Анализ данных защиты
Любые наши действия на компьютерах и в сетях вызывают либо перемещение, либо обработку информации. Каждая компания, организация и правительственное учреждение занимаются сбором и обработкой данных независимо от своих функций. Даже промышленные предприятия учитывают важные аспекты обработки данных в своих операциях, включая ценообразование, автоматизацию рабочих цехов и инвентаризационный контроль. Работа с данными играет настолько важную роль, что при разработке правил инвентаризации ресурсов необходимо, чтобы все лица, принимающие участие в их разработке, четко понимали структуру и характер использования данных (а также условия их хранения).
Аппаратные средства и программное обеспечение
Средствами обеспечения бизнес-процессов являются аппаратные средства и программное обеспечение, которые должны быть охвачены политикой безопасности. Поэтому важно провести полную инвентаризацию системы, включая карту сети. Существует множество способов проведения инвентаризации или создания карты сети. Независимо от используемых методов необходимо удостовериться, что задокументировано ей. Ниже следует примерный перечень аппаратных средств и программного обеспечения, которые необходимо инвентаризовать. Возможно, для вашей системы этот список окажется неполным, вам следует самостоятельно решить, каким образом его модифицировать, чтобы он соответствовал задачам вашей компании.
Архивное хранение резервных копий
Кое-кто считает, что последняя задача, которую нужно решить при создании резервных копий, это то, как сохранять носители информации или защитить данные. В качестве одного из этапов контроля и учета операций с данными должно стать особое сообщение во время работы. Если при повседневной работе не обеспечиваются меры по защите данных, то вам стоит самостоятельно разработать правила защиты.
При рассмотрении архивирования резервных копий в первую очередь нужно определить, где будут храниться эти данные: на месте эксплуатации или вне систем? Некоторые организации имеют хранилища для хранения магнитных лент и дисков. В этом случае достаточно иметь правила хранения резервных копий на месте эксплуатации. В противном случае в создании реальных правил может помочь изучение повседневной и наиболее производительной работы.
Несколько лет назад автор извлек магнитную ленту из хранилища, где его компания хранила резервные ленты. Это хранилище было специально спроектировано для хранения 9-дорожечной ленты на срок до 6 лет и поддерживалось в надлежащих условиях. Вышеупомянутая лента была записана 18 месяцами ранее. Автор установил ленту в локальный накопитель и попытался считать ее содержимое. После промотки всего лишь нескольких десятков метров накопитель выдал сообщение об ошибке, и система отказалась считывать ленту.
Сделав еще несколько безуспешных попыток прочитать разные ленты, автор просмотрел регистрационный журнал службы архивации и обнаружил, что специалист по эксплуатации системы настраивал головки накопителей уже после того, как кто-то пожаловался на то, что не может прочитать ленту, присланную клиентом. Несмотря на необходимые настройки, ленты, записанные за три месяца до даты ремонта, были нечитабельны. Если бы эту проблему предусмотрели заранее, то был бы шанс восстановить данные. К несчастью, никаких правил работы с данными или проверки резервных копий не существовало. Руководствуясь этим, автор стал настаивать на том. чтобы внести в правила предложение проводить тестирование архива.
Это привело к возникновению других вопросов: Почему хранилище оказалось заполненным архивами шестилетней давности? Нужно ли нам хранить данные в течение шести лет? Этой компании они были нужны, но необходимо ли другим организациям сохранять информацию столь долгий срок? Если нет, какой срок хранения назначить? В случаях, когда максимальное время хранения дольше, чем время жизни носителя (стандартное время жизни магнитной ленты составляет около двух лет), то, возможно, необходимо установить порядок, который предписывал бы использование носителей однократной записи. Отметим выражение "носитель однократной записи". Вспомним урок из главы 1 "Что собой представляет политика информационной безопасности". Если в правилах не записаны конкретные средства для хранения резервных копий, то есть правила безопасности описаны лишь общими терминами, это позволит людям создать архивы на основе оптимальной технологии. Это позволит воспользоваться новейшими технологиями, на основе которых можно архивировать данные на более долгий срок.
Что должно быть защищено
На первых нескольких страницах этой книги неоднократно повторялось, что политика информационной безопасности должна обеспечивать защиту выполнения задач компании или защиту делового процесса. Эти повторения делались по причине того, что общепринятой ошибкой является подход к компьютерам и программному обеспечению с технической точки зрения вместо того, чтобы выяснить, с какой целью они были вообще закуплены. Как мы помним, компьютеры являются средством для обработки интеллектуальной собственности компании, диски предназначены для хранения этой собственности, а сети — для свободного перемещения этой информации и участия ее во всех бизнес-процессах. Если мы примем это во внимание, то сможем разработать логичную, действенную политику безопасности.
