Руководство по анализу безопасности ЛВС - страница 3

26.04.2006 | 14:39
3.4.4. Этап 4 - Измерение риска В самом широком смысле мера риска может рассматриваться как описание видов неблагоприятных действий, воздействию которых может подвергнуться система или организация и вероятностей того, что эти действия могут произойти. Результат  этого процесса должен указать организации степень риска, связанного с определенными ценностями. Этот результат важен, потому что он является основой для выбора средств защиты и решений по минимизации риска.
Имеется большое количество способов измерения и представления риска. [KATZ92] уточняет, что в зависимости от специфической методологии или подхода, мера может быть определена в качественных терминах, количественных терминах, одномерных, многомерных, или некоторой их комбинации. Процесс измерения риска должен быть согласован с (и больше чем вероятно определен ) методологией оценки риска,  используемой организацией. Количественные подходы часто связаны с измерением риска в терминах денежных потерь (например FIPS 65). Качественные подходы часто связаны с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования. Одномерные подходы рассматривают только ограниченные компоненты (например риск = величина потери * частота потери). Многомерные подходы рассматривают дополнительные компоненты в измерении риска, такие как  надежность, безопасность, или производительность. Одним из наиболее важных аспектов меры риска является то, что представление  должно быть понятным и логичным для тех, кто должен выбирать средства защиты и решать вопросы минимизации риска.
Рис. 3.5 обеспечивает пример одномерного подхода для вычисления риска. В  этом примере уровни риска нормализованы (то есть низкий, средний и высокий) и могут использоваться для сравнения рисков, связанных с каждой угрозой. Сравнение мер риска должно учитывать показатели критичности компонент, используемых при определении меры риска. Для простых методологий, которые учитывают только потерю и вероятность, мера риска, которая получается на основе высокой потери и низкой вероятности, может оказаться  той же самой, что и мера риска, которая получается на основе низкой потери и высокой вероятности. В этих случаях пользователь должен решить, какую меру риска считать более критичной, даже если полученные меры риска равны. В данном случае пользователь может решить, что мера риска, полученная для высоких потерь, более критична, чем мера риска, полученная для высокой вероятности.
Рис. 3.5 - Одномерный Подход Вычисления Риска
Риск, связанный с угрозой, может рассматриваться как функция относительной вероятности, что угроза может произойти, и ожидаемых потерь, которые будут понесены при реализации угрозы. Риск рассчитывается следующим образом:
Риск = вероятность появления угрозы (через определенное уязвимое место) * понесенная потеря
Стоимость потерь  определяется как число  в интервале от 1 до 3.  Поэтому риск может быть рассчитан, как число в интервале от 1 до 9;  значения риска 1 или 2 будут считаться низким риском,  риск  3 или 4 будет умеренным риском, и риск  6 или 9 будет высоким риском.
 
 
ВЕРОЯТ. ПОТЕРЯ РИСК
1 1 1  НИЗКИЙ
1 2 3  НИЗКИЙ
1 3 3  СРЕДНИЙ
2 1 2  НИЗКИЙ
2 2 4  СРЕДНИЙ
2 3 6  ВЫСОКИЙ
3 1 3  СРЕДНИЙ
3 2 6  ВЫСОКИЙ
3 3 9  ВЫСОКИЙ

По списку потенциальных угроз, уязвимых мест и связанных с ними рисков  может быть  выполнена оценка текущей ситуации с безопасностью для ЛВС. Области, которые имеют адекватную защиту, не будут повышать риск ЛВС (так как адекватная защита должна вести к низкой вероятности), в то же время те области, которые имеют более слабую защиту, будут выявлены,  как нуждающиеся в усилении защиты.

