Сущность политики безопасности

Принцип минимально возможных привилегий для пользователей и администраторов предписывает, чтобы каждый пользователь (процесс) системы оперировали с данными, используя наименьший из возможных набор привилегий, необходимых для выполнения конкретной функции. Применение данного принципа нацелено на минимизацию ущерба, который может быть нанесен в случае сбоя, ошибки программного обеспечения или компрометации элементов системы защиты данных. Принцип минимальных привилегий, используемый при создании пользователей Oracle, — пример реализации этого принципа. Использование точек входа SYSTEM и, особенно, SYS должно быть предметом особого регламента. Хорошей практикой является использование администратором безопасности нескольких точек входа: обычной, с набором привилегий, достаточным для выполнения основных работ, и особой (типа SYSTEM), используемой только при возникновении необходимости выполнения действий, требующих высоких привилегий.

Согласно принципу управляемости системы при отказах и сбоях, проектирование информационной системы, реализованной на базе СУБД, должно осуществляться в предположении, что ошибки операционной системы и СУБД, а также сбои аппаратуры неизбежны. При создании системы возможность реализации таких событий должна быть учтена: при проектировании процедур и функций должны быть обработаны все исключительные ситуации, при обработке данных, содержащих конфиденциальную информацию, должны быть минимизированы риски восстановления этих данных по дампам оперативной памяти и содержимому временных файлов и т. п. Также должны быть разработаны документы, регламентирующие действия участников процесса обработки данных (как пользователей, так и обслуживающего персонала) при возникновении нештатных ситуаций. Персонал должен проходить регулярные инструктажи и тренинги по обучению действиям в нештатных ситуациях, с иерархией передачи данных.

И наконец, в соответствии принципам психологической приемлемости работы средств защиты данных взаимодействие людей с системой (и подсистемой защиты) не должно быть сложным. Пользователи должны шаблонно и автоматически применять имеющиеся механизмы защиты. Чрезмерное усложнение механизмов защиты может вызывать их внутреннее неприятие и побуждать к использованию различных форм скрытого саботажа. Осознанное принятие используемых средств и методов обеспечения информационной безопасности и оценка комплекса применяемых мер как необходимых приводит к уменьшению числа ошибок пользователей. В этом случае аномальное поведение потенциального нарушителя становится более заметным и проще устанавливается. Принцип психологической приемлемости является важным при выборе процедур аутентификации и модели управления доступом.

4. Стратегия применения средств обеспечения информационной безопасности

Стратегия определяет структуру, приоритеты и методы принятия решений при организации и обеспечении соответствующего вида деятельности. Разработка стратегии направлена на то, чтобы наиболее важные цели соответствующей деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.

Процесс выработки стратегии  обеспечения информационной безопасности баз данных в самом общем виде может быть определен как поиск компромисса между уровнем обеспечения информационной безопасности и необходимыми для достижения этих целей ресурсами.

Необходимый уровень  информационной безопасности определяется собственником информационного ресурса или уполномоченным им лицом и учитывает, прежде всего, важность информационного ресурса для обеспечения соответствующего вида деятельности. Диапазон вариантов чрезвычайно широк: от ситуации, когда разрушение информационного ресурса приводит к прекращению бизнеса (например, утрата состояния счетов клиентов банка), до ситуации, когда произошла досадная, но мелкая неприятность (случайно, стерты копии руководств по информационной безопасности, переписанные вчера из сети Интернет).

Размер средств, выделяемых на обеспечение безопасности информационного ресурса, всегда ограничен. Из соображений здравого смысла, стоимость средств, выделенных на обеспечение информационной безопасности ресурса, не может превышать ценность самого ресурса. В реальности, стоимость средств, выделяемых на обеспечение информационной безопасности ресурса, не превышает 1 % его стоимости (обычно заметно меньше). Размер средств, выделяемых на проектирование или сопровождение системы защиты информации баз данных, может определяться соответствующими позициями бюджета организации, зачастую непосредственно не связанными с ценностью информационных ресурсов организации. В этом случае стратегия расходования выделенных средств состоит в получении максимального эффективной системы обеспечения информационной безопасности при ограничениях, заданных на доступные средства.