Компьютерные преступления
Когда автор писал этот раздел, он просмотрел три различных инструкции для прокуроров, основанные на различных подходах к тому, что подпадает под определение компьютерное преступление. В каждой инструкции делается попытка увязать локальные прецеденты (судебные определения и заключения) с действующим законом. Единственное, в чем они последовательны, это непоследовательность их требований.
Понятие компьютерного преступления в различных судебных округах отличается. Даже в Соединенных Штатах каждый из федеральных судебных округов может по-разному интерпретировать один и тот же закон. Для компании из Ныо-Иорка правовые нормы могут быть совсем не те, что для компании в Силиконовой Долине. Способ определить, что дозволено в этой области, заключается в переговорах с окружным судьей, генеральным прокурором или адвокатом. Они знают судей и принятые стандарты доказательств, чтобы успешно выиграть дело.
Однако, правило, по которому компании следует докладывать обо всех случаях криминальной деятельности, может не отвечать интересам компании. Возьмем хотя бы историю банка, в чьи системы проникли хакеры и похитили около 11 миллионов долларов! Этот банк сразу же принял решение не докладывать об инциденте судебным органам, опасаясь негативной реакции прессы. Имея в активах миллиарды долларов, было нетрудно списать 11 миллионов на убытки.
Однажды этот банк должен был доложить о понесенном убытке в связи с другим судебным иском. Как только пресса узнала, каким образом банк потерял 11 миллионов, этой негативной рекламы стало достаточно, чтобы повлиять на курс акций и вызвать дополнительное расследование со стороны федеральных инспекторов. В результате возникла проблема в связях с общественностью, что обошлось довольно дорого.
К определению того, о чем докладывать, а о чем не стоит, нужно относиться серьезно. Правила, устанавливающие порядок в этой сфере, должны обсуждаться на уровне высшего исполнительного руководства, которое несет ответственность за свои решения при возникновении проблем. С другой стороны, запись о том, что руководство должно принимать решения в этом конкретном случае, вынудит их рассмотреть все правила информационной безопасности. По их реакции можно будет определить, насколько серьезно руководство относится к этой проблеме. Па этой стадии разработки правил неплохо бы знать, насколько реальна поддержка руководства.
Лицензирование COTS
Правила лицензирования коммерческого программного обеспечения COTS (commercial off-the-shelf) должны учитывать, что в большинстве случаев организации не владеют правом собственности на программное обеспечение или данные, регламентированным соответствующими лицензиями. Лицензии COTS разрешают использование программного обеспечения с определенными ограничениями. Это означает, что все правила COTS базируются на соблюдении существующих лицензий.
Индустрия программного обеспечения расширяет правоприменение процедур лицензирования с помощью альянса производителей коммерческого программного обеспечения BSA (Business Software Alliance). Используя обычно сведения, поступающие от недовольных служащих, BSA проводит аудит и докладывает о лицензионном статусе собственнику программного обеспечения. После расследования BSA поддерживает компанию в судебных процессах против компаний, нарушивших законы о хранении и использовании информации.
Строгие правила COTS предусматривают периодический просмотр лицензионных соглашений, нормативов на приобретение прав собственности, подтверждений лицензий на программное обеспечение, а также протоколов регистрации продукции, поступивших от производителей. Кроме того, должны быть разработаны правила, определяющие права копирования, а также установлен строгий контроль за этими ресурсами и отчетность за них.
Обсуждая политику COTS, автор не раз слышал одно широко распространенное суждение: "Лицензии на программное обеспечение являются собственностью и должны рассматриваться в качестве таковой". Эта идея не нова. Такие лицензии представляют собой материальную собственность с определенной стоимостью, которая может быть подсчитана и обесценена так же, как и станочный парк в рабочих цехах. Таким подходом будет доволен финансовый директор компании, если он или она будет учитывать стоимость программного обеспечения при определении суммы амортизационных отчислений на оборудование, установки и материалы.
Обработка данных
Каким образом обрабатывается информация? При разработке правил следует учитывать множество аспектов, касающихся обработки информации. Необходимо определить, каким образом будет осуществляться обработка данных и как будет поддерживаться целостность и конфиденциальность данных. Помимо обработки информации необходимо рассмотреть, каким образом будет осуществляться аудит этой информации. Следует помнить, что данные являются источником жизненной силы организации, так что необходимо иметь средства наблюдения за состоянием этих сил в системе.