3.5. Уменьшение риска

3.5.1. Этап 5 - Выбор подходящих мер и средств защиты Цель этого процесса состоит в том, чтобы выбрать соответствующие меры и средства защиты. Этот процесс может быть выполнен с использованием проверки приемлемости риска.
Проверка приемлемости риска описана в [KATZ92] как деятельность, которая сравнивает текущую меру риска с критериями приемлемости и приводит к определению того, приемлем ли текущий уровень риска. В то время как эффективность защиты и финансовые соображения являются важными факторами, при принятии решения могут быть приняты во внимание другие факторы, такие, как политика организации, законодательство и уставы, безопасность и требования надежности, требования производительности и технические требования.
Взаимосвязь между проверкой приемлемости риска и выбором средств защиты может быть итеративной. Первоначально, организация должна упорядочить уровни рисков, которые были определены в ходе оценки риска. Наряду с этим, организация должна принять решение о  количестве остаточного риска, который желательно было бы принять после того, как выбранные меры и средства защиты будут установлены.  Эти начальные решения по принятию риска могут быть внести поправки в уравнение выбора средств защиты. Когда свойства предлагаемых  мер и средств защиты известны, организация может повторно провести проверку приемлемости риска  и определить, достигнут ли остаточный риск, или изменить решения относительно приемлемости риска, чтобы отразить информацию о свойствах предлагаемых средств защиты. Например, могут иметься риски, которые определены как слишком высокие. Однако после рассмотрения доступных мер и средств защиты, может  выясниться, что в настоящее время предлагаемые решения очень дороги и не могут быть легко встроены в текущую конфигурацию  аппаратных средств и программного обеспечения сети. Это может вынудить организацию либо пойти на дополнительные расходы ресурсов, чтобы сократить риск, либо принять решение о приемлемости риска, потому что в настоящее время снижение риска является слишком дорогостоящим.
Большое количество источников содержит информацию относительно потенциальных мер и средств защиты (См. разделы Литература и Литература для дальнейшего чтения). Методология, рассмотренная здесь, определяет средства защиты в терминах служб защиты и механизмов. Служба защиты - это система механизмов, процедур, и т.д., которые реализованы в ЛВС для обеспечения защиты. Службы защиты (и механизмы), описанные в разделе 2, могут использоваться как отправная точка. Службы защиты должны быть связаны с угрозами, выявленными в ходе оценки риска.
В большинстве случаев потребность в определенной службе должна быть просто очевидна. Если результаты проверки приемлемости риска показывают, что риск приемлем, (то есть существующие механизмы адекватны), тогда не имеется никакой потребности применять дополнительные механизмы в службе, которая уже существует.
После того, как необходимые службы защиты определены, рассматривают список механизмов защиты для каждой службы. Для каждой отбираемой службы защиты определяют механизмы - кандидаты, которые лучше всего обеспечили бы службу. При использовании отношений угроза/уязвимое место/риск, выработанных в предыдущих процессах, выбирают те механизмы, которые могли бы потенциально сократить или устранить уязвимое место и таким образом сократить риск угрозы. Во многих случаях отношению угроза/уязвимое место будет соответствовать более чем одного механизма - кандидата. Например, риск от уязвимого места - использования слабых паролей мог бы быть уменьшен использованием механизма генератора пароля, использованием механизма смарт-карт и т.д.. Выбор механизма - кандидата является субъективным процессом,  который будет изменяться от одной реализации ЛВС к другой. Не каждый механизм, представленный в разделе 2, подходит для использования в каждой ЛВС. Для того, чтобы этот процесс был приносил пользу, представляется необходимым  некоторая фильтрация механизмов, которую необходимо cделать в течение этого этапа.
Отбор соответствующих средств защиты является также субъективным процессом. При рассмотрении меры стоимости механизма важно, чтобы стоимость средства защиты была связана с мерой риска при определении того, будет ли средство защиты рентабельным. Методология, выбранная организацией, должна обеспечивать меру для представления стоимостей механизмов, которая являлась бы согласованной с мерами, используемыми для представления других переменных, определенных до сих пор. Рис. 3.6 показывает финансовую меру, которая является согласованной с другими представленными примерами. Этот метод измерения стоимости, хотя и учитывает лишь стоимость средства защиты, может также учитывать и другие факторы.
Рис. 3.6 - Вычисление Меры Стоимости
В этом примере меры стоимости стоимость средства защиты - сумма, необходимая для покупки или разработки и реализации каждого из механизмов. Стоимость может быть нормализована тем же самым способом, каким была нормализована стоимость потенциальных понесенных потерь. 1 будет соответствовать механизму с низкой ценой, 2  будет соответствовать механизму с умеренной стоимостью, и 3 - механизму с высокой стоимостью.
Когда мера (или стоимость) назначена для средства защиты, она может быть сопоставлена с другими мерами процесса. Мера средства защиты может сравниваться с мерой риска (если она состоит из одного числа, как показано в рис. 3.7) или компонентами меры риска. Имеются различные пути сравнения меры средства защиты с мерой риска. Методология управления риском, выбранная организацией, должна обеспечить метод для выбора эффективных средств защиты, который бы сократил риск в ЛВС до приемлемого уровня.
Рис. 3.7 - Сравнение Риска и Стоимости
Для вычисления отношения риск / стоимость используют меру риска и финансовую меру, связанную с каждым отношением угроза / механизм и рассчитывают отношение риска к стоимости (то есть, риск / стоимость). Отношение, которое меньше, чем 1, будет указывать, что стоимость механизма большая, чем риск, связанный с угрозой. Это вообще не приемлемая ситуация (и, может быть, сложная для оправдания), но она не должна автоматически отклоняться. Предположим, что величина риска - функция меры потери и меры вероятности. Один или оба этих аргумента могут представлять что - нибудь настолько критическое относительно ценности, что дорогостоящий механизм будет оправдан. Эта ситуация может иметь место при использовании простых методологий, таких, как приведенная выше.

3.5.2. Этап 6 - Внедрение и тестирование средств защиты Внедрение и тестирование средств защиты должно быть выполнено структурированным способом. Цель этого процесса состоит в том, чтобы гарантировать, что средства защиты реализованы правильно, совместимы с другими функциональными возможностями ЛВС и средствами защиты, и обеспечивают ожидаемую защиту.
Этот процесс начинается разработкой плана внедрения средств защиты. Этот план должен учитывать факторы, такие как доступный  объем финансирования, уровень подготовки пользователей, и т.д.. График испытаний для каждого средства защиты также должен быть включен в этот план. Этот график должен показывать, как каждое средство защиты взаимодействует или влияет на другие средства защиты (или функциональные возможности ЛВС). Ожидаемые результаты (или предположение об отсутствии конфликта) взаимодействия должны быть детализированы. Должно признаваться, что не только важно, что средство защиты исполняет свои функции как ожидается и обеспечивают ожидаемую защиту, но и что средство защиты не увеличивает риск ЛВС из-за конфликта с некоторым другим средством защиты или функциональной возможностью.
Каждое средство должно сначала быть проверено независимо от других средств, чтобы гарантировать, что оно обеспечивает ожидаемую защиту. Однако  это может  оказаться неуместным, если средство предназначено для совместной работы с другими средствами. После независимого испытания средства оно должно быть проверено совместно с  другими средствами, чтобы гарантировать, что  оно не нарушает нормального функционирования существующих средств. План внедрения должен учесть все эти испытания и должен отразить любые проблемы или специальные условия, возникшие в результате проведения испытания.