С формальной точки зрения, сформулированные задачи являются оптимизационными задачами. Точнее, речь идет о паре двойственных задач. Несмотря на ясность содержательной сути поставленной задачи, осуществить формальную постановку задачи защиты информации баз данных в форме задач линейного или нелинейного программирования обычно не удается. Существует несколько проблем, затрудняющих формальную постановку пары двойственных задач:

— определение ценности информационных ресурсов и оценка ущерба от конкретных действий или событий часто может быть выполнена только на качественном уровне;

— эффективность методов  и средств обеспечения информационной безопасности зависит от большого числа случайных и трудно предсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, случайные сбои и необнаруженные ошибки в системе обработки информации и т. п.;

— организационные меры по обеспечению информационной безопасности связанны с действиями людей, эффективность которых также трудно оценить количественно.

В реальной практике обычно используются качественные оценки или оценки в ранговых шкалах. Например, можно рассмотреть проектные решения, которые обеспечат требуемый уровень защиты:

— от наиболее опасных  из известных угроз;

— от всех идентифицированных угроз;

— от всех потенциально возможных угроз.

Во многих случаях системы обработки данных создаются не «с нуля», а развивают имеющиеся системы обеспечения бизнес-процессов организации с возможной автоматизацией некоторых процессов. При разработке средств обеспечения информационной безопасности баз данных проектные решения в значительной степени зависят от возможностей по изменению элементов существующих систем. Можно выделить несколько вариантов, в значительной степени определяющих существо возможных проектных решений:

— никакое вмешательство  в информационную систему не допускается (требование предъявляется к функционирующим системам обработки информации, остановка или модификация которых недопустима);

— допускается частичное изменение архитектуры информационной системы (возможна временная остановка процессов функционирования и модификация используемых технологий для встраивания некоторых механизмов защиты);

— требования, обусловленные  необходимостью обеспечения информационной безопасности, принимаются в полном объеме при проектировании и эксплуатации системы обработки информации.

На основе представленных классификаций можно предложить три стратегии обеспечения информационной безопасности, представленные в таблице 3.1.

Выбирая оборонительную стратегию, проектировщик должен четко понимать и грамотно объяснить руководству, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать, лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.

Наступательная стратегия  предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

Упреждающая стратегия  предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.

