Политика безопасности и принципы построения системы обеспечения безопасности (СОБ) корпоративной сети. Общие сведения о локальной и доменной политиках безопасности

Политика безопасности и принципы построения системы обеспечения безопасности (соб) корпоративной сети

Политика безопасности и принципы построения системы обеспечения безопасности (СОБ) корпоративной сети. Общие сведения о локальной и доменной политиках безопасности

Система обеспечения безопасности СОБ представляет собой единую совокупность организационных (административных) мер, правовых и морально-этических норм, программно-аппаратных средств, направленных на противодействие угрозам сети с целью сведения до минимума возможного ущерба пользователям и владельