Рекомендации по безопасности систем, изложенные ниже, были разработаны для
помощи администраторам сетей и руководителей отделов безопасности в оценке риска
и создании контрмер. Здесь не рассматриваются такие важные аспекты, как
физическая безопасность, безопасность, связанная с системами жизнеобеспечения и
ряд других. Не рассматриваются здесь и возможные механизмы реализации систем
защиты — слишком различны способы достижения этого для разных операционных
систем.
Введение
При разработке программ обеспечения безопасности необходимо выбирать
концепцию управления уровнем риска . Такая концепция включает идентификацию и
количественную оценку риска и реализацию практических разумных контрмер,
оправдывающих затраты. Для обеспечения эффективности принимаемых мер по
безопасности должны быть выполнены реалистические оценки.
Разработка программы безопасности начинается с решения следующих
задач:
- Что защищать
- От чего защищать
- Какие средства использовать для этого
После этого следует этап реализации принятых решений. Необходимо также
регулярно ( минимум раз в год) производить оценки уровня риска и при
необходимости пересмотр мер безопасности.
Проблему обеспечения безопасности можно разделить на несколько частей
следующим образом:
- Административная безопасность ( распределение обязанностей, контроль за их
осуществлением, организационно-технические документы, связанные с действиями в
непредвиденных обстоятельствах, при нарушениях безопасности и т.д.)
- Физическая безопасность ( обеспечение физической защиты оборудования,
режима доступа в помещения и т.д.)
- Безопасность окружения ( вопросы, связанные с электропитанием,
обеспечением защиты от пожара, протечек воды и т.д.)
- Вопросы, связанные с персоналом ( основные моменты связанные с приемом на
работу, увольнением, соглашениями о неразглашении служебной информации и т.д.) - Компьютерная и эксплуатационная безопасность (программные или
программно-аппаратные средства для обеспечения разграничения доступа,
авторизации, сбора статистики, защиты информации при передаче, вопросы,
связанные с операторским обслуживанием систем, резервным копирование,
сервисным обслуживанием)
Факторы риска
Факторами, влияющими на уровень безопасности, являются:
конфиденциальность, доступность и целостность. Поскольку эти три понятия
важны для оценки уровня безопасности и следует ясно понимать, что именно они
означают, возможные неприятности и количественные параметры, связанные с ними,
предположительные оценки стоимости и расходов.
Конфиденциальность
Конфиденциальность подразумевает необходимость сохранения секретов. Вопрос о
сохранении конфиденциальности должен касаться всей информации в компании, кроме
той, что легко доступна из открытых источников.
Закрытая или другая конфиденциальная информация должна быть защищена, так как
ее несанкционированное раскрытие может привести к значительным потерям. Часто
конфиденциальность оказывается зависящей от времени. Требующая первоночально
огромных усилий для своей защиты, информация постепенно теряет ценность.
Подобную возможность следует принимать во внимание при анализе.
Не мешает также попытаться оценить денежные суммы, которые мог бы потратить
человек или группа лиц для получения этой информации. Тем самым часто можно
заранее оценить размер угрозы, в особенности, когда это касается информации по
маркетингу или бюджету, или когда это связано с корпоративной активностью или
действиями с выписыванием счетов.Например, при рациональном использовании списки
с именами потребителей могут представлять значительную ценность.
Существует масса информации, которая, став общедоступной, может повлечь
за собой большие затруднения или потерю престижа компании. И хотя перевод этой
формы угрозы в долларовый эквивалент весьма непрост, все-таки следует
предпринять такие попытки.
Доступность
Термин «доступность» означает требование непрерывной доступности того или
иного сервиса. Тот факт, что пользователю требуются сервисы (услуги) для
обработки данных, предполагает что они имеют для пользователя определенную
ценность. Возможно, готовность можно связать с максимальным периодом простоя,
который пользователь может себе позволить.
Сервисы по обработке данных должны быть доступны сообществу пользователей,
когда в них есть надобность. Хотя полная потеря информациии маловероятна, однако
незапланированные периоды простоя с разной степенью тяжести оказываются
абсолютно очевидными. Автор должен определить границы, в пределах которых он
может положиться на систему. Такое доверие может привести к значительной разнице
в эксплуатационных расходах на систему, что повлечет за собой введение
дополнительных требований к восстановлению информации или системам резервного
копирования.
Целостность
Целостность обработки данных относится к их подлинности, точности и полноте.
Многие пользователи слепо доверяют целостности компьютерных систем, веря в то,
что компьютеры не делают ошибок. К сожалению, введенная в систему информация
может не подлежать восстановлению из-за допущенных ошибок, оплошностей, сбоев
или злонамеренного ущерба. Отсюда следует, что не стоит слепо доверять
целостности информации в компьютерах, если только не приняты соответствующие
меры предосторожности.
