Security_metod
.pdf
11.2 Експлуатаційна безпека
Операції безпеки стосуються повсякденних практичних задач, необхідних спочатку для розгортання, а потім для підтримки безпеки системи. Всі мережі уразливі для атак, якщо під час планування, реалізації, експлуатації, та технічного обслуговування мережі не дотримуються практик операційної безпеки.
Операційна безпека починається з планування і розгортання мережі. В цей час експлуатаційна команда активно аналізує проекти, виявляє ризики та вразливості, і робить необхідні зміни. Фактичні експлуатаційні завдання починаються після налаштування мережі і включають в себе постійне щоденне обслуговування мережного середовища. Ці заходи є регулярними і дозволяють мережному середовищу, системам і додаткам продовжувати правильно і надійно працювати.
Обов'язки експлуатаційної команди стосуються всього, що дозволяє мережі, комп'ютерним системам, додаткам працювати безпечно. Ці люди, як правило, мають запобігати повторюванню проблем, зменшувати апаратні збої до прийнятного рівня, зменшувати впливи збоїв.
Для забезпечення безпечного робочого середовища в експлуатаційному відділі, наступні основні принципи мають бути інтегровані до його щоденної діяльності:
Розподіл обов'язків. Ротація обов'язків. Довірене відновлення.
Контроль за змінами та налаштуваннями.
Розподіл обов'язків
Розподіл обов'язків (Separation of duties - SoD) є однією з основних концепцій внутрішнього контролю, який іноді важко та дорого реалізувати. SoD засвідчує, що жодна людина не має контролю над двома або більше фазами угоди або операції. Відповідальність покладається на шлях, який включає в себе систему стримувань і противаг. Це створює умови, в яких навмисне шахрайство важче здійснювати, тому що воно вимагає змови двох або більше осіб.
Термін SoD добре відомий у фінансових системах. Фінансові компанії не об'єднують ролі, які стосуються отримання чеків, затвердження знижок, внесення готівкових грошових коштів. Це допомагає зменшити потенційний збиток від дій однієї людини. Схожим чином мають бути організовані ІТ-відділи, досягаючи адекватного поділу обов'язків. Є два способи застосування SoD.
Перший метод відомий як принцип контролю двох осіб. Він стверджує, що для виконання завдання потрібні дві особи, і кожна несе відповідальність за контроль та затвердження роботи іншої. Окрім надання звітності та скорочення можливостей для шахрайства, цей принцип має додаткову перевагу - зменшення помилок в конфігураціях. Через накладні витрати ця практика зазвичай використовується для обов'язків, які мають безпосереднє відношення до потенційних ризиків безпеки.
100
Другий спосіб реалізації SoD – це принцип двох операторів. За допомогою цього методу, завдання розбивається і частини завдання призначаються різним людям. Завдання не завершено, поки обидві особи не завершити кожен свою частину. Прикладом принципу двох операторів є перевірка наявності двох підписів на чеку для того, щоб банк його прийняв.
Ротація обов'язків
Ротація обов’язків означає, що людина виконує певну роботу впродовж певного часу, після чого переміщується на нове робоче місце. Для успішної реалізації цього принципу, важливо, щоб люди мали підготовку, необхідну для виконання більш ніж однієї роботи.
Експертна оцінка вбудовується до практики ротації обов'язків. Наприклад, в відділі працює п'ять чоловік, які по черзі виконують п’ять різних обов’язків, кожен протягом тижня. Після такої ротації кожна людина може зробити ефективну експертну оцінку роботи інших.
Ротація обов'язків допомагає створити сильний та гнучкий відділ, тому що кожен його співробітник здатен виконувати декілька видів робіт.
Довірене відновлення
Один з найпростіших способів компрометації системи, зробити перезапуск системи і отримати контроль над нею, перш ніж всі її функції захисту перезавантажуються. Через це довірене відновлення є одним з важливих принципів операційної безпеки. Найбільш поширеним способом підготовки до відмови є резервне копіювання даних на регулярній основі.
Резервне копіювання даних є стандартною практикою в більшості ІТвідділів. Багато програм резервного копіювання використовують обліковий запис, який обходить правила безпеки файлу. Таким чином, фізичні особи, які мають право на резервне копіювання даних можуть мати доступ до файлів, доступ до яких вони зазвичай отримати не в змозі. Те ж саме можна сказати про осіб, які мають право на відновлення даних.
Професіонали з мережної безпеки пропонують безпечну програму резервного копіювання, яка містить наступні методи:
Молодший співробітник відповідає за завантаження порожнього носія. ПЗ резервного копіювання використовує обліковий запис, який відомий тільки окремим особам.