А как насчет использования данных третьей стороны, которые могут быть конфиденциальными и запатентованными? Большинство источников информации связаны соглашениями о совместном использовании и контроле информации, которые входят в условия приобретения данных. При учете информационной базы организации в инвентаризационных документах должны быть учтены внешние службы и прочие источники информации. В инвентаризационных документах также необходимо определить, кто работает с данными и на каких условиях собираются и. возможно, распространяются эти данные.
Учет и обработка внешних данных
Данными от внешних источников может являться любая информация, предоставленная источником вне компании. Всякий раз, когда эти данные поступают, они сопровождаются соглашениями об авторских правах и конфиденциальности, в которых указывается, как использовать эту информацию. Независимо от того, являются ли эти данные обычной информацией или последней версией программного продукта, необходимо предусмотреть механизмы для соблюдения соглашений, согласно которым приобретаются и используются эти данные.
Одним из довольно сложных вопросов является сбор информации из источников с общедоступной информацией, которая при работе объединяется с другой информацией. Для служащих не составляет труда вырезать и вставлять информацию с Web-узлов и других источников во внутреннюю документацию. Поскольку согласно стандартам законного использования это вполне легитимно, служащие должны сопровождать эту информацию соответствующей атрибутикой, особенно, если эта информация цитируется дословно.
Они, конечно, должны сами это знать. Тем не менее, это должно быть установлено правилами и быть включено в программу предупредительной безопасности.
Поскольку информацию, используемую организацией, используют совместно и другие компании, организация может также захотеть совместно использовать их информацию. Независимо от того, является ли это соглашением о партнерстве или каким-то иным видом деловых отношений, необходимо обеспечить механизмы защиты рассредоточенных данных или технологий, которые передаются в качестве интеллектуальной собственности. В разрабатываемые правила информационной безопасности могут быть включены следующие пункты, касающиеся защиты рассредоточенной интеллектуальной собственности.
Использование информации компании в неделовых целях
Определение требований, касающихся использования интеллектуальной собственности
Передача информации третьей стороне
1. Соглашения о конфиденциальности
2. Полностью открытая информация
Защита открытой информации
Довольно сложно предугадать, как сложатся обстоятельства бизнеса, и что можно разглашать и на каких условиях, но в правилах должны быть учтены эти процессы. Один из способов выяснить их влияние на политику безопасности заключается в том, чтобы разобраться, каким образом соблюдаются уже существующие соглашения. В качестве выполнения этапа инвентаризации адвокаты, работающие в комиссии, могли бы собрать все эти соглашения и замечания и обсудить их на рабочих совещаниях. Пользуясь такой информацией, можно разработать правила защиты передаваемой информации и технологий компании в виде руководства пользователя.
Обычно трудно разработать подобное руководство из-за необходимости предварительно классифицировать информацию. Одним из широко распространенных методов является использование защитных меток. Несмотря на то, что использование защитных меток несовместимо со всеми операционными системами, базами данных и прикладным программным обеспечением, разработчики руководства должны определить, каким образом маркировать данные согласно их уровням защиты.Это оказывается необходимым во многих случаях. В частности, персонал, работающий с информацией здравоохранения, является кандидатом номер один для маркировки защиты.
Определение целей политики
Теперь, поскольку мы уже знаем, что собой представляют правила информационной безопасности, и располагаем поддержкой руководства, следующим этапом будет выяснение, что именно необходимо защитить. Этот вопрос выходит за рамки аппаратных средств и программного обеспечения, а охватывает всю систему целиком. Очень важно понять суть деловых операций, которые сопровождают технологический процесс. Разработанные нами документы политики безопасности могут остаться на пыльной полке, если они будут препятствовать компании заниматься своим бизнесом.
Определение лиц, от которых необходимо установить защиту
Определение доступа представляет собой процесс выяснения, каким образом осуществляется доступ к каждой системе и компоненту сети. Сеть может иметь систему для обеспечения сетевой аутентификации и другие вспомогательные системы поддержки наподобие intranet. Но необходимо выяснить, все ли системы имеют доступ такого типа? Каким образом предоставлять доступ к данным при обмене информацией между системами? Поняв, как распределяется доступ к информационным ресурсам, можно определить, на кого должны распространяться правила информационной безопасности. Ниже представлены некоторые соображения о праве доступа к данным.
Санкционированный и несанкционированный доступ к ресурсам и/или информации Непреднамеренное и/или несанкционированное разглашение информации Общая схема проведения работ Ошибки в программах и ошибки пользователей
В первую очередь необходимо определить, кто может иметь доступ к ресурсам и на каких условиях. Например, доступ к данным, касающимся трудовых ресурсов, может предоставляться только персоналу, которому разрешен доступ к кадровой информации, но не всем сотрудникам компании. При разработке правил безопасности может быть предусмотрен прямой доступ к кадровой информации, но при этом в них должно быть определено, что означает выражение "прямой доступ". Правилами, естественно, может быть предусмотрено ограничение доступа тем, кто вообще не должен иметь право доступа'к таким данным.