Достаточно очевидна возможность перевода целостности информации в денежный
эквивалент, когда данные обладают какой-либо стоимостью. Например, в качестве
стоимости целостности финансовой системы следовало бы взять максимум ежегодных
ожидаемых потерь, если бы кто-то энергично манипулировал программами или
данными. Для системы учета товаров это могла бы быть стоимость пропавшего за год
оборудования. На системах управления процессом это могла бы быть стоимость
потерь, которые возникали бы при отклонениях работы процессов. Для других систем
стоимость целостности можно связать с потерей престижа или с конечным
результатом извлечения фальсифицированной информации.
Административная безопасность
Для каждой системы должен быть назначен администратор безопасности. Он должен
нести ответственность за все вопросы безопасности , включая:
- координацию всех аспектов безопасности
- периодический контроль средств защиты
- консультации по проблемам безопасности
Администратор безопасности системы должен отвечать за определение
уровня безопасности систем и сервисов. Оценки уровня безопасности должны
выполняться на регулярной основе. Частота таких оценок зависит от уровня
секретности обрабатываемой информации и критичности сервисов.
Необходимо распределять обязанности исходя из принципа «разделения
обязанностей». Там, где этот принцип не может быть реализован из-за
ограниченности личного состава, следует установить компенсирующий
контроль.
При определении полномочий необходимо руководствоваться принципом
минимальности прав пользователей и администраторов
Для всех систем необходимо составить документацию с описанием требований к
конфиденциальности, доступности и целостности. В ней должны отражаться любые
изменения в отношении уязвимости.
Необходимо составить план действий на случай непредвиденных обстоятельств. В
этом плане следует определить:
- максимальный допустимый период простоя для каждой системы или
сервиса
- механизм восстановления основных сервисов в случае каких-либо проишествий.
Сервисы должны быть восстановлены в течение максимально допустимого периода
времени.
- список мероприятий на случай эвакуации . При эвакуации не должен снижаться
уровень безопасности системы
План действий на случай непредвиденных обстоятельств необходимо хранить в
нескольких отделенных друг от друга местах.
Безопасность, связанная с персоналом
Проверяйте рекомендации, предыдущие места работы, дипломы, представляемые
претендентом на должность в администратора перед тем, как сделать выбор.
Временные служащие не должны иметь доступ к закрытой
информации или информации о служащих без предварительного
одобрения администратора.
Все служащие или временные сотрудники должны подписать соответствующий
договор о неразглашении.
После окончания срока работы сотрудника необходимо сразу же:
- лишить его прав доступа к ресурсам с ограниченным доступом, системам или
сервисам и закрытой информации.
- забрать у него обратно засекреченные материалы
- заберать у него закрепленные за ним принадлежности
При переводе сотрудника на другую должность необходимо пересмотреть его
права доступа
При уходе сотрудника в долгосрочный отпуск необходимо приостановить действие
всех привилегий доступа. Для этого достаточно изменить пароль доступа на
некоторую цепочку символов, неизвестных лицу.
При увольнении администратора необходимо предусмотреть ряд мер для
предотвращения возможных злонамеренных действий администратора ( троянские кони,
«дыры» для неавторизованного входа в систему, подмена программного обеспечения).
Такие действия, выполненные квалифицированным специалистом зачастую крайне
трудно обнаружить, и они могут проявиться спустя значительный период времени
после ухода администратора.
Компьютерная и эксплуатационная безопасность
Для связи системы с другим оборудованием желательно использовать один из
следующих видов связи:
- выделенный канал связи
- шифрование канала связи
- замкнутая подсеть
- телефонное соединение , инициированное самим хостом
- устройство контроля доступа или соответствующая методология (т.е.
идентификация, модем с защитой передаваемой информации или прямой доступ в
систему).
Обеспечтьте защиту локальной сети от проникновения из Интернет ( например,
при помощи межсетевого экрана)
Не храните в системе персональные программы (включая игры).
Обеспечьте автоматическое завершение терминального соединение после заданного
периода неактивности
В системах должны быть точно выставлены время и дата.
Задайте конечное число попыток входа пользователя в систему с разрывом
соединения или блокировкой идентификатора при превышении числа неудачных
попыток
При выходе из системы следует очищать экраны терминалов и буфера.
При неудачных попытках входа в систему не сообщайте пользователю причину
отказа.
Регистрируйте события, связанные с защитой:
- ввод заданий, запуск, завершение, удаление, рестарт и аварийное
прекращение.
- вход/выход для пользователей из
системы
- монтирование/демонтирование
дисков
- системные сообщения или запросы
- запуск и останов системы или подсистемы
- резервирное сохранение и восстановление
- использование функций, влияющих на систему сбора статистики (т.е. печать,
удаление, переименование, внесение изменений)
- переполнение системы сбора статистики
- изменения в системе управления доступом
- изменения в списках авторизованных пользователей
- обнаруживаемые нарушения безопасности
Контролируйте процесс передачи информации из Вашей сети и в нее
Где возможно, используйте программы для обнаружения и удаления компьютерных
вирусов. Проверяйте все системы, с которыми происходит обмен информацией, чтобы
свести к минимуму риск и распространение вирусов.
