Успех политики безопасности больше зависит от усилий и опытности людей, реализующих политику, чем от сложных технических средств контроля. Эффективная безопасность в Интернете начинается с сетевого администратора (часто называемого администратором ЛВС или системным администратором).
Сетевые администраторы отвечают за реализацию безопасности в ЛВС в той степени, в которой это требуется при соединении с Интернетом. Если имеется несколько сетевых администраторов, важно, чтобы их обязанности были согласованы. Например, атака на веб-сервер организации может потребовать приведения в действие планов обеспечения непрерывной работы и восстановления веб-сервера, выполняемых веб-администратором, а также усиления наблюдения за сетью и ее аудирования, выполняемых сетевым администратором, и усиленного контроля потоков данных через брандмауэр, выполняемого администратором брандмауэра. От размера сети организации зависит, какие административные функции должны выполняться одним и тем же человеком или группой людей..
Организация должна явно указать ФИО сотрудника или отдел, ответственный за поддержание безопасности соединения с Интернетом. Часто эта обязанность возлагается на сетевого администратора, но может быть дана и отдельной организации, профессионально занимающейся компьютерной безопасностью. В этом случае, сетевой администратор и ответственный за безопасность должны хорошо координировать свои действия и ответственный за безопасность должен хорошо разбираться в технических деталях протоколов в Интернете.
Сотрудник или отдел, ответственный за безопасность в Интернет, - это человек, ответственный за безопасность в Интернете, может иметь большие технические возможности, позволяющие ему конфигурировать брандмауэр, создавать и удалять пользователей систем и просматривать системные журналы. За этими действиями должно осуществляться наблюдение с помощью принципа разделения обязанностей (если есть несколько сетевых администраторов) или путем тщательного отбора человека на эту должность. Недовольный или вступивший в сговор с преступниками сетевой администратор - это очень большая проблема.
Организации с высоким риском могут использовать следующие политики:
При выборе кандидатур на ключевые должности должен осуществляться тщательный отбор. Кандидаты на такие важные должности как системный или сетевой администратор, сотрудник отдела безопасности и другие должности, которые считаются руководством организации важными, должны пройти тщательный отбор перед тем, как им будут даны их полномочия.
Сотрудникам, назначенным на должности системных и сетевых администраторов и другие должности, доступ предоставляется последовательно. Другими словами, новый сотрудник, назначенный на должность администратора, не получает всех полномочий в системе, если его работа не требует этого. Если его обязанности увеличиваются, он получает больше привилегий.
Начальники системных и сетевых администраторов отвечают за определение круга их обязанностей таким образом, чтобы администраторы не имели чересчур много системных и сетевых привилегий.
К сожалению, политику безопасности не всегда соблюдают. Для любой из политик, рассмотренных в этом руководстве, организации стоит указать наказания за несоблюдение политики. Для большей части политик наказывать необходимо только тогда, когда нарушение является серьезным.
Администратор ЛВС может временно блокировать доступ любого пользователя, если это требуется для поддержания работоспособности компьютера или сети. (Более строгая политика может потребовать получения разрешения от ответственного за информационную безопасность перед блокированием или разблокировкой доступа).
Допустимое использование
Организациям необходимо определить правила допустимого использования Интернета и WWW, аналогично тому, как определяются правила использования служебного телефона. Хотя кажется, что можно просто сказать что-то вроде следующего "Интернет может использоваться только для коммерческих задач организации", это требование является невыполнимым. Если политика не может быть реализована, то нарушения неизбежны и политика не сможет быть основанием для применения к нарушителям наказаний.
Организации с высоким уровнем риска, которых не устраивает вариант периодического использования Интернета сотрудниками в личных целях, могут принять некоторое альтернативное решение, более уместное и реализуемое в рамках конкретной организации:
Для использования Интернета сотрудниками должен использовать либо отдельный канал связи, либо коммутируемое подключение у провайдера Интернета. Машины, испоьзующие этот сервис, не должны быть соединены с внутренними сетями и могут использоваться периодически в соответствии с политикой организации в отношении допустимого использования Интернета.
Могут использоваться программные средства, такие как брандмауэр, для блокирования доступа к сайтам в Интернете, не включенным в список разрешенных в организации сайтов.