После определения круга лиц, которые могут иметь право доступа, необходимо подумать над тем, какими должны быть механизмы правоприменения и наказания за несанкционированный доступ. Будет ли организация применять закон? Какие дисциплинарные меры будут применяться по отношению к служащим, которые нарушили установленные правила? Что можно сделать с точки зрения закона?
Законное основание действий компании очень важно. В нашем противоречивом обществе важно конкретно обосновывать виды нарушений установленных правил. В некоторых правилах достаточно указать, что служащие могут быть уволены и "преследоваться в судебном порядке с полным применением законных мер". Однако в других формулировках может потребоваться специфический язык, разъясняющий соответствующие законы. Поэтому при разработке правил безопасности было бы неплохо пригласить в состав комиссии юриста.
Этот совет распространяется и на внешний доступ к системам организации. Употребив выражение "внешний доступ", мы говорим об ограничении доступа не только посредством Internet. Доступ можно получить и через виртуальные частные сети (VPN — Virtual Private Network), частные сети, наподобие клиентской сети, которая использует ретрансляцию кадров (Frame Relay) или модемы. Необходимо определить эти точки доступа, а также разработать правила получения права доступа к ним. Поскольку правила, определяющие права доступа, являются весьма важной основой безопасности любой организации, эта тема полностью раскрыта в главе 5 "Аутентификация и безопасность сетей".
По причине того, что нынешний цикл развития программного обеспечения приходится на так называемую "эру Интернета", всем нам приходится считаться с общими для всех изъянами программного обеспечения и общими ошибками пользователей. Речь идет о непреднамеренных вторжениях в защиту сети, которые могут помешать работе по выполнению важных задач. Хотя довольно сложно заранее предусмотреть, что делать в случае отказа в работе или обнаружения ошибок, все же необходимо провести и такой вид анализа. Один из способов рассмотрения непреднамеренного создания проблем и возможных вторжений в системы заключается в использовании метода анализа живучести сети (SNA Method — Survivable Network Analis Method). Для получения более подробной информации о методе SNA см. Приложение Б.
Анализ живучести сети
При анализе сети на живучесть с использованием метода SNA вначале проводятся три этапа, а именно: сбор данных о системе, определение основных характеристик и предварительная оценка уязвимых элементов системы. Эти три этапа очень важны для аналитика — они помогают выяснить сущность целевого назначения работы этих систем и находить необходимые компромиссные решения в проекте системы. В методе SNA для анализа того, как применяется сеть, исследуется архитектура сети и рабочие сценарии.
Суть метода SNA заключается в необходимости определения двух типов рабочих сценариев сети:
1. Стандартные рабочие сценарии (NUS — normal usage scenarios);
2. Рабочие сценарии вторжения (IUS— intrusion usage scenarios).
При анализе NUS определяется, каким образом должна использоваться система и ее компоненты в "нормальных" условиях. Таким образом, все, что не является нормальным, может рассматриваться при анализе вторжения. IUS можно использовать для определения потенциальных воздействий на систему при успешных атаках или аварийных ситуациях. Этот тип анализа очень полезен для понимания того, каким образом компоненты сети взаимодействуют в системе.
Персонал и данные персонала
Организация может набирать персонал и собирать информацию о персонале различными способами. Эти способы затрагивают и общение по электронной почте, в процессе которого собирается информация с WеЬ-узлов. Компании, которые занимаются продажей товаров и услуг, могут собирать данные о клиентах на основе заказов/входных сообщений или звонков в отдел обслуживания покупателей. Даже объявления о продаже или наведение справок потенциальными покупателями могут дать информацию об отдельном лице или компании. Независимо от того, каким образом приобретены эти данные, для каждого типа данных должны быть сформулированы правила, касающиеся использования этих данных.
Политика секретности и государственная политика в Соединенных Штатах
В то время, когда писалась эта книга, создатели государственной политики в Вашингтоне обсуждали практику сбора и обработки данных о персонале в течение цикла их деловой деятельности. В недавних сводках новостей Федеральная торговая комиссия (FTC — Federal Trade Commission) рекомендовала, чтобы конгресс одобрил законы, требующие раскрывать, каким образом компании используют информацию, которую собирают путем доступа к Web-узлам. Этот вопрос встал на повестку после выяснения того, что многие Web-узлы не проводят политику секретности и не соблюдают правила информационной безопасности, описанные ниже.