Должен быть запрещен доступ пользователей в систему без идентификации.
Пароли должны удовлетворять следующим требованиям
- распространяться на основе принципа «знают только те, кому нужно
знать»
- случайны по своей природе
- не являются именами собственными или словарными словами
- должны состоять из цифровых и буквенных значений
- длина не менее шести символов
- период изменения по крайней мере каждые 45 дней
- не задаваться для процессов автоматического входа в систему.
Рассмативайте файлы с паролями или другой аутентификационной
информацией как конфиденциальную информацию.
Используйте строгую аутентификации для служащих, не работающих в
компании, или для доступа извне в вашу
локальную сеть.
Полные привилегии по доступу в систему (т.е. доступ администратора или доступ
от имени пользователя root) должны
предоставляться минимальному числу лиц с контролем запросов на доступ
Контролируйте доступ к консолям и осуществляйте сбор статистики за их
использованием.
Системные привилегии доступа в систему должны периодически пересматриваться и
регулярно обновляться.
Необходимо поддерживать реестр коммуникационных параметров и список
компонентов. В нем следует указывать особые атрибуты, например, каналы связи,
которые были установлены для передачи закрытой информации.
Необходимо поддерживать реестр конфигурации аппаратного обеспечения и списка
компонентов (CPU, периферийные
устройства, сетевые устройства и т.д.).
Все сетевые оконечные устройства должны быть промаркированы и в виде схемы
помещены в непосредственной близости от оборудования. Промаркируйте все кабели
для обозначения конечных точек.
Все системное оборудование должно быть занесено в инвентарные списки.
Если позволяет система, следует создать набор привилегий, доступных
системному администратору и недоступных пользователям. В число привилегий,
исключенных для пользователей, следует включить:
- изменение системных привилегий или управления
- изменение характеристик защиты
- распределение ресурсов
- останов компьютерной системы
Все действия по обслуживанию , изменениям конфигурации и модификациям
программных и аппаратных средств должны проводиться только с разрешения
администратора системы.
Необходимо сопровождать обслуживающий персонал при работе с
оборудованием.
Регистрируйте все действия по обслуживанию аппаратного обеспечения, а также и
оставшиеся неисправности оборудования.
Поддерживайте целостность коммуникационной сети при добавлении нового
оборудования.
Необходимо контролировать использование оборудования и программного
обеспечения для тестирования связи.
Контролируйте следующие параметры коммуникационных систем
- ошибки протокола и нарушение последовательности
- статус состояния и сигналы об ошибке
- несоответствие данных
Контролируйте, не скомпрометирована ли система контроля коммуникаций.
Результаты контроля должны храниться как приватная информация. Результаты
следует сохранять для проведения анализа на соответствие требований по
доступности и целостности.
Обеспечьте сбор статистики обо всех происшествиях, ссвязанных с
безопасностью, в том числе:
- неавторизованные попытки доступа к закрытой информации
- пропажа отчуждаемых носителей информации
- отклоненные попытки доступа к защищенным файлам
- несанкционированные попытки и авторизованное использование
привелигированного программного обеспечения
- модификация параметров защиты
- изменения системных пользователей
Эту статистику необходимо регулярно анализировать для обнаружения
потенциальных нарушений защиты.
Определите ответственных за работу с отчуждаемыми носителями.
Проводите по крайней мере раз в полгода физическую инвентаризацию всех
отчуждаемых носителей
Четко маркируйте отчуждаемые носители
Не уничтожайте отчуждаемые носители, содержащие приватную информацию, пока
она не будет стерта с носителей.
После проверки, стерта ли информация, удалите с отчуждаемого носителя и его
коробки все маркировки.
Храните текущие копии критичной информации в других помещениях. К критической
информации относятся:
- операционная система и утилиты
- прикладные программы
- данные, документация и бланки
- ключи шифрования
- пароли
Следует сделать резервные копии всех пользовательских программ, купленного программного обеспечения и
файлов данных.
Необходимо регулярно делать резервные копии после изменений.
Резервные копии должны храниться в защищенных внешних местах.
Места для внешнего хранения информации должны быть защищены от пожара,
наводнения и т.д.; в них должны также
соблюдаться и соответствующие условия (температура, влажность и т.д.).
Шифрование дискет, предназначенных для транспортировки, является проверенным
методом обеспечения защиты, так что на него, где возможно, следует
полагаться.
Перед тем как передать оборудование поставщику для текущего обслуживания,
необходимо удалить с него всю конфиденциальную информацию.
С отчуждаемых носителей, которые использовались для работы с корпоративной
информацией, информация перед их использованием для других целей должна быть
стерта с помощью принятых методик. Несколько примеров таких методик:
- использование магнитных сердечников
- переписывание всех разделов на жестком диске
- использование средств затирания больших объемов информации ( bulk eraser) или размагничивателей (degausser) или же переписывание всех областей для
магнитных лент или дискеток
ПРИМЕЧАНИЕ: использование команды ERASE не удаляет данные