3.5.3. Этап 7 - Одобрение остаточного риска После того, как все средства защиты реализованы, проверены и найдены приемлемыми, результаты проверки приемлемости риска должны быть повторно изучены. Риск, связанный с отношениями угроза/уязвимое место, должен теперь быть сокращен до приемлемого уровня или устранен. Если дело обстоит не так, тогда решения, сделанные на предыдущих шагах, должны быть пересмотрены, чтобы определить, каковы должны быть надлежащие меры защиты.

Приложение A. Политика безопасности ЛВС Компьютерная политика безопасности - краткое заявление высшего руководства относительно его позиции по поводу ценности информации, ответственности должностных лиц по ее защите и распределении организационных обязанностей. Эта политика - один из ключевых компонентов общей программы защиты компьютерных систем. Она является тем политическим заявлением, в котором могут быть сформулированы начальные требования к защите  ЛВС. Однако, может оказаться уместным описать цели защиты ЛВС, обязанности, и т.д. в отдельной политике, которую нужно использовать совместно с существующей более общей политикой. В  этом разделе обсуждается разработка политики безопасности, которая могла бы быть применена к ЛВС. Также представлен один пример политики безопасности ЛВС. Этот пример политики носит демонстрационный характер. Он не предназначен для использования организацией в том виде, как есть. Цель этого примера политики состоит в том, чтобы явно описать вопросы, которые должны быть учтены при разработке политики безопасности ЛВС.
Политика безопасности ЛВС должна быть разработана на соответствующем уровне руководства организацией, то есть тем лицом в организации, кому напрямую подчиняются служащие, которых касается эта  политика. Политика должна быть создана группой лиц, которые могут включать высшее управление, сотрудников отдела безопасности, и администраторов ЛВС. Политика должна устанавливать:

  •  Значение информации- позицию руководства по вопросу ценности информации;
  •  Ответственность - Кто отвечает за защиту информации в ЛВС;
  •  Обязательство - Обязательства организации по защите информации и ЛВС;
  •  Область применения - Что включается в состав ЛВС и каких ее частей, если таковые имеются, политика не касается.
Политика безопасности ЛВС должна быть написана так, чтобы  редко требовались ее модификации. Потребность в изменениях может указывать на то, что она слишком конкретна. Например, включение требования использовать определенный пакет для обнаружения вирусов, включающего название пакета, в политику может быть слишком конкретным с точки зрения высокого темпа разработки антивирусных  программ. Может быть более разумно будет просто заявить, что программное обеспечение обнаружения вирусов должно находиться на ПК ЛВС, серверах, и т.д. и позволить администраторам ЛВС самим определять конкретный используемый продукт.
Политика безопасности ЛВС должна ясно определить и установить ответственность за защиту информации, которая обрабатывается, хранится и передается в ЛВС, и самой  ЛВС. Основная ответственность может быть возложена на владельца данных, то есть, на менеджера отдела организации, который создает данные, обрабатывает их и т.д.. Дополнительная ответственность может  быть, кроме того, возложена на пользователей и конечных пользователей, то есть на тех лиц внутри  организации, которым предоставлен  доступ к информации теми лицами, кто отвечает за нее в первую очередь. Администраторы ЛВС должны ясно определить роль отдельных лиц, ответственных за поддержание работоспособности ЛВС. Пример политики защиты ЛВС, приведенный ниже, определяет обязанности функциональных менеджеров (тех, на кого может быть возложена  основная ответственность), пользователей (тех, на кого может быть возложена дополнительная ответственность), администраторов ЛВС (кто отвечает за внедрение и поддержание работоспособности защиты ЛВС и ее самой), и местных администраторов (тех, кто отвечает за поддержание защиты в их части ЛВС). Местные администраторы обычно отвечают за один или группу серверов и автоматизированных рабочих мест в ЛВС. Эти обязанности были скомпилированы из [OLDE92], [COMM91], [WACK91], и [X9F292].

Пример Политики Безопасности ЛВС

Цель Информация, используемая в ЛВС Агентства XYZ, является критической для выполнения организацией своих задач. Размер и сложность ЛВС в пределах XYZ увеличилась и теперь она обрабатывает критическую информацию. Из-за этого должны быть реализованы определенные меры и процедуры безопасности для защиты информации, обрабатываемой в ЛВС XYZ. ЛВС XYZ обеспечивает разделение информации и программ между большим числом пользователей. Эта среда увеличивает риск безопасности и требует более сильных механизмов защиты, чем те, что были бы необходимы при работе на отдельно стоящих  ПК. Эти усиленные требования к защите в вычислительной среде XYZ послужили причиной появления  этой политики, которая касается использования ЛВС в XYZ.
Эта политика имеет две цели. Первая - подчеркнуть для всех служащих XYZ важность безопасности в среде ЛВС XYZ   и явно указать их роли при поддержании  этой безопасности. Вторая - установить определенные обязанности по обеспечению безопасности данных и информации, и самой ЛВС XYZ.

Степень детализации Все автоматизированные информационные ценности и службы, которые используются локальной вычислительной сетью (ЛВС) XYZ, охватываются  этой политикой. Она одинаково применима  к серверам ЛВС, периферийному оборудованию, автоматизированным рабочим местам и персональным компьютерам (ПК) в пределах  среды ЛВС XYZ. Ресурсы ЛВС XYZ включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к XYZ ЛВС, включая всех служащих XYZ, поставщиков и работающих по контракту, которые используют XYZ ЛВС.