В настоящее время директивы FTC о секретности представляют собой всего лишь рекомендации и не являются частью государственного законодательства. По просьбе FTC Конгресс рассмотрел эти предложения. По причине множества спорных вопросов прогнозируется, что обсуждение этих предложений затянется очень надолго.
Один из таких вопросов заключается в том, каким образом внедрять политику безопасности, когда ваша организация функционирует вне страны. Компании США, которые занимаются бизнесом в Европе, например, должны соблюдать строгие правовые нормы, охраняющие неприкосновенность личной жизни в Германии и Скандинавии. Несмотря на то, что эти нормы могут быть непопулярными внутри вашей организации, при работе вне Соединенных Штатов следование им может оказаться очень полезным.
Подробная информация об этом содержится в Приложении Б.
Когда речь идет о соблюдении правил секретности, нужно установить, что не только организация должна обеспечивать соблюдение конфиденциальности информации, касающейся служащих или клиентов, но и сами служащие должны соблюдать права конфиденциальности организации. Правилами должно быть установлено, что все, что касается конфиденциальности, права собственности и другой подобной информации не может быть доступным без предварительного согласия.
Дать определение политики секретности не так легко. Поскольку правила представляют собой лишь указания, а не являются рабочими инструкциями, некоторые организации предпочитают определять, что необходимо защитить в рабочей документации. Один из наилучших способов разграничить эти понятия, заключается в том, чтобы выяснить, что должно быть включено в правила соблюдения секретности, и составить одну или несколько общих формулировок. Эти формулировки и являются правилами. Таким образом вопрос о том, как обрабатывать информацию, относится уже к области технологии.
Права интеллектуальной собственности и политика безопасности
Каждая организация независимо от ее функций имеет интеллектуальную собственность, которую необходимо защищать. Даже если организация не проводит политику информационной безопасности, она, возможно, имеет разработанные правила и процедуры для защиты ее интеллектуальной собственности. Однако разные организации определяют эту собственность по-разному. Например, компания, являющаяся ценообразователем на рынке, будет защищать технологические процессы от разоблачения их конкурентами, чтобы те не выяснили, какие проводятся меры для снижения уровня цен.
Для большинства профессионалов информационной безопасности разработка правил защиты интеллектуальной собственности, является одной из самых сложных задач. Не только такие правила влияют на бизнес-процессы, но и совокупность правовых нормативов интеллектуальной собственности, которые могут различаться в разных штатах и странах. Когда планируется и разрабатывается политика в определенной области, весьма разумно проконсультироваться с юристом, который специализируется в данной области. На предварительных стадиях планирования стоит рассмотреть несколько вопросов, касающихся правил защиты интеллектуальной собственности.
Кто владеет правами интеллектуальной собственности? Выдача патента, авторских прав и других прав интеллектуальной собственности должны быть регламентированы правилами независимо от того, какое отношение они имеют к информационной безопасности, к корпоративному руководству или управлению персоналом. Изложение этих понятий в виде согласованных правил может обеспечить прочную основу для защиты собственности компании в суде, если это будет необходимо.
Что собой представляют права на программы и документацию? После того, как установлено право на интеллектуальную собственность, следует разобраться, какие права имеют служащие на программы, технологические процессы и документацию? Раз служащие могут иметь доступ к технической документации, в которой описываются новейшие бизнес-технологии или планы модернизации, в правила должно быть включено предупреждение, чтобы они не выносили эту документацию с предприятия и не обсуждали эту информацию с другими. Правилами также можно определить права доступа к документам или процессам.
Всем источникам информации должно быть присвоено авторство. С помощью графического интерфейса пользователя GUI (Graphical User Interface), а также всемирной "паутины" WWW (World Wide Web), путем копирования из окна броузера в окно, открытое редактором или любым другим текстовым процессором можно легко получать информацию. Иногда это даже слишком просто. Копирование чужих документов и включение их в свои документы без ссылки на авторов является плагиатом. Конечно, можно использовать отдельные кусочки из чужих документов по принципу "когда от многого берешь немножко - это не кража, а просто бережка", но все-таки лучше и эти кусочки сопровождать ссылками на подлинного автора. В правилах может быть сказано, что компания не будет закрывать глаза на плагиат, несмотря на то, что стандарты установления авторства определяются лишь руководствами по стилю.
Присвоение авторских прав в интеллектуальной собственности. Если работа защищена патентом, авторскими правами или условиями неразглашения, она должна сопровождаться соответствующей информацией. Не будем цитировать судебные решения, которые были вынесены не в пользу собственников интеллектуальной собственности, когда те не регистрировали свои права и не приняли своевременных мер по защите своих прав. Некоторые компании считают, что достаточно того, что все напечатанные материалы содержат на каждой странице слова "Собственность компании" ("Company Confidential"). В этих вопросах могут помочь юристы, которые специализируются на законах об интеллектуальной собственности.
