Для обеспечения гарантий защищенности систем
Резюме
Для обеспечения гарантий защищенности систем и сети нужно определить правила согласования и внедрения, в которых разъясняются меры, принимаемые при нарушениях правил безопасности. Правила согласования и внедрения выходят за рамки технической сферы, в которой работает большинство профессионалов в области безопасности. Разработка этих правил требует знания различных корпоративных правил, а также соответствия различным законам, включая закон об интеллектуальной собственности, трудовое законодательство и, возможно, уголовное право.
- 1. Тестирование и эффективность правил.
- Согласование является весьма субъективным процессом. В этом разделе правила охватывают процессы сбора статистики и составления отчетов.
- Руководство должно поощрять проведение обучения по вопросам безопасности, чтобы каждый сотрудник организации понимал правила безопасности и их влияние на производственные процессы.
- В правила можно включить положение об обычных мерах, используемых для тестирования правил на их эффективность.
- 2. Публикация документов правил и требования по уведомлению.
- В правилах публикации нужно регламентировать публикацию документов и записать требования по уведомлению о сроках публикации.
- В этих правилах необходимо также указать, кто будет отвечать за эту работу.
- 3. Мониторинг, средства управления и меры наказания.
- Первый шаг по созданию правил мониторинга заключается в определении прав организации на наблюдение.
- Правила управления утверждают право организации на внедрение алгоритмов, позволяющих встроить в систему определенные средства управления. Кроме того, необходимо определить состав лиц, которые будут заниматься администрированием и тестированием этих средств управления.
- В правилах необходимо утвердить разработанные инструкции по назначению наказаний. Они не должны вызывать вопросов о том, имеет ли организация право применять меры наказания при нарушениях правил безопасности.
- Правила должны охватывать незаконную деятельность, осуществляемую внутренними пользователями и внешними взломщиками.
- 4. Обязанности администраторов.
- В правилах администрирования могут быть также отражены административные обязанности, которые являются обязанностями лиц, ответственных за данные или за технологию, а также - обязанности пользователей. Эти правила охватывают вопросы административного согласования и внедрения, которые не входят в сферу административного управления.
- Правила, определяющие действия, когда служащий или подрядчик разрывает трудовое соглашение с организацией, и устанавливающие круг лиц, которые несут ответственность за своевременное аннулирование права доступа, освобождение ресурсов, выделенных этому пользователю, выявление в пользовательских ресурсах нарушений безопасности и других ошибок, а также за архивное хранение пользовательских файлов и других данных.
- 5. Соображения по регистрации событий.
- Один из методов, применяемых администраторами при наблюдении за работой системы, заключается в проверке журналов, которые создаются в системе и в основных пакетах программного обеспечения.
- В журналах, создаваемых этими компонентами, фиксируются все операции, которые пользователи выполняют в системе или сети, а также фиксируются все ошибочные и успешные попытки доступа к системе.
- Правила регистрации довольно сложны, поскольку невозможно составить общую формулировку, подходящую для любой конфигурации системы. Может быть непрактично регистрировать каждую операцию, выполняемую в компьютерной системе, но необходимо обеспечить поддержку сервисных систем, обслуживающих базы данных. В правилах может быть сказано, что в журналы должны заноситься все важные события, но кто может сказать, какие события являются "важными" для каждой сети и системы?
- В правилах регистрации событий нужно еще описать, как должна обрабатываться информация из журналов.
- Правила обновления журналов могут меняться в зависимости от рода деятельности организаций, а также от разновидности журналов.
- 6. Отчетность о нарушениях безопасности.
- Отчеты об инцидентах могут приходить из нескольких источников. Проблемы с защитой обнаруживают администраторы, и для того, чтобы пользователи могли фиксировать нарушения, они должны иметь правила, определяющие, как это делать.
- В правилах устанавливаются требования по отчетности для администраторов и пользователей.
- В большинстве организаций довольно болезненно воспринимают ситуации, когда полиция стучится к ним в дверь по поводу каких-то проблем.
- В правила работы с открытыми широковещательными отчетами необходимо включить методы разделения информации: какую информацию считать достоверной, а какую проверять.
- После сообщения об инциденте собираются улики, и применяются правовые санкции, базирующиеся на этом сообщении. Недостаточно просто сообщить о том, что что-то произошло. Если в ходе расследования инцидента установлено, что требуется применить меры наказания, которые могут ограничиваться дисциплинарными мерами или применением мер, предусмотренных законодательством, то в правилах должны быть описаны требования по обработке этих улик.
- 7. Соображения, касающиеся действий после совершения компьютерных преступлений.
- Бороться с компьютерными преступлениями довольно нелегко. Несмотря на то, что некоторые правоохранительные органы пытаются обучиться работе на этом новом фронте, кажется, пока только ФБР имеет достаточно ресурсов, необходимых для расследования некоторых преступлений.
- Перед разработкой правил может возникнуть желание связаться с местным бюро расследований или периферийным отделением ФБР, чтобы выяснить их требования, касающиеся отчетности организации о преступлениях.
- Чтобы успешно расследовать компьютерные преступления, очень важно сохранить улики, чтобы доказать факт совершения преступления — с учетом требований правоохранительных органов и государственных прокуроров, которые будут преследовать злоумышленников в судебном порядке. Возможно, прежде чем разрабатывать правила, нужно будет проконсультироваться с местным окружным прокурором или Генеральным Прокурором, чтобы выяснить требования по предоставлению улик.