Цели Цели программы защиты информации XYZ состоят в том, чтобы гарантировать целостность, доступность и конфиденциальность данных, которые должны быть  достаточно полными, точными, и своевременными, чтобы удовлетворять потребности XYZ, не жертвуя при этом основными принципами, описанными в этой политике. Определяются следующие цели:

  • Гарантировать, что в среде ЛВС XYZ обеспечивается соответствующая безопасность, соответствующая критичности информации и т.д..;
  • Гарантировать, что безопасность является рентабельной и основана на соотношении  стоимости и риска, или необходимо удовлетворяет соответствующим руководящим требованиям;
  • Гарантировать, что обеспечена соответствующая поддержка  защиты данных в каждой функциональной области;
  • Гарантировать индивидуальную подотчетность для данных, информации, и других компьютерных ресурсов, к которым осуществляется доступ;
  • Гарантировать проверяемость среды ЛВС XYZ;
  • Гарантировать, что служащие будут обеспечены достаточно полными руководствами  по распределению обязанностей относительно поддержания безопасности при работе в автоматизированной информационной системе;
  • Гарантировать, что для всех критических функций XYZ ЛВС имеются соответствующие планы обеспечения непрерывной работы, или планы восстановления при  стихийных бедствиях;
  • Гарантировать что все соответствующие федеральные и организационные законы, указы и т.д. учтены и их твердо придерживаются.

Ответственность Следующие группы сотрудников несут ответственность за внедрение и достижение целей безопасности, сформулированных в этой политике. Детальные обязанности представлены в Обязанностях по Обеспечению Защиты ЛВС XYZ.
1. Функциональное руководство (ФР) - те служащие, кто несет ответственность согласно своим функциональным обязанностям (не в области компьютерной безопасности) внутри XYZ. Функциональное Руководство отвечает за информирование сотрудников относительно этой политики, гарантию того, что каждый сотрудник имеет ее копию, и взаимодействие со всеми служащими по проблемам безопасности.
2. Администраторы ЛВС (АД) - служащие, кто участвуют в ежедневном управлении и поддержании работоспособности ЛВС XYZ. Они отвечают за обеспечение непрерывного функционирования ЛВС. Администраторы ЛВС отвечают за осуществление соответствующих мер защиты в ЛВС в соответствии с  политикой безопасности ЛВС XYZ .
3. Местные Администраторы (МА) - служащие, которые являются ответственными за предоставление конечным пользователям доступа к необходимым ресурсам ЛВС, которые размещены на серверах, входящих в их зону ответственности.  Местные администраторы отвечают за обеспечение защиты своих серверов - в соответствии с политикой безопасности ЛВС XYZ.
4. Конечные пользователи (П) - являются любыми служащими, которые имеют доступ к ЛВС XYZ.  Они отвечают за использование ЛВС в соответствии с политикой безопасности ЛВС. Все пользователи данных отвечают за соблюдение специфических  политик безопасности,  установленных теми лицами, кто несет основную ответственностью за защиту тех или иных данных, и за доклад руководству о любом подозрении на  нарушение защиты.

Наказания Отказ соблюдать эту политику может подвергнуть информацию XYZ недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в ЛВС XYZ. Нарушения стандартов, процедур или руководств, поддерживающих  эту политику, будут привлечь внимание руководства и могут привести к дисциплинарной ответственности вплоть до увольнения со службы.

ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС ОП1. Каждый персональный компьютер должен иметь "владельца" или " системного администратора ",  который является ответственным за работоспособность и безопасность компьютера, и за соблюдение всех политик и процедур, связанных с использованием данного компьютера. Основной пользователь компьютера может выполнять эту роль. Эти пользователи должны быть обучены и обеспечены соответствующими руководствами так, чтобы они могли корректно соблюдать все политики и процедуры.
ОП2. Чтобы предотвратить неавторизованный доступ к данным ЛВС, программному обеспечению, и другим ресурсам, находящимся на сервере ЛВС, все механизмы защиты сервера ЛВС должны находиться под монопольным управлением местного администратора и местного персонала Администраторов ЛВС.
ОП3. Чтобы предотвратить распространение злонамеренного программного обеспечения и помочь выполнению лицензионных соглашений о программах, пользователи должны гарантировать, что их программное обеспечение должным образом лицензировано и является безопасным.
ОП4. За все изменения(замены) программного обеспечения и создание резервных копий  данных на серверах  отвечают Администраторы ЛВС.
ОП5. Каждому пользователю должен быть назначен уникальный ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ и начальный пароль (или другая информация для идентификации и аутентификации), только после того, как закончено оформление надлежащей документации. Пользователи не должны совместно использовать назначенные им ИДЕНТИФИКАТОРЫ ПОЛЬЗОВАТЕЛЯ.
ОП6. Пользователи должны аутентифицироваться в  ЛВС перед обращением к ресурсам ЛВС.
ОП7. ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ должен удаляться после продолжительного периода неиспользования.
ОП8. Использование аппаратных средств ЛВС типа мониторов / регистраторов трафика и маршрутизаторов должно быть авторизовано и проводиться под контролем Администраторов ЛВС.
ОП9. Акт о Компьютерной безопасности 1987 года (P.L. 100-235)устанавливает, что " Каждое агентство должно обеспечить обязательное периодическое обучение в области компьютерной безопасности и правил работы на компьютере, и принимать зачеты по правильности работы на  компьютере всех служащих, кто участвует в управлении,  использовании, или функционировании каждой Федеральной компьютерной  системы, которая находится в зоне ответственности этого агентства".