Работая с интеллектуальной собственностью, независимо от того, является ли она собственной разработкой организации или приобретена, необходимо четко знать свои права на эту собственность, подтвержденные договором. Например, многие программы позволяют пользователю создавать одну копию с целью резервирования, но не позволяют работу нескольких копий одновременно. Что касается печатных работ, здесь все еще действует закон "от многого немножко", который позволяет делать ограниченное количество копий для персонального пользования. Поскольку печатные материалы используются и для производственных целей, необходимо посоветоваться с юристом о том, каким образом разрешено их использовать.
Технический персонал и интеллектуальная собственность
Существует множество городских легечд, связанных с использованием и защитой интеллектуальной собственности. Один из моих знакомых говорит, что способ обеспечения авторского права без заполнения необходимых бумаг заключается в отправлении десяти копий работы себе по почте. Почтового штемпеля на нераспечатанных конвертах, мол, будет достаточно для фиксирования даты и места выполнения работы.
Технический персонал имеет тенденцию наивно верить, что с помощью этих легенд они смогут заработать много денег. Позже они обнаруживают, что эти схемы не обеспечивают защиту. Интеллектуальная собственность является таким запутанным предметом, что мифы и легенды не должны служить руководством в обеспечении защиты наиболее важных активов организации. Лучше вместо этого переговорить с юристом, который специализируется в этой области. Юрист объяснит, что эти десять конвертов только пополнят казну почтовой службы.
Примерный инвентаризационный список
Аппаратные средства | Программное обеспечение |
центральные процессоры платы клавиатуры терминалы рабочие станции персональные компьютеры принтеры дисководы коммуникации терминальные серверы маршрутизаторы диагностическое оборудование |
исходные программы объектные программы утилиты диагностические программы операционные системы связные программы |
Один из способов составления карты сети заключается в определении потоков информации в каждой системе. Схема информационных потоков может показать, насколько потоки информации обеспечивают бизнес-процессы, а также показать области, в которых важно обеспечить защиту информации, и принять дополнительные меры по обеспечению живучести системы. В свою очередь, с помощью этой схемы можно определить, где должна храниться информация, включая базы данных, как эта информация должна перемещаться в системе, дублироваться, контролироваться и регистрироваться администратором.
Реагирование на инциденты и судебные разбирательства
Автор этой книги подписался и получает по электронной почте все информационные листки, касающиеся информационной безопасности. В этих сообщениях описываются различные подробности изъянов и других уязвимых мест в защите, которые могут создать проблемы с безопасностью систем и сетей. Некоторые из них представляют интерес для всех, в то время как другие касаются только пользователей продукции конкретного производителя. Большинство из них содержат информацию, представленную пользователями, а некоторые содержат информацию производителя. Автор понимает, что то количество информационных листков, на которое он подписался, чрезмерно для администраторов, но поскольку он работает с клиентами, ему необходимо получать последние сведения в полном объеме.
Однажды, сидя у себя, вы находите просчет в разработанной системе безопасности, и если бы хакер или злонамеренный служащий использовал этот просчет и атаковал систему, то это бы привело к нарушению работы сети организации. Вместо того чтобы забросить эту информацию, постарайтесь опубликовать ее.
Некоторые люди понимают, что информирование об инцидентах является важной службой в сообществе Internet. Поэтому они начинают докладывать о проблемах, которые обнаруживают. Многие организации этого сообщества ввели у себя правило сообщать об инцидентах. Можно отправлять информацию более чем 30 различным организациям, которые занимаются реагированием на инциденты. Чтобы помочь этим службам, ваша организация могла бы проводить политику реагирования на инциденты, поддерживая связь с одной (или несколькими) группой (группами) обработки информации об инцидентах через одного ответственного за эту работу. Возложив ответственность за это дело на одного человека (можно с дублером), можно передавать информацию с единственного официального источника, так что она не будет потеряна в море сообщений.
Координационный центр CERT
Дедушкой всех подразделений реагирования на инциденты является Координационный центр CERT (CERT/CC) в Карнеги Мэллон университете в Питсбурге (Computer Emergency Response Team - группа реагирования на нарушения компьютерной защиты в сети Internet). Основанная в 1988 году как бригада компьютерной "скорой помощи" в кооперации с Департаментом безопасности компании Internet Worm, CERT/CC собирает информацию об инцидентах, касающихся компьютерной безопасности и, проведя исследования, определяет, нужно ли об этой проблеме широко оповещать. Несмотря на то, что методы CERT/CC рассматриваются как несколько спорные, они обеспечивают ценные услуги обществу. CERT/CC является не только службой реагирования на инциденты. В Приложении Б представлен список и других его услуг.