Інший співробітник виймає носій з резервною копією, і розміщує в надійному внутрішньому сховищі з допомогою ще одного співробітника.
Окрему резервну копію два співробітники мають розмістити для збереження в зовнішньому сховищі.
Один з найпростіших способів для зловмисника отримати файл паролів, або будь-які інші дані - це отримати резервну копію даних.
101
Підготовка до можливої відмови системи є важливою частиною операційної безпеки:
Резервне копіювання важливих даних на регулярній основі.
Оцінка всіх, хто має доступ до файлів для їх резервного копіювання та типу доступу, який вони мають.
Безпечне зберігання носіїв з резервними копіями.
Контроль за змінами та налаштуваннями
Зміна визначається як подія, що призводить до нового статусу одного чи декількох елементів конфігурації. Зміни мають бути схвалені керівництвом, бути економічно ефективними, і сприяти вдосконаленню бізнес-процесів з мінімальним ризиком для ІТ-інфраструктури та безпеки.
Контроль за змінами та налаштуваннями має застосовуватися до трьох основних компонентів: процеси, призначені щоб звести до мінімуму порушення в роботі системи та мережі, резервне копіювання і відновлення, рекомендації з економного використання ресурсів та часу.
Кілька правил рекомендується виконати, щоб впевнитися, що зміни конфігурації були ефективними і були проведені безпечним чином:
Переконайтеся, що зміни здійснені впорядкованим чином з формалізованим тестуванням.
Переконайтеся, що кінцеві користувачі були повідомлені про майбутні зміни вчасно.
Проаналізуйте наслідки змін після їх реалізації.
Хоча процес керування змінами відрізняється в різних організаціях, певні закономірності можна відслідкувати. Типовий процес керування змінами складається з п'яти кроків:
Крок 1. Ініціація змін.
Крок 2. Розробка переліку запропонованих змін. Крок 3. Розробка розкладу змін.
Крок 4. Реалізація змін.
Крок 5. Звіт щодо проведених змін відповідній стороні.
Операційна безпека мінімізує шкоду мережі, надаючи зрозумілі організовані процеси для персоналу безпеки.
11.3 Планування безперервності бізнесу та аварійного відновлення
Мережа може відновитися після більшості проблем безпеки шляхом адаптації рішень безпеки. Однак це неможливо у випадку атаки, яка викликає руйнування або катастрофічне пошкодження активів. Організація повинна мати план відновлення, щоб залишитися в бізнесі в разі серйозного пошкодження або знищення мережі.
Планування безперервності бізнесу стосується дій організації у разі стихійного лиха чи тривалої перерви в наданні послуг, яка впливає на місію організації.
102
Це планування містить наступні етапи:
Фаза реагування на надзвичайні ситуації Фаза відновлення Фаза повернення до нормальної роботи
Ці фази мають містити короткі, середньострокові шаблони для продовження операцій організації. Кожна фаза також визначає обов'язки персоналу та наявні ресурси під час інциденту. Планування безперервності бізнесу може включати в себе такі плани:
Переміщення критично важливих бізнес-компонентів і людей до віддаленого місця на період ремонту.
Використання різних каналів зв'язку для взаємодії з клієнтами, акціонерами та партнерами, поки операції не повернуться до нормального стану.
Аварійне відновлення
План аварійного відновлення є частиною планування безперервності бізнесу. Аварійне відновлення - це процес відновлення доступу до даних, апаратних засобів і програмного забезпечення, необхідних для відновлення критично важливих бізнес-операцій після природного або антропогенного лиха. Він містить план для боротьби з несподіваною або раптовою втратою ключових співробітників.
Плани відновлення
При плануванні аварійного відновлення перший крок полягає у визначенні можливих типів стихійних лих і збоїв. Хороший план аварійного відновлення враховує важкість порушення, визнаючи, що існують відмінності між катастрофою, стихійним лихом і незначними інцидентами.
План дій у надзвичайних ситуаціях та план аварійного відновлення не враховують всі можливі сценарії або припущення. Вони зосереджуються на подіях, ймовірність яких висока і визначають прийнятний метод відновлення.
Надлишковість
Одним з напрямків аварійного відновлення є планування дій на випадок можливого знищення. Єдиний спосіб впоратися з цим – надлишковість, необхідна заміна зруйнованого компонента резервним.
Організація може потребувати резервного датацентру на випадок катастрофічних подій. Резервні ресурси називають гарячими, теплими, і холодними сайтами. Кожен тип об'єкту доступний за різною ціною з різними часовими показниками простою.
Гарячий сайт означає надлишковий об'єкт з майже ідентичним обладнанням. Копіювання даних до цього резервного об'єкту є частиною нормальної роботи. У разі катастрофи, тільки останні зміни даних мають бути застосовані, щоб повністю відновити операції. При цьому типі резервування на місці, організація може швидко оговтатися від пошкоджень або навіть знищення.
103
Теплий сайт означає резервне фізичне обладнання, але програмне забезпечення і дані на ньому відсутні. Команда аварійного відновлення має прийти на резервний об'єкт і привести його в робочий стан. Залежно від того, яка кількість програмного забезпечення і даних потрібні, відновлення роботи компанії може зайняти кілька днів.
Холодний сайт, це як правило, порожній центр обробки даних зі стійками, електроживленням, системою кондиціонування, але без обладнання. У цьому випадку, організація повинна спочатку придбати маршрутизатори, комутатори, міжмережні екрани, сервери та інше обладнання, щоб відновити роботу. Коли резервні копії будуть завантажені на нове обладнання, операції компанії відновляться. Цей варіант є найменш дорогим, але, як правило, потрібно кілька тижнів, щоб відновити операції.
11.4 Життєвий цикл розробки системи (SDLC)
Плани забезпечення безперервності бізнесу та аварійного відновлення – це документи, які змінюються. Вони мають змінюватися разом із середовищем, обладнанням та потребами бізнесу. Ці зміни є частиною життєвого циклу розробки системи, причому термін "система" може стосуватися як одного пристрою так і групи пристроїв, які працюють разом в мережі.
Життєвий цикл розробки системи (System Development Life Cycle – SDLC) складається з п'яти етапів:
Ініціювання. Придбання та розробка. Впровадження.
Експлуатація та технічне обслуговування. Диспозиція.
При використанні SDLC для розробки мережі, кожен етап повинен містити мінімальний набір вимог безпеки. Це призводить до менш дорогих і більш ефективних рішень безпеки порівняно із додаванням безпеки до системи після її створення.
Ініціювання
Задачі безпеки, пов'язані з початковою фазою SDLC включають:
Категоризацію безпеки - визначаються три рівні потенційного впливу на організацію або окремих осіб, якщо виникає порушення безпеки: низький, середній і високий.
Попередню оцінка ризику - первісний опис базових потреб безпеки системи, який визначається загрозами середовища, в якому система працює.
104
Придбання та розробка
Завдання безпеки, пов'язані з другою фазою SDLC:
Оцінка ризику - визначення вимог до захисту системи. Цей аналіз ґрунтується на оцінці ризику, яка була виконана на початковому етапі, але більш глибокий і конкретний.
Розгляд вартості безпеки - визначає, скільки з вартості розробки віднести до інформаційної безпеки впродовж всього життєвого циклу системи. Ці витрати включають в себе апаратні засоби, програмне забезпечення, персонал, і його навчання.
Планування безпеки - завершує документ узгоджених заходів безпеки. Цей план повністю описує інформаційну систему і містить вкладення або посилання на ключові документи, які підтримують програму інформаційної безпеки організації: план управління конфігурацією, план реагування на інциденти, правила поведінки, оцінки ризиків, тестування безпеки і оцінка результатів.
Впровадження
Завдання безпеки, пов'язані з цим етапом SDLC:
Огляд і приймання – перевірка того, що функціональність, описана в специфікації дійсно присутня в системі.
Системна інтеграція - гарантує, що система безпеки інтегрована до інформаційної системи.
Сертифікація безпеки - використовує встановлені методи і процедури перевірки. Цей крок дає адміністрації організації упевненість, що відповідні гарантії і заходи протидії присутні.
Акредитація безпеки - забезпечує необхідну авторизацію для обробки, зберігання та передачі інформації. Ця авторизація надається старшою посадовою особою організації.
Експлуатація та технічне обслуговування
Завдання безпеки, пов'язані з четвертою фазою SDLC:
Управління конфігурацією і контроль - розглядає потенційні наслідки для безпеки, викликані специфічними змінами в інформаційній системі.
Безперервний моніторинг - гарантує, що заходи контролю продовжують бути ефективними через періодичні перевірки та оцінки.
Диспозиція
Завдання безпеки, що належать до норм права стосовно поводження з об’єктами:
Збереження інформації – збереження інформації має відповідати вимогам законодавства.
Очищення носіїв - гарантує, що дані видаляються, стираються, і перезаписуються у разі необхідності.
105
Утилізація обладнання та програмного забезпечення – розпоряджати-
ся апаратним та програмним забезпеченням потрібно відповідно до вказівок співробітника служби безпеки.
11.5 Розробка комплексної політики безпеки
Політика безпеки - це набір цілей компанії у галузі безпеки, правила поведінки для користувачів та адміністраторів, а також системні вимоги. Політика безпеки – це документ, який постійно розвивається, базуючись на змінах технологій, бізнесу, і вимог працівників.
Комплексна політика безпеки має низку переваг: Демонструє прихильність організації до безпеки. Встановлює правила очікуваної поведінки.
Забезпечує узгодженість в роботі системи, програмного забезпечення та апаратних засобів, їх придбання, використання і технічного обслуговування.
Визначає правові наслідки порушень.
Дає співробітникам служби безпеки нормативну підтримку.
Політика безпеки використовується для інформування користувачів, співробітників і менеджерів щодо вимог організації із захисту технологій та інформаційних активів, визначає необхідні для цього механізми.
Політика безпеки може містити наступні складові:
Політика ідентифікації та аутентифікації - визначає уповноважених осіб, які можуть мати доступ до мережних ресурсів і процедуру перевірки їх повноважень.
Політика паролів - забезпечує відповідність паролів мінімальним вимогам і їх регулярну зміну.
Політика прийнятного використання - визначає мережні додатки і пра-
вила їх використання, прийнятні для організації. Також може зазначати наслідки порушення цієї політики.
Політика віддаленого доступу - визначає, як віддалені користувачі можуть отримати доступ до мережі і які ресурси доступні через віддалене підключення.
Політика обслуговування мережі - вказує процедури оновлення операційних систем мережних пристроїв та процедури оновлення програм кінцевих користувачів.
Процедури обробки інцидентів - Описують, як інциденти мають оброблятися.
Однією з найбільш поширених складових політики безпеки є Політика прийнятного використання. Вона визначає, що користувачам дозволено і не дозволено робити, використовуючи різні компоненти системи. Сюди входить тип трафіку, дозволеного в мережі. Ці правила мають бути явними, щоб уникнути непорозумінь. Наприклад, можуть перераховуватися конкретні сайти, групи новин, або застосунки, які заборонені для доступу з комп'ютерів компанії.
106
Аудиторією для політики безпеки є кожен, хто має доступ до мережі. Внутрішня аудиторія включає різний персонал, наприклад, менеджерів і керівників відділів, технічний персонал і службовців. Зовнішня аудиторія включає партнерів, клієнтів, постачальників, консультантів і підрядників. Співробітникам часто потрібно більше інформації про те, чому конкретні правила безпеки є необхідними. Якщо вони розуміють причини правил, вони, швидше за все, будуть їх дотримуватися.
11.5.1 Структура політики безпеки
Більшість корпорацій використовують наступний набір програмних документів для задоволення своїх широких і різноманітних потреб:
Адміністративна політика – керівні принципи безпеки, важливі для всієї компанії. Цільова аудиторія - менеджери та технічні співробітники. Адміністративна політика контролює всі взаємодії, пов'язані з безпекою, між підрозділами компанії.
Технічна політика - використовується персоналом відділу безпеки, який виконує обов'язки щодо організації безпеки системи. Ця політика є більш докладною, ніж адміністративна, стосується конкретної системи або конкретних питань. Наприклад, контроль доступу і питання фізичної безпеки описані в технічній політиці.
Політика для кінцевого користувача - охоплює всі теми безпеки, які важ-
ливі для кінцевих користувачів. Кінцеві користувачі – це співробітники, клієнти і будь-які інші індивідуальні користувачі мережі.
Адміністративна політика
Адміністративна політика описує загальні цілі безпеки компанії для менеджерів і технічного персоналу. Вона містить декілька компонентів:
Висловлювання, які визначають, кому адресована політика. Як політика застосовується в середовищі.
Ролі та обов'язки осіб, які визначаються цією політикою. Дії та процеси, які дозволяються (і не допускаються). Наслідки недотримання політики.
Технічна політика
Технічна політика містить докладні документи, які використовуються технічним персоналом у виконанні їх щоденних обов'язків з питань безпеки. Така політика стосується конкретної системи або конкретних питань, наприклад, питання фізичної безпеки маршрутизатора. Вона описує те, що технічний персонал робить, але не описує як він має виконувати свої функції.
Технічна політика поділена відповідно до зазначених технічних областей, в тому числі:
Політика використання телефонного зв’язку.
Політика використання електронної пошти та комунікацій. Політика віддаленого доступу.
107
Мережна політика.
Політика використання додатків. Політика бездротового зв’язку.