  • Служащие, ответственные за управление, функционирование и использование ЛВС XYZ  должны пройти курс обучения в области компьютерной безопасности и правил работы на компьютере.
  • Обучение компьютерной безопасности должно проводиться в рамках существующих программ обучения, таких как  программы ввода в строй для новых служащих, и  курсов обучения, связанных с использованием информационных технологий.
ОП10. Отчеты о безопасности должны готовиться и рассматриваться ежедневно.

ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ 1. Пользователи
Ожидается, что пользователи хорошо осведомлены относительно политики безопасности Агентства, и других применимых законов, политик, указов и процедур и твердо их придерживаются. Пользователи полностью отвечают за их собственное поведение. В частности, пользователи отвечают за следующее:
П1. Отвечают за понимание и соблюдение соответствующих Федеральных законов, политик и процедур министерства, политик и процедур XYZ и других применимых политик безопасности и связанных с ними последствий для ЛВС XYZ.
П2. Отвечают за использование доступных механизмов безопасности  для защиты конфиденциальности и целостности их собственной информации, когда это требуется.
П2.1. Следуют местным процедурами защиты критических данных, а  также процедурам безопасности самой ЛВС XYZ. Используют механизмы защиты файлов для поддержания соответствующего управления доступом к файлам.
П2.2. Выбирает и использует хорошие пароли. Использует FIPS 112, Использование Паролей как руководство при выборе хороших паролей. Не записывает паролей, и не раскрывает их другим. Не использует совместно идентификаторы пользователей.
П3. Отвечает за помощь другим пользователям, кто будет не в состоянии должным образом использовать доступные механизмы защиты. Помогает защитить собственность других лиц. Уведомляет их относительно незащищенности их ресурсов (например, файлов, идентификаторов).
П4. Отвечает за уведомление местного администратора или члена руководства о нарушении защиты или обнаруженном отказе.
П5. Отвечает за неиспользование слабых мест АС.
П5.1. Не осуществляет намеренного изменения, уничтожения, чтения, или передачи информации неавторизованным способом: не мешает специально получить другим пользователям авторизованный  доступ к ресурсам ЛВС и информации в ней.
П5.2. Предоставляет правильную информацию для идентификации и аутентификации, когда это требуется, и не пытается угадать подобную информацию для  других пользователей.
П6. Отвечает за гарантию выполнения резервного копирования данных и программного обеспечения находящегося на жестком диске их собственного автоматизированного рабочего места.
П7. Отвечает за понимание принципов работы злонамеренного программного обеспечения, методов , с помощью которых оно вносится и распространяется, и уязвимых мест, которые используются злонамеренным программным обеспечением и неавторизованными пользователями.
П8. Отвечает за знание и использование соответствующих политик и процедур для предотвращения, обнаружения, и удаления злонамеренного программного обеспечения.
П9. Отвечает за знание того, на что нужно обращать внимание при работе в  определенных системах и конкретных программах, чтобы обнаружить признаки их необычной работы, и что нужно сделать или с кем связаться для получения дополнительной информации.
П10. Отвечает за использование программно-аппаратных средств защиты, которые доступны для  защиты системы от злонамеренного программного обеспечения.
П11. Отвечает за знание и использование процедур по обеспечению непрерывной работы  для сдерживания и восстановления при потенциальных инцидентах.
2. Функциональное руководство
Функциональное руководство (и управляющие  более высокого уровня) отвечают за разработку и выполнение эффективных политик безопасности, которые отражают специфические цели ЛВС XYZ. Они  полностью отвечают за обеспечение того, что защита информации и линий связи  является и остается важной и критической целью в повседневной деятельности. В частности функциональное руководство отвечает за следующее:
ФМ1. Отвечает за проведение эффективного управления риском для того, чтобы обеспечить основу для формулирования разумной политики. Управление риском требует идентификации ценностей, которые нужно защитить, определения уязвимых мест, анализа риска  их использования и реализации рентабельных средств защиты.
ФМ2. Отвечает за гарантию  того, чтобы каждый пользователь получил, как минимум, копию политики безопасности и местного руководства (если таковые есть в наличии ) до внесения его в списки пользователей АС.
ФМ3. Отвечает за осуществление программы обучения основам безопасности для пользователей, чтобы можно было гарантировать знание ими местной политики безопасности  и правил работы на компьютере.
ФМ4. Отвечает за гарантию того, что весь персонал в пределах операционной единицы организации знает эту политику и отвечает за включение ее в инструктажи по компьютерной безопасности и программы обучения .
ФМ5. Отвечает за информирование местного администратора и администраторов ЛВС об изменениях в статусе любого служащего, который использует ЛВС XYZ. Это изменение статуса может включать переход из организации в организацию в одном ведомстве, переход из отдела в отдел, или окончание службы в XYZ.
ФМ6. Отвечает за гарантию того, что пользователи понимают природу злонамеренного программного обеспечения, понимают,как оно вообще распространяется, и какие программно-аппаратные средства защиты должны использоваться против него.
3. Администраторы Локальной Вычислительной Сети (ЛВС)
Предполагается, что администраторы ЛВС (или назначенный для этого персонал) претворяет (в части их касающейся) местные политики безопасности, так как это связано с применением программно-аппаратных средств защиты, архивированием критических программ и данных, управлением доступом и защитой оборудования ЛВС. В частности, администраторы ЛВС отвечают за следующее:
ОУ1. Отвечают за корректное применение доступных механизмов защиты для осуществления местных политик безопасности.
ОУ2. Отвечает за уведомление руководства о работоспособности существующих политик и любых технических соображениях, которые могли бы улучшить их эффективность.
ОУ3. Отвечает за защищенность среды ЛВС внутри организации и интерфейсов с глобальными сетями.
ОУ4. Отвечает за оперативное и эффективное улаживание происшествий с компьютерной безопасностью.
ОУ4.1. Уведомляет местных администраторов о проникновении злоумышленника в ЛВС , помогает другим местным администраторам улаживать происшествия с безопасностью.
ОУ4.2. Сотрудничает с местными администраторами при выявлении нарушителя и помогает им это сделать.
ОУ5. Отвечает за использование надежных и доступных средств аудирования для облегчения обнаружения нарушений безопасности.
ОУ6. Отвечает за проведение своевременных проверок системных журналов  серверов ЛВС.
ОУ7. Отвечает за отслеживание информации о политиках  безопасности  и приемах обеспечения безопасности в других организациях и, когда это необходимо, информирование местных пользователей и уведомление руководства об изменениях или новых разработках.
ОУ8. Отвечает за крайнюю осторожность и корректность при применении им своих экстраординарных  полномочий и привилегий. Безопасность пользователей должна всегда стоять на первом месте.
ОУ9. Отвечает за разработку соответствующих процедур и издание инструкций по предотвращению, обнаружению, и удалению злонамеренного программного обеспечения, соответствующих руководящим принципам, содержащимся в этом документе.
ОУ10. Отвечает за своевременное создание резервных копий  всех данных и программного обеспечения на серверах ЛВС.
ОУ11. Отвечает за выявление и рекомендацию пакетов программ для обнаружения и удаления злонамеренного программного обеспечения.
ОУ12. Отвечает за разработку процедур, позволяющих пользователям сообщать о компьютерных вирусах и других инцидентах и отвечает за уведомление потенциально затрагиваемых лиц о возможной угрозе им.
ОУ13. Отвечает за скорое уведомление соответствующей группы улаживания происшествий с компьютерной безопасностью обо всех инцидентах, включая выявление злонамеренного программного обеспечения.
ОУ14. Отвечает за оказание помощи при определении источника злонамеренного программного обеспечения и зоны его распространения.
ОУ15. Отвечает за обеспечение помощи в удалении злонамеренного программного обеспечения.
ОУ16. Отвечает за проведение периодического анализа для того, чтобы гарантировать, что соблюдаются надлежащие процедуры безопасности, включая те, которые предназначены для защиты от злонамеренного программного обеспечения.
4. Местные Администраторы
Ожидается, что местные администраторы (или назначенный персонал) будут использовать доступные службы и механизмы защиты ЛВС на сервере, за который они отвечают, чтобы поддерживать и претворять в жизнь применимые политики и процедуры безопасности. В частности, местные администраторы отвечают за следующее:
МA1. Отвечают за управление привилегиями доступа всех пользователей к данным, программам и функциям.
МA2. Отвечают за контроль за всеми связанными с защитой событиями и за расследование любых реальных или подозреваемых нарушений там, где это уместно. В соответствующих случаях отвечают за уведомление и координацию действий с  Администраторами ЛВС по контролю или расследованию событий, связанных с нарушением безопасности.
МA3. Отвечает за поддержание и защиту программного обеспечения и соответствующих  файлов  на сервере ЛВС, используя доступные механизмы и процедуры защиты.
МA4. Отвечает за сканирование сервера ЛВС антивирусным программным обеспечением через регулярные интервалы времени для гарантии того, что никакому вирусу не удалось разместиться на сервере ЛВС.
МA5. Отвечает за назначение уникального ИП и начального пароля (или другой идентификационной и аутентификационной информации) каждому пользователю только после того, как будет оформлена надлежащая документация.
МA6. Отвечает за быстрое уведомление соответствующего персонала группы улаживания происшествий с компьютерной безопасностью обо всех инцидентах,  включая злонамеренное программное обеспечение;
МA6.1. Уведомляет Администраторов ЛВС о  проникновении в ЛВС , помогает другим местным администраторам улаживать нарушение безопасности.
МА6.2. Сотрудничает с другими местными администраторами и Администраторами ЛВС  в поиске нарушителя и помогает им это сделать.
МA7. Отвечает за обеспечение помощи при выявлении источника злонамеренного программного обеспечения и зоны его распространения.

Приложение B. Специфика персональных компьютеров Персональные компьютеры обычно не имеют встроенных программно-аппаратных средств  для аутентификации пользователя, управления доступом или защиты памяти, которая делилась бы на системную память и память, используемую для приложений пользователя. Из-за отсутствия средств защиты  и свободы действий,  с которой пользователи могут совместно использовать и изменять программное обеспечение, персональные компьютеры очень уязвимы к атакам вирусов, неправомочным пользователям и связанным с этим угрозам.
Предотвращение вирусов в среде ПК должно полагаться на постоянное внимание пользователя, чтобы можно было  обнаруживать потенциальные угрозы, бороться с ними и восстанавливать среду после повреждений. Пользователи персонального компьютера являются в сущности администраторами персонального компьютера, и должны на практике осуществлять это администрирование как часть их работы на компьютере.  Персональные компьютеры, как правило, не содержат возможностей аудирования, поэтому пользователь должен всегда следить за работой компьютера, чтобы знать, что является нормальной, а что ненормальной работой. В конечном счете, пользователи персонального компьютера должны понимать некоторые из технических аспектов их компьютеров для того, чтобы обнаружить проблемы с безопасностью и восстановить среду в нормальное состояние. Не все пользователи персонального компьютера ориентируются в технических вопросах, что создает некоторые проблемы и придает  большую важность обучению пользователей и участию его в борьбе с вирусами.
Из-за зависимости от участия пользователя, политики безопасности для  ЛВС (и, как следствие, для ПК) более трудно претворить в жизнь, чем политики  для  многопользовательского компьютера. Однако, информирование об этих политиках  в программе обучения пользователя поможет им выработать правильное поведении при работе на компьютере. Пользователям нужно показывать на иллюстративном примере, что может случиться, если они не будут следовать политикам. Пример того, как пользователи, которые совместно используют  инфицированное программное обеспечение,  затем распространяют это программное обеспечение повсюду в организации,  мог бы  эффективно иллюстрировать  этот момент, делая таким образом цель политики более ясной и увеличивал бы вероятность того, что ей будут следовать. (Не предполагается, что в организации на самом деле будет производиться заражение программ вирусами с целью демонстрации, просто пример иллюстрирует такую возможность). Другой эффективный метод для улучшения сотрудничества с пользователями состоит в том, чтобы создать список эффективных действий по администрированию персональным компьютером, специфических для каждой вычислительной среды на ПЭВМ. Создание такого списка могло бы помочь пользователям при определении того, как лучше всего претворить политики в жизнь, а список  мог бы быть удобным контрольным списком,  который пользователи могли бы использовать по мере необходимости.
Для общих рекомендаций по защите ПК см. [STIE85]. Рекомендации по защите против злонамеренного программного обеспечения можно найти в [WACK89].

