Часть I. Начало работы по правилам
В главе 1 "Что собой представляет политика информационной безопасности" описывается основная идея правил информационной безопасности и насколько важна их разработка. Правила безопасности подобны плану управления проектом, в котором рассматриваются детали реализации. В главе 1 также обсуждаются обязанности руководства по определению и внедрению правил безопасности, а также обязанности по их разработке. Ко всему необходимо подходить с "должной осмотрительностью". Что же касается инцидентов, то в случае расхождения взглядов на них со стороны администрации и правоохранительных органов отсутствие тщательно задокументированных и внедренных правил может вызвать неприятное судебное разбирательство.
В главе 2 "Определение целей политики" и главе 3 "Обязанности в области информационной безопасности" вводятся основы разработки правил информационной безопасности. В главе 2 говорится о том, что разработчики правил безопасности прежде, чем приступить к их разработке, должны четко определить, что именно необходимо защищать. Кроме того, в этой главе описано, какими должны быть правила безопасности для конкретной системы. В главе 3 определяются роли и обязанности сотрудников в области безопасности организации. Акцент делается на обязанностях руководства и роли тех лиц, которые будут стоять на переднем крае проведения в жизнь политики безопасности. Определение этих групп сотрудников необходимо для успеха программы безопасности. В конце главы обсуждаются вопросы проведения инструктажа и другие меры поддержки процесса внедрения правил безопасности.
Часть II. Разработка правил безопасности
Смысл правил физической безопасности понятен каждому. Но хорошие правила должны охватывать не только стандартные концепции оружия, охраны и пропускных пунктов. При разработке правил также должно учитываться планирование аварийного резерва оборудования и процедуры его восстановления после аварии. В главе 4 "Физическая безопасность" описаны некоторые из этих вопросов, которые нужно учитывать при разработке правил безопасности.
Главной заботой при обеспечении безопасности организации является предоставление доступа к системам и сетям. Аутентификация является первым защитным барьером любой системы или сети, где пользователь получает разрешение на вход, а пароль играет роль ключа к "входной двери,". В главе 5 "Аутентификация и безопасность сетей" обсуждаются различные аспекты аутентификации и средств управления доступом к системам, а также рассматривается, как разрабатывать правила безопасности, учитывающие наличие средств аутентификации и средств защиты, заложенных в архитектуру сети.
При чтении книги можно заметить, что до главы 6 "Правила безопасности Internet" ничего не говорится о защите Internet. Дело в том, что в первую очередь необходимо рассмотреть информационную безопасность вообще. Кроме того, разрабатывать правила безопасности Internet довольно сложно по причине слишком быстро меняющихся технологий в этом деле. В главе 6 рассматриваются правила безопасной работы в Internet, разбив все технологии Internet на логические группы и показав, какое отражение находит каждая технология в разрабатываемых правилах.
В главе 7 "Правила безопасности электронной почты" обсуждаются сложные вопросы зашиты электронной почты. Большое количество судебных дел связано с использованием электронной почты в корпоративных объединениях. По причине того, что электронная почта является электронным эквивалентом почтовых отправлений, при разработке правил безопасности требуются особые решения. Организации необходимо рассмотреть множество вопросов при разработке правил безопасности, начиная с инструкций по архивированию и заканчивая процедурами, определяющими содержание сообщений.
Не проходит и недели без слухов о новых вирусах, "червях" и "троянских конях". Решение этих проблем не только обходится компаниям в немалые деньги, но и чревато снижением объема производства, который может в дальнейшем и не быть компенсирован. Несмотря на то, что эти проблемы в первую очередь влияют на определенный тип систем, не существует операционных систем, которые давали бы полную гарантию защищенности от вирусов. В главе 8 "Вирусы, "черви" и "троянские кони"" обсуждаются проблемы, связанные с вирусами, а также вопросы разработки правил защиты сетей.
В главе 9 "Шифрование" обсуждаются вопросы криптографии. По причине того, что при пересылке через Internet информация не защищена, некоторым организациям захочется использовать шифрование для предотвращения перехвата данных посторонними лицами. Шифрование перестало быть уделом шпионов и военных ведомств и превратилось в технологию, необходимую для пересылки электронных активов. Начиная с виртуальных частных сетей и заканчивая электронными посланиями частных лиц, криптография является одним из основных вопросов, решение которого требует специального отражения в правилах безопасности.
В методиках разработки программного обеспечения защита редко рассматривается в качестве компонента проектирования. Довольно часто безопасностью начинают заниматься уже по завершении разработки, что приводит к применению нестандартных и, зачастую, неприемлемых средств обеспечения безопасности. Путем внедрения правил разработки программного обеспечения организации могут избежать его последующей доработки, а также появления "проколов" в защите собственного программного обеспечения. В главе 10 "Правила разработки программного обеспечения" обсуждается процесс разработки программного обеспечения и его влияние на безопасность организации.