Політика для кінцевого користувача
Політика для кінцевого користувача охоплює всі правила інформаційної безпеки, які мають знати і яких мають дотримуватися кінцеві користувачі. Політика для кінцевих користувачів може перетинатися з технічною політикою, але може також містити:
Політику ідентифікації - визначає правила і практики для захисту мережі організації від несанкціонованого доступу.
Політику паролів - Паролі є важливим аспектом комп'ютерної безпеки. Політика паролів визначає правила, яких всі користувачі повинні дотримуватися при створенні та захисті своїх паролів.
Антивірусна політика - визначає стандарти для захисту мережі організації від будь-якої загрози, пов'язаної з вірусом, хробаком або троянським конем.
Кілька різних цільових груп вимагають різних політик для кінцевого користувача. Наприклад, політика для співробітника, ймовірно, буде відрізнятися від політики для клієнта.
11.5.2 Документи політики безпеки
Політика безпеки – це описовий документ високого рівня. Співробітники служби безпеки використовую докладні документи для реалізації політики безпеки. До таких документів відносяться стандарти, керівні принципи і опис процедур.
Стандарти, керівні принципи і опис процедур містять деталі положень, визначених в політиці. Кожен документ виконує власну функцію, охоплює різні характеристики, і націлений на певну аудиторію. Поділ цих документів полегшує їх оновлення і підтримку.
Стандарти
Стандарти допомагають ІТ-персоналу підтримувати узгодженість в операціях з мережею, допомагають ІТ-персоналу підвищити ефективність і простоту проектування, обслуговування та усунення несправностей.
Один з найважливіших принципів безпеки - послідовність. З цієї причини необхідно, щоб організація встановила стандарти. Кожна організація розробляє стандарти для підтримки свого унікального операційного середовища. Наприклад, якщо організація підтримує 100 маршрутизаторів, важливо, щоб всі 100 маршрутизатори були налаштовані за встановленими стандартами. Стандарти конфігурації пристрою визначені в технічному розділі політики безпеки організації.
108
Керівні принципи
Керівні принципи - це перелік рекомендацій щодо більш ефективної і безпечної роботи. Вони подібні до стандартів, але є більш гнучкими і, як правило, не є обов'язковими.
Деякі з найбільш корисних рекомендацій можна знайти в репозиторіях організацій з питань безпеки в розділі «Кращі практики».
Опис процедур
Опис процедур - документи довші і докладніші, ніж стандарти і рекомендації. Опис процедур містить деталі реалізації, які, як правило, включають покрокові інструкції та графіки.
11.6 Ролі та відповідальність
Всі особи, в організації, окрім головного виконавчого директора (CEO) вважаються кінцевими користувачами мережі і повинні дотримуватися політики безпеки організації. Розробка і підтримка політики безпеки покладається на співробітників, які виконують конкретні ролі в ІТ-відділі.
Програма, спрямована на усвідомлення необхідності заходів безпеки
Технічна, адміністративна та фізична безпека легко порушуються, якщо спільнота кінцевих користувачів не дотримується політики безпеки. Керівництво має розробити програму, яка тримає всіх в курсі питань безпеки і виховує співробітників для співпраці в питаннях підтримки безпеки даних.
Програма з роз’яснювання питань безпеки відображає бізнес-потреби організації, вона інформує користувачів про їх відповідальність у питаннях ІТбезпеки і пояснює правила поведінки під час використання ІТ-систем і даних в компанії. Ця програма повинна пояснювати всі політики і процедури ІТбезпеки. Така програма має вирішальне значення для фінансового успіху будьякої організації. Вона поширює інформацію про те, що всі кінцеві користувачі повинні поводитися таким чином, щоб захищати організацію від втрати інтелектуального капіталу, критично важливих даних і навіть фізичного обладнання. Програма роз’яснювання питань безпеки також докладно описує санкції, які організація накладає за недотримання правил.
Програма, спрямована на усвідомлення необхідності заходів безпеки, як правило, має дві основні складові:
Інформаційні кампанії – дозволяють звернути увагу різних аудиторій користувачів на питання безпеки. Можуть використовуватися лекції, відео, статті, постери, банери, кавові чашки, блокноти, т.і.
Навчання та освіта – прагне дати необхідні навички безпеки як користувачам, які працюють в ІТ-відділі, так і кінцевим користувачам.
Успішна реалізація такої програми помітно знижує несанкціоновані дії інсайдерів, підвищує ефективність існуючих механізмів контролю, а також допомагає боротися з розтратами, шахрайством та зловживанням ресурсами інформаційної системи.
109