Приложение C. Планы восстановления  и обеспечения непрерывной работы ЛВС Инцидент с компьютерной безопасностью - любой неблагоприятный случай, в ходе которого может оказаться под угрозой некоторый аспект компьютерной безопасности: потеря конфиденциальности данных, потеря данных или целостности системы, разрушение или отказ в обслуживании. В  среде ЛВС понятие инцидента  с компьютерной безопасностью может быть распространено на все области ЛВС (аппаратные средства ЭВМ, программное обеспечение, данные, передачу данных, и т.д.) включая саму ЛВС. Планы восстановления в среде ЛВС должны быть разработаны таким образом, чтобы любой инцидент с защитой ЛВС мог быть своевременно улажен, с наименьшим, насколько это возможно,  воздействием на возможности организации по обработке и передаче данных. План восстановления должен описывать (1)действия по улаживанию инцидента, (2) действия по резервированию и (3) действия по восстановлению.
1. Цель действий по улаживанию инцидента состоит в том, чтобы уменьшить потенциально опасные последствия проблемы, связанной с безопасностью ЛВС. Это требует не только наличия возможности улаживать инциденты, но и ресурсов для предупреждения пользователей. Это требует сотрудничества со всеми пользователями для гарантий того, что об инцидентах будет сообщено и они будут улажены,  а будущие инциденты - предотвращены [WACK91,5]. [WACK91] рекомендуется как руководство при разработке действий по улаживанию инцидента.
2. Планы действий по резервированию подготавливаются, чтобы гарантировать, что необходимые организации задачи (выявленные при анализе риска) могут быть корректно завершены при разрушении  ЛВС и продолжены впоследствии, когда ЛВС будет  восстановлена [NIST74,65].
3. Планы восстановления создаются, чтобы обеспечить плавное, быстрое восстановление  среды ЛВС после перерыва в ее работе [NIST74,65]. Должен быть разработан и поддерживаться ряд инструкций, чтобы минимизировать время, требуемое для восстановления. Приоритет нужно отдавать тем приложениям, службам, и т.д., которые считаются критическими для функционирования организации. Процедуры действий по резервированию  должны гарантировать, что эти критические службы и приложения доступны пользователям.

Приложение D. Обучение и информированность Акт о Компьютерной безопасности 1987 года (P.L. 100-235)устанавливает, что " Каждое агентство должно обеспечить обязательное периодическое обучение в области компьютерной безопасности и правил работы на компьютере, и принимать зачеты по правильности работы на  компьютере всех служащих, кто участвует в управлении,  использовании, или функционировании каждой Федеральной компьютерной  системы, которая находится в зоне ответственности этого агентства".
 [TODD89] обеспечивает рекомендации по формулированию требований  к  курсам обучения  компьютерной безопасности для разнообразных слушателей, которые должны пройти некоторое  обучение в области компьютерной безопасности.  Он сосредотачивается на целях обучения, основанных на степени, в которой знание компьютерной безопасности требуется некоторому лицу, поскольку это касается  его рабочих функций. Для детального обсуждения и общих рекомендаций  по вопросам обучения защите компьютера читателю рекомендуется обратиться к [TODD89].
Чтобы поддерживать безопасность в среде ЛВС, пользователи ЛВС должны получить обучение в определенных областях работы и использования ЛВС. Механизмы защиты, процедуры, и т.д. не могут быть действенными, если они используются неправильно. Ниже приведены  списки требований к программам обучения  для функционального руководства, администраторов ЛВС и  пользователей. Целью обучения для функционального руководства  является (1)  понимание важности политики безопасности и (2) понимание того, как  эта политика должна осуществляться в ЛВС для того, чтобы она была  эффективной. Целью обучения для администраторов ЛВС является  понимание, как обеспечивается защита  ЛВС при ее повседневной работе. Также важно подчеркнуть  необходимость  эффективных действий по улаживанию инцидента. Целью обучения  для пользователей  являются (1) осознании роли пользователя в политике безопасности и обязанностей, возлагаемых на него в этой области,  (2) обучении использованию служб и механизмов защиты  для эффективного поддержания безопасности, и (3) понимании того, как использовать процедуры действий по улаживанию инцидента. Конкретно требования к курсам обучению обсуждаются ниже.
Функциональное руководство должно:
1. Понимать важность политики безопасности ЛВС и то, как эта политика  влияет на решения, принимаемые относительно защиты ЛВС. Понимать важность определения адекватной степени безопасности  для различных типов информации, которой владеет функциональное руководство (или за которые несет ответственность).
2. Понимать, что ЛВС является ценным ресурсом для организации, который требует защиты. Понимать важность обеспечения адекватной защиты (через финансирование, укомплектовывание персоналом, и т.д.).
Администраторы ЛВС должны:
1. Понимать во всех аспектах, как работает ЛВС. Быть способны отличать нормальную работу системы  от ненормальной работы системы.
2. Понимать роль администратора  ЛВС в реализации политики безопасности ЛВС.
3. Понимать, как работают службы и механизмы безопасности. Быть способны распознать неправильное использование механизмов защиты пользователями.
4. Понимать, как  надо эффективно использовать возможности по улаживанию инцидентов.
Пользователи ЛВС должны:
1. Понимать политику безопасности и обязанности пользователя, проистекающие из нее. Понимать, почему важно поддержание безопасности ЛВС.
2. Понимать, как использовать службы и механизмы защиты, обеспечиваемые ЛВС, чтобы поддерживать безопасность ЛВС и защищать критическую информацию.
3. Понимать, как использовать возможности по улаживанию инцидентов, знать, как сообщать об  инциденте, и т.д..
4. Отличать нормальную работу автоматизированного рабочего места или ПК  от неправильной работы.

