внутрифирменными сетями. Буфер, контролируя доступ на этом стыке, позволяет защитить информационные ресурсы фирмы. Среди поставщиков таких продуктов можно назвать американские фирмы Raptor Systems, ANS CO+RE Systems, Semaphore Communications.
• Маскировать пароли. Как известно, в системах UNIX все пароли, как правило, шифруются и размещаются в общедоступном файле. Это дает возможность хакерам в свободное время заняться дешифрованием паролей. Маскирование паролей, т.е. помещение зашифрованных паролей в некий файл, доступный только для системного администратора, является наиболее простым решением проблемы защиты от хакеров.
• Шифровать все передаваемые по сети сообщения. Однако при этом могут возникать определенные сложности. В частности, шифрование нельзя использовать при передаче сообщений между локальными вычислительными сетями (ЛВС), использующими систему UNIX и систему Microsoft Mail. Кроме того, зашифрованные сообщения зачастую не проходят по сетям, в которых используется сжатие данных. Наконец, внедрению шифрования могут противодействовать правительственные органы. Так, в интересах усиления национальной безопасности правительственные круги США хотели бы сохранить за собой возможность контроля сообщений, пересылаемых по сети Internet.
Защищена ли ваша электронная почта?
Предлагаем простой тест для оценки уровня защищенности электронной почты. Ответ "нет" хотя бы на один вопрос теста означает, что в сети может быть слабое место, через которое возможна утечка информации.
1. Предусматривает ли программное обеспечение электронной почты вашей ЛВС шифрование сообщений при их передаче по линиям связи?
2. Остаются ли сообщения в зашифрованном виде в процессе их ретрансляции или при хранении в почтовом ящике?
3. Остаются ли сообщения зашифрованными при пересылке между различными пакетами электронной почты?
4. Предоставляют ли ваши службы глобальной электронной почты услуги по шифрованию сообщений?
1. Что там должно быть
Как описано в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие части:.
Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.
Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.
Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.
Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.
Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.
Консультанты по вопросам безопасности и справочная информация.Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.
2. Получение разрешения
Что такое организация? Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в Интернете. Например, NIST - это агентство Министерства Торговли(МТ) США. Задачи NIST требуют постоянного взаимодействия с научными организациями в среде открытых систем. К другому подразделению МТ, Бюро переписи, предъявляется требование поддержания конфиденциальности ответов на вопросы при переписи. При таких различных задачах и требованиях разработка общей политики безопасности МТ, наверное, невозможна. Даже внутри NIST существуют большие различия в отношении задач и требований к их выполнению, поэтому большинство политик безопасности Интернета разрабатываются на более низком уровне.
Координация с другими проблемными политиками. Интернет - это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика Интернета должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например:
Физический доступ в здания и на территорию организации. Интернет - это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с Интернетом - это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении Интернета.
Взаимодействие со средствами массовой информации. Интернет может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер Интернета.
Электронный доступ.Интернет - это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети(например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с Интернетом и телефонной сетью существуют аналогичные угрозы и уязвимые места.
3. Претворение политики в жизнь
Не думайте, что как только ваша организация разработает большое число политик, директив или приказов, больше ничего не надо делать. Оглянитесь кругом и посмотрите, соблюдают ли формально написанные документы (это в России-то ?!). Если нет, то вы можете либо попытаться изменить сам процесс разработки документов в организации (вообще трудно, но тем не менее возможно), либо оценить, где имеются проблемы с ее внедрением и устранять их. (Если вы выбрали второе, вам вероятно понадобятся формальные документы).
Так как, к сожалению, разработка неформальной политики выходит за рамки данной публикации, этот очень важный процесс не будет здесь описан. Большинство политик обычно определяют то, что хочет большой начальник. Чтобы политика безопасности в Интернете была эффективной, большой начальник должен понимать, какой выбор нужно сделать и делать его самостоятельно. Обычно, если большой начальник доверяет разработанной политике, она будет корректироваться с помощью неформальных механизмов.