Резервирование, архивация и уничтожение информации
Правила обработки зарезервированной на внешних носителях или внесистемных устройствах информации должны быть столь же строги, как и в отношении обработки доступной оперативной информации. Резервные данные могут содержать финансовую информацию, историю взаимодействий с клиентами и даже копии текущих рабочих документов. Если не обеспечить защиту данных, один бог знает, что могло бы случиться, если бы конкуренты получили и проанализировали эту информацию. А что, если они обнаружат данные, от которых необходимо избавиться? Поэтому правила резервирования должны отражать сами процессы архивирования данных и предоставить инструкции, в которых будет определено, от каких данных и в какое время необходимо избавляться.
Соображения резервирования
Почему организация дублирует информацию вне своих компьютеров? Для восстановления системы после выхода из строя? Для сохранения важных данных? Хочет ли организация хранить копию состояния системного программного обеспечения? Как часто выполняется резервирование? Осуществляется ли это ежедневно, еженедельно или же раз в месяц? Каким образом это делается? Как часто происходит сверка и пересмотр этого процесса?
Как ответить на эти вопросы, чтобы резервирование обеспечило быстрое восстановление важных бизнес-процессов после аварийного отказа? В описание всего бизнес-процесса необходимо включать процессы восстановления и обработки информации, необходимой для обеспечения его поддержки. Эти сведения помогут ответить на эти вопросы и установить правила этой работы.
Общепринятая ошибка при разработке правил резервирования заключается в предоставлении специальных опций в пакете программного обеспечения, используемого компанией. Определяя, каким образом резервирование поддерживает бизнес-процесс, разработчики правил должны постараться ограничить документ, описывающий, что должно быть сделано, и не конкретизировать процессы резервирования до уровня предоставления специальных опций. Ниже следует несколько вопросов, на которые стоит обратить внимание при рассмотрении правил резервирования.
1. Какие данные должны быть зарезервированы?
Только пользовательские данные?
Вся система?
Вся база данных или файлы журналов?
2. Как часто необходимо проводить резервирование?
3. Каким образом должно выполняться резервирование: автоматически, путем многократного копирования или путем пересылки данных?
4. Как часто необходимо пересматривать процедуры резервирования?
5. Где лучше сохранять резервную информацию: на месте эксплуатации или на внесистемных носителях? Каким образом обеспечить защиту памяти, хранящей резервные копии на месте эксплуатации?
6. Кому разрешить выполнение резервирования?
Кому предоставить право доступа к резервным данным?
Кому разрешить восстанавливать эти данные?
Стратегия реагирования на инциденты
Другой аспект работы с инцидентами заключается в реагировании на них. Реагирование на инциденты необходимо, когда обнаружен несанкционированный доступ в сеть: когда бригада реагирования обращается к организации и сообщает, что возникла проблема, и им нужно войти в компьютеры организации; или когда кто-нибудь обращается в службу связи с общественностью с сообщением, что в операционной системе или программном обеспечении, которым пользуется организация, имеется проблема.
Подобно отчетности об инцидентах, правилами реагирования на инциденты должна быть определена одна точка для контакта. Это контактное лицо должно отвечать за сбор всех сообщений и готовить меры реагирования на них независимо от того, кто их присылает. Естественно, контактное лицо должно определять, имеет ли сообщение об инциденте какое-то отношение к организации. Правилами безопасности этому лицу могут быть определены полномочия на выполнение всех необходимых действий для решения любой проблемы, возникающей на основе этих сообщений, а также дано право привлекать необходимых специалистов к исследованию этой проблемы.
Работа с независимыми бригадами реагирования подобна работе с любыми независимыми службами за исключением того, что исполнитель работ, заключая с вами договор, может потребовать, чтобы ваша организация работала через отдельное контактное лицо. Например, ваша организация может захотеть, чтобы реагированием на инциденты занимался сотрудник безопасности. Ну, а исполнитель работ может пожелать работать непосредственно с системными администраторами организации, минуя сотрудника безопасности. Разрешение на это требует незначительной корректировки правил, и это должно быть сделано, чтобы обеспечить тесное сотрудничество с бригадой реагирования.
Учет трудовых ресурсов
Наиболее важным и ценным ресурсом компании является персонал, который работает и хранит активы компании, учтенные при инвентаризации. Учет персонала, задействованного в технологическом процессе компании и имеющего доступ к системам, данным и внекомпьютерным ресурсам, обеспечит понимание того, какие правила информационной безопасности необходимо разработать.