Литература [MART89] Martin, James, and K. K. Chapman, The Arben Group, Inc.; Local Area Networks, Architectures and Implementations, Prentice Hall, 1989.
[BARK89] Barkley, John F., and K. Olsen; Introduction to Heterogenous Computing Environments, NIST Special Publication 500-176, November, 1989.
[NCSC87] A Guide to Understanding Discretionary Access Control in Trusted Systems, NCSC-TG-003, Version 1, September 30, 1987
[NCSL90] National Computer Systems Laboratory (NCSL) Bulletin, Data Encryption Standard, June, 1990.
[SMID88] Smid, Miles, E. Barker, D. Balenson, and M. Haykin; Message Authentication Code (MAC) Validation System: Requirements and Procedures, NIST Special Publication 500-156, May, 1988.
[OLDE92] Oldehoeft, Arthur E.; Foundations of a Security Policy for Use of the National Research and Educational Network, NIST Interagency Report, NISTIR 4734, February 1992.
[COMM91] U.S. Department of Commerce Information Technology Management Handbook, Attachment 13-D: Malicious Software Policy and Guidelines, November 8, 1991.
[WACK89] Wack, John P., and L. Carnahan; Computer Viruses and Related Threats: A Management Guide, NIST Special Publication 500-166, August 1989.
[X9F292] Information Security Guideline for Financial Institutions, X9/TG-5, Accredited Committee X9F2, March 1992.
[BJUL93] National Computer Systems Laboratory (NCSL) Bulletin, Connecting to the Internet: Security Considerations, July 1993.
[BNOV91] National Computer Systems Laboratory (NCSL) Bulletin, Advanced Authentication Technology, November 1991.
[KLEIN] Daniel V. Klein, "Foiling the Cracker: A Survey of, and Improvements to, Password Security", Software Engineering Institute. (This work was sponsored in part by the Department of Defense.)
[GILB89] Gilbert, Irene; Guide for Selecting Automated Risk Analysis Tools, NIST Special Publication 500-174, October, 1989.
[KATZ92] Katzke, Stuart W. ,Phd., "A Framework for Computer Security Risk Management", NIST, October, 1992.
[NCSC85] Department of Defense Password Management Guideline, National Computer Security Center, April, 1985.
[NIST85] Federal Information Processing Standard (FIPS PUB) 112, Password Usage, May, 1985.
[ROBA91] Roback Edward, NIST Coordinator, Glossary of Computer Security Terminology, NISTIR 4659, September, 1991.
[TODD89] Todd, Mary Anne and Constance Guitian, Computer Security Training Guidelines, NIST Special Publication 500-172, November, 1989.
[STIE85] Steinauer, Dennis D.; Security of Personal Computer Systems: A Management Guide, NBS Special Publication 500-120, January, 1985.
[WACK91] Wack, John P.; Establishing a Computer Security Incident Response Capability (CSIRC), NIST Special Publication 800-3, November, 1991.
[NIST74] Federal Information Processing Standard (FIPS PUB) 31, Guidelines for Automatic Data Processing Physical Security and Risk Management, June, 1974.

Литература для дальнейшего чтения [1] Berson, T.A, and Beth, T. (Eds.); Local Area Network Security Workshop LANSEC '89 Proceedings, Springer-Verlag, Berlin, 1989.
[2] Federal Information Processing Standard Publication (FIPS PUB) 83, Guideline on User Authentication Techniques for Computer Network Access Control, September, 1980.
[3] Gahan, Chris; LAN Security, the Business Threat from Within, BICC Data Networks Limited, November, 1990.
[4] Muftic, Sead; Security Mechanisms for Computer Networks, Ellis Horwood Limited, West Sussex, England, 1989.
[5] National Research Council; Computers At Risk: Safe Computing in the Information Age, National Academy Press, Washington, D.C., 1991.
[6] Schweitzer, James A.; Protecting Information on Local Area Networks, Butterworth Publishers, Stoneham, MA, 1988.
 
 
 

Начало статьи     Предыдущая часть статьи