5. Четыре общих заблуждения
1. "Цель сетевой защиты состоит в том, чтобы защищать сеть" (или "компьютеры"). Обеспечить защиту сети просто, но это - не ваша цель. Какова ваша реальная цель? Защитить компанию? - слишком широко… Цель сетевой защиты состоит в том, чтобы поддержать сетевые и компьютерные требования организации, используя методы, которые уменьшают риск, т.е пользователям обеспечить удобную работу и надежную защиту. Политика безопасности определяет набор правил, который служит для обеспечения этой цели. Системы сетевой защиты, системы обнаружения вторжения (система визуального изображения информации), антивирус (AV), резервное копирование и стратегии восстановления данных, закрытие дверей и контрольные списки администрирования - это все некоторые инструменты, которые вы могли бы использовать в соответствии с установленными правилами.
2. "Политика безопасности должна быть длинной и сложной". Фактически, только противоположное утверждение верно. Сложные системы обычно менее безопасны и менее устойчивы, чем простые системы, и это не только в применении к безопасности. Сложная политика обычно игнорируется, а вот простая политика могла бы жить. Если у вас длинная и сложная политика безопасности, разбейте ее на меньшие части, где каждая часть регламентируется отдельно, обеспечивает определенную потребность. Тем самым, вы очень упростите процесс создания эффективных, непротиворечивых, уместных и используемых документов. Нельзя сказать, что полный набор правил из политики безопасности будет или должен быть только несколькими страницами текста. Но каждая составляющая часть политики должна быть пригодна для использования целевой аудиторией. "Пригодный для использования" - это значит, что документ должен быть полный, понятный, читаемый за разумное время, не содержащий ничего лишнего и должен иметь строгую направленность.
3. "Политика безопасности должна быть почти совершенна или на 100 % закончена. " Нет. Достаточно хорошая защита сейчас - это лучше чем совершенная защита никогда. По некоторым причинам организации воспринимают безопасность как кое-что святое, хотя это - область, где практичность должна решать все. Нет единственного правильного способа записать политику безопасности. Вы сможете вносить в нее корректировки по мере надобности. Генерал Джордж Паттон сказал: "хороший план, строго выполненный прямо сейчас, намного лучше, чем совершенный план, выполненный на следующей неделе". Но формировать политику безопасности по частям, совершенствуя каждую часть отдельно в процессе развития политики безопасности. Некоторые части будут казаться полностью готовыми прежде, чем другие. Это вполне естественно. Именно так этот процесс и происходит.
4. "Политика безопасности должна быть написана только однажды. " Пока не переведутся все плохие люди в мире и все согласятся с существованием вашего собственного бизнеса, процесс управления политикой безопасности до тех пор не закончится. Характер угроз для вашей организации через какое-то время изменятся. Поэтому будут изменяться и требования к политике безопасности вашей компании. Уязвимость также изменится, и соответственно будут риски для занятия коммерцией, а также будут другие инструменты и средства, которые вы будете использовать, чтобы уменьшить эти риски или противостоять им. Из-за всего этого, процесс разработки политики безопасности, действительно, никогда не заканчивается.

6. Корневая политика безопасности

Первый документ, который вы набросаете, - "Корневая политика безопасности". Следует сказать, что он самый простой в написании, т.к. это - структура, в которой указаны все документы из вашей политики безопасности. Как только вы сделаете набросок корневой политики безопасности, вы сразу перечислите начальный список подчиненных политик, которые будете разрабатывать в последующем. Ваш список, конечно, будет специфическим для вашей организации, но, возможно, будет включать следующие подчиненные политики:

• Допустимое использование компьютера. Основной документ, в котором четко регламентируется использование компьютеров штатными и наемными сотрудниками, включая рабочие станции, ноутбуки, домашние компьютеры и сервера.
• Пароли. Описание требований к паролям, защищающим компьютерные системы, правила для выбора паролей и как политика паролей будет применяться.
• Электронная почта. Эта часть политики определяет использование электронной почты, исходящей с любого электронного адреса компании и входящей от других компьютерных систем.
• Просмотр Web-страниц. Спецификация тех броузеров, которые могут использоваться, как они должны быть настроены, а также все разрешения и запреты для посещения работниками тех или иных сайтов.
• Использование PDA. Описание владельцев PDA в вашей организации, как они поддерживаются, а также какие специфические модели PDA разрешено использовать в сети вашей компании.
• Удаленный доступ. Положения о том, кто имеет доступ, к какой информации и откуда.
• Интернет-доступ. Описание вашего шлюза с точки зрения Интернет, начните с того, что разрешено на вход и на выход, и почему.
• Беспроводная связь. Спецификация, устанавливающая то, как будет происходить управление беспроводным доступом в вашей сети, как будут располагаться точки доступа, как они будут защищаться и поддерживаться, кому будет разрешено их использовать и в каких средах.
• Сервера. Положения корпоративных стандартов для серверов, какие службы включены или отключены по умолчанию, а также важные различия между производственными, тестовыми и серверами для разработчиков.
• План по разбору инцидентов. Ни одна политика не будет законченной без описания, что предпринимать, если защита сломана: что понимать под инцидентом безопасности, кого звать, кому разрешено что-то отключать, если это необходимо, кто ответственный за применение соответствующих локальных правил, кто отвечает за компанию.