Для организаций с любым уровнем риска некоторые виды использования соединения с Интернетом должны быть запрещены в любом случае. Такими видами использования являются:
· компрометация персональных данных пользователей
· внесение помех в работу компьютеров или искажение программ и данных, находящихся на компьютерах
· использование компьютерных систем и их ресурсов по назначению
· чрезмерное использование ресурсов, которые нужны для работы организации (люди, пропускная способность канала, процессорное время)
· использование нелицензионных копий программ
· использование компьютера для начала атаки на другие компьютерные системы
· использование государственных, корпоративных или университетских компьютеров для личных целей или в целях, для которых они не предназначены
· неавторизованное сканирование и зондирование, а также другое исследование узлов сети недопустимым образом
· использование, приводящее к загрузке, выгрузке, модификации или удалению файлов на других машинах сети, на которых такие действия считаются неавторизованными
Независимо от типа политики организации в области допустимого использования Интернета главным фактором, влияющим на поведение пользователей, является их обучение. Пользователи должны быть знать, что они являются составной частью репутации организации и использование ими Интернета влияет на репутацию. Пользователи должны знать, что каждое посещение ими сайтов Интернета оставляет на них следы, и знать, почему организация оставляет за собой право наблюдать за использованием Интернета. Администраторы должны знать о своих обязанностях в отношении используемых программно-аппаратных средств (например, для блокирования доступа к сайтам, наблюдения за работой) для реализации принятой в организации политики.
Политика использования Интернета - низкий риск
Интернет считается важной ценностью организации. Пользователям рекомендуется использовать Интернет и учиться делать это профессионально. С помощью такого открытого доступа сотрудники должны лучше выполнять свои обязанности.
Сотрудники не должны использовать Интернет для своих личных целей, и не должны посещать вредные и порнографические сайты, а также не должны получать доступ или использовать информацию, которая считается оскорбительной. Деятельность сотрудников, нарушающих это, будет контролироваться и они будут наказаны, вплоть до уголовного наказания.
Доступ к Интернету с компьютера, принадлежащего организации или через соединение, принадлежащее организации, должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.
Пользователи, посылающие письма в группы новостей USENET и списки рассылки, должны включать пункт о том, что это их личное мнение, в каждое сообщение.
Невозможно составить список всех возможных видов неавторизованного использования, поэтому дисциплинарные наказания применяются только после того, как другие способы исчерпали себя. Примерами неприемлемого использования, которое приводит к наказаниям, являются :
· неавторизованные попытки получить доступ к компьютеру
· использование рабочего времени и ресурсов организации для личной выгоды
· кража или копирование файлов без разрешения
· посылка конфиденциальных файлов организации во внешние компьютеры или в другие внутренние компьютеры неавторизованными на это людьми
· отказ помогать сотрудникам отдела информационной безопасности
· посылка писем-пирамид по электронной почте
Политика использования Интернета - средний риск
Компьютеры и сети организации могут использоваться только для выполнения служебных обязанностей. Допускается редкое их использование в личных целях. Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры .
Другой подход может быть таким:
Сетевое оборудование организации, включая сервера, доступные из Интернета, а также подключенные к ним компьютеры и установленные на них программы могут использоваться только для разрешенных целей. Начальники подразделений могут разрешить иногда иной доступ, если он не мешает выполнять служебные обязанности, не является слишком продолжительным и частым, служит интересам организации, таким как повышение квалификации ее сотрудников, и не приводит к дополнительным расходам для организации.
Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения выраженная в письме - личная точка зрения, а не точка зрения организации.
Личные бюджеты пользователей онлайновых сервисов не должны использоваться с компьютеров организации. Для получения доступа к платным сервисам с компьютера организации, она должна предварительно осуществить подписку на них и заплатить за это деньги.
Пользователям выдаются пароли для работы на компьютерах организации, чтобы защитить критическую информацию и сообщения от неавторизованного использования или просмотра. Такие пароли не защищают от просмотра информации руководством организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей.
Начальники подразделений отвечают за обеспечение гарантий того, что их подчиненные понимают политику допустимого использования Интернета.
Доступ к Интернету с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.
Политика использования Интернета - высокий риск
Организация полностью соединена с Интернетом и другими сетями. В целом, пользователи имеют неограниченный доступ к сети. Но доступ из Интернета или других сетей к ресурсам организации разрешен только тогда, когда это требуется для выполнения служебных обязанностей.
Для личного использования Интернета сотрудниками имеется отдельный сервер доступа. Этот сервис должен использоваться только для отдельных сотрудников с обоснованием доступа к нему. С его помощью можно получать доступ только с тем сайтам, которые одобрены организацией.
Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры .
Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения выраженная в письме - личная точка зрения, а не точка зрения организации.
Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей
Доступ к Интернету с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.
Дата: 2019-07-24, просмотров: 198.