- •Основные понятия политики информационной безопасности
- •Описание проблемы
- •Область применения
- •Позиция организации
- •Распределение ролей и обязанностей
- •Санкции
- •Дополнительная информация
- •Описание обязанностей категорий персонала
- •Управленческие меры обеспечения информационной безопасности
- •Структура политики информационной безопасности организации
- •Базовая политика безопасности
- •Специализированные политики безопасности
- •Политика допустимого использования
- •Политика удаленного доступа
- •Процедуры безопасности
- •Процедура реагирования на события
- •Разработка политики безопасности организации
- •Компоненты архитектуры безопасности
- •Роли и ответственности в безопасности сети
- •Управление тревожной сигнализацией
Роли и ответственности в безопасности сети
Число устанавливаемых ролей зависит от количества реализуемых процессов безопасности в организации. Во многих организациях можно найти одни и те же типы ролей. Рассмотрим перечень обычно устанавливаемых ролей:
провайдер сервисов - менеджер группы и/или организации, который предоставляет сервисы обработки информации. Обычно эта организация отвечает за обеспечение безопасности компьютерной среды;
менеджер данных - менеджер, отвечающий за управление безопасностью распределяемых данных.
В круг ответственности менеджера данных входят:
оценка уровня конфиденциальности данных с целью их классификации;
установление определенного уровня защиты (в соответствии с этой классификацией);
разрешение или запрет на доступ к данным под его личную ответственность;
аудитор - это лицо, ответственное за:
исполнение политик безопасности;
исполнение процессов безопасности;
периодическое выполнение контрольной оценки безопасности;
задание требований для приложений/инструментов/решений в целях обеспечения требуемой безопасности;
администратор безопасности - это лицо, ответственное за настройку и управление системных средств управления безопасностью. В круг ответственности администратора безопасности входят следующие обязанности:
обеспечение настройки безопасности системы в соответствии со стандартами и правилами, то есть администратор безопасности отвечает за установку системных политик, включая парольную политику, политику аудита, политику входа в систему и стандартный доступ к типам ресурсов;
управление атрибутами доступа пользователей путем замены паролей, определения новых и удаления старых идентификаторов пользователей;
выполнение периодических проверок с целью контроля состояния безопасности компьютерной среды;
пользователь данными - в обязанности пользователя данными входят:
исполнение инструкций безопасности. Например, пароль должен быть нетривиальным и удовлетворять утвержденным синтаксическим правилам. Это нужно применять в любой системе, независимо от существующего управления безопасностью;
использование своих полномочий доступа и системных полномочий только для разрешенного администрацией применения.
Каждый пользователь компьютерной среды является пользователем данными.
Аудит и оповещение. Под термином «аудит» подразумевается способность регистрировать все важные, с точки зрения безопасности, действия, выполненные в компьютерной среде. Под термином «оповещение» понимают способность оповещать об этих действиях в читабельной форме.
Для безопасности очень важна хорошая схема аудита; она должна всегда давать ясную картину состояния безопасности. Более того, схема аудита является мощным пассивным агентом безопасности. В разделе 2.2 отмечалось, что солидная доля угроз безопасности обусловлена обиженными или нечестными сотрудниками. Эффективное отслеживание активности угроз этого типа с помощью аудита является сильным сдерживающим средством.
При формировании политики аудита нужно учитывать два аспекта:
1. Необходимо решить, какие события особенно важны для безопасности. Регистрация всех событий подряд - не лучший выбор, а просто бесполезное расходование дискового пространства, такая регистрация может вызвать много проблем при генерации отчета.
Вот рекомендация минимального перечня событий для регистрации:
все нарушения безопасности, такие как:
неавторизованный доступ к системе;
неправильный пароль;
аннулированный пароль;
неавторизованный доступ к ресурсу;
все попытки доступа к чувствительным/важным областям систем;
все выдаваемые команды безопасности, использующие административные полномочия;
все попытки доступа к ресурсам операционных систем, за исключением доступа по умолчанию.
2. Необходимо решить, как долго должны храниться записи регистрации, и составить соответствующий план хранения.