Часть III. Сопровождение правил
В главе 11 "Правила надежной работы" обсуждается важность внедрения правил надежной работы (Acceptable Use Policies — AUPs), а также способы включения в этот документ и других правил. AUP представляет собой документ, в котором собраны все правила безопасной работы пользователей. Обычно, это утвержденный документ, в котором описывается ответственность служащих, подрядчиков и поставщиков в отношении обеспечения безопасности при их доступе к сети организации.
После того, как правила написаны, необходимо определить, кто будет их внедрять. Какие меры нужно принимать при нарушениях правил? Кто будет определять эти меры? В главе 12 "Согласование и внедрение" обсуждаются эти и другие вопросы, которые читатель должен рассмотреть, прежде чем заняться разработкой правил.
Документы, отражающие политику безопасности организации, не должны быть "мертвыми" документами. Они должны изменяться и развиваться в соответствии с развитием технологий и ростом организации. Необходимо проводить периодический пересмотр правил коллективом, похожим на тот, что разрабатывал их. В главе 13 "Процесс пересмотра правил" обсуждается процесс пересмотра, а также представлены рекомендации по интегрированию этого процесса в технологический процесс компании.
Часть IV. Приложения
В приложениях представлена дополнительная информация, которая поможет при осмыслении информационной безопасности вообще и конкретно при разработке отдельных правил. В приложении А "Глоссарий" разъясняется терминология, используемая в данной книге. В приложении Б "Ресурсы" представлены дополнительные источники информации для тех, кому необходима более подробная информация. Здесь также представлены адреса Web-узлов, на которых обсуждаются общие и специфические вопросы безопасности. И, наконец, в приложении В "Примеры правил" представлены образцы правил безопасности, которые можно использовать в качестве "козы" при разработке собственных правил.
Кому предназначена эта книга
Профессионалы в области безопасности и сетевого обеспечения являются уникальным сообществом. Они стоят на переднем крае защиты информации, сочетая требования бизнеса и пожелания руководства обеспечить спокойную работу пользователей и клиентов. Для этих людей данная книга дает возможность познакомиться со взглядами руководства на политику безопасности. Понимая цели руководства, администратор сможет разработать систему защиты без лишних переделок и дополнительных консультаций.
Разработчикам правил безопасности, не имеющим технического образования, настоящая книга сможет помочь разработать эффективные правила. В ней разъясняется комплексный подход к пониманию основ безопасности, а также способы согласования их с требованиями бизнеса. Для технически искушенных разработчиков эта книга станет руководством, которое поможет определить требования безопасности и ничего важного не упустить при разработке правил. Примеры формулировок правил помогут сформировать эффективные правила безопасности.
Руководству данная книга поможет составить общее представление о защите информации и сетей и сформулировать свои требования к разработке эффективных правил безопасности. Каждая глава посвящена отдельным вопросам информационной безопасности, так что разработчики правил смогут определить, на чем нужно сосредоточиться. Во врезках и образцах правил разъясняется общий курс и терминология, которую должно понимать руководство при проведении политики безопасности.
Организация книги
Эта книга разбита на четыре части. Ниже представлено их содержимое.
Условные обозначения
В книге используются два условных обозначения.
Новый термин напечатан курсивом при его первом появлении в книге.
Примеры формулировок правил напечатаны курсивом для выделения их из основного текста.
Развитие сети Internet подталкивает организации
Развитие сети Internet подталкивает организации к расширению своих сетей. Это помогает привлекать новых клиентов и строить взаимоотношения с ними на новой экономической основе, что, в свою очередь, вызывает потребность в новых книгах и руководствах. Кроме того, Internet открывает электронные пути к информационным активам организаций, в том числе и для взломщиков. Открытость Internet делает заботу о безопасности приоритетной задачей.
Успех бизнеса обеспечивается тщательным планированием, особенно в вопросах безопасности. Не думайте, что купив брандмауэры, можно считать, что ваши сети достаточно защищены. Прежде необходимо определить, что именно нужно защитить. Все эти вопросы определяются правилами информационной безопасности. Правила представляют собой набор инструкций, которыми следует руководствоваться при разработке мер и средств защиты информации в организации.
Разработка эффективных правил информационной безопасности также требует соответствующего планирования. В этой книге даются разъяснения всех вопросов, касающихся разработки правил информационной безопасности организации. Кроме того, здесь описаны различные области приложения теоретических положений информационной безопасности и предложены образцы формулировок правил безопасности.
Ссылки на различные источники помогут разработать качественные документы, определяющие политику безопасности организации. Несмотря на то, что все источники говорят о том, что добротно сформулированные правила являются основой разработки эффективной программы защиты информации, более 60% организаций руководствуются устаревшими правилами безопасности или вообще не имеют таковых. Данная книга предназначена для тех, кто хочет разработать эффективные правила безопасности, но не знает, как к этому приступить.
Цель книги — дать образцы правил безопасности, чтобы те, кто будут разрабатывать правила информационной безопасности, могли использовать готовые формулировки. В конце концов, имея готовые формулировки правил безопасности, будет гораздо легче выполнять работу по обеспечению безопасности сетей.