Учет персонала можно упростить вплоть до составления типовой схемы организации компании. Но может оказаться весьма обременительным включение тысячи или даже нескольких сотен служащих в один большой документ. Более того, структурные схемы организации пользуются дурной славой негибких документов, не предполагающих изменений или роста в структуре компании. Помимо этого, в инвентаризационный документ может быть включен тип работы, выполняемой подразделением, наряду с уровнем доступа служащих этих подразделений к данным предприятия. Например, если у компании имеется крупный отдел продаж, то создание структурной схемы этого подразделения с указанием имени каждого сотрудника, может спровоцировать самолюбивые устремления служащих, а сама схема перестанет служить по своему прямому назначению. Так что будет лучше, если структурная схема будет включать "Отдел продаж", помеченный отдельным номером, где точно может быть и не указана работа продавцов.
Положительный аспект такой реализации заключается в том, что руководство будет понимать, кто работает в организации и в каком подразделении. В качестве одного из этапов этого процесса руководство может увидеть дублирование работ, определить сильные и слабые стороны персонала, а также выявить узкие места в организационной структуре. Такой анализ похож на анализ живучести сетей с той разницей, что он проводится в социальной сфере. Руководителям не нужно напоминать, что они должны руководствоваться результатами такого анализа.
Уничтожение данных
"Разгребание мусора" является общепринятой практикой индустриального шпионажа для поиска ценной информации. Коллега, с которым автор книги работал в данной области, рассказывал потрясающие истории о том. чего только не выбрасывали в утиль некоторые компании. Однажды ему выпала необыкновенная удача. Он собрал более двух дюжин бобин с магнитной лентой из мусорной корзины конкурента, на которых содержалась конфиденциальная информация компании.
Каким образом организация удаляет данные? Если это делается путем выбрасывания лент без стирания записанной на них информации, то собиратели мусора непременно обнаружат секреты компании. Определение процедуры утилизации данных имеет такую же важность, как и определение того, какие данные выбрасывать. Необходимо быть уверенным, что правилами четко определены процедуры удаления или утилизации данных, а также установлены требования к обеспечению того, что данные не смогут быть считаны.
Один из способов обеспечения гарантий того, что установленные правила будут выполняться, заключается в том, чтобы возложить ответственность по утилизации данных на одно лицо, а контроль за этим процессом — на другое лицо. Правила должны гарантировать, что работа будет вестись согласно регулярному расписанию и по жестким инструкциям, а также обе ответственные стороны смогут обеспечить контроль над тем, чтобы лица, не предусмотренные этими правилами, не смогли получить доступ к данным.
Внекомпьютерные ресурсы
Инвентаризация, как и правила информационной безопасности, должна охватывать не только аппаратные средства и программное обеспечение. Должен еще быть перечень программной документации, документации на аппаратные средства, системы, административную инфраструктуру, а также прочая документация, описывающая все технологические процессы. Эти документы могут содержать информацию относительно особенностей организации бизнеса, а также могут показывать области, которые могут быть атакованы. Следует помнить, что бизнес-процессы могут быть объектами как индустриального шпионажа, так и хакеров и оскорбленных служащих.
Схемы информационных потоков и живучести системы
Жизучесть— это способность системы выполнять свои задачи и важные процессы во время атак, повреждений и аварийных ситуаций. Она основывается на исследованиях, проведенных координационным центром CERT (www.cert.org) университета Карнеги Меллон. Эти исследования показывают, что вместо того, чтобы использовать традиционную модель защиты типа крепости, сети нужно рассматривать как несвязанные независимые объекты с определенными маршрутами коммуникаций и специфическими надежными взаимосвязями.
Анализ системы на предмет живучести включает в себя определение требований к сети, предъявляемых со стороны особенностей ведения бизнеса, архитектуру сети, насколько она удовлетворяет этим требованиям, а также поиск компромиссных решений для обеспечения того, чтобы средства, обеспечивающие живучесть системы, не нарушали бизнес-процесс. Частью такого анализа является исследование потоков информации в системе. Исследование этих потоков и анализ критических процессов помогут выявить точки, в которых должны быть усилены меры защиты, а также показать, какие ограничения на архитектуру системы накладываются требованиями технологии.
Для получения дополнительной информации об исследованиях CERT на живучесть см. Приложение Б "Ресурсы".
Подобным образом должна быть проведена инвентаризация всех формуляров, бланков особого учета организации и других материалов с названием организации, используемых в качестве официальных бумаг. Использование бланков счет-фактур и бланков организации может дать кому-то возможность имитировать официальную деятельность компании и использовать информацию для похищения денег или даже дискредитации организации. Поэтому необходимо учитывать все эти бланки во время инвентаризации, чтобы можно было разработать правила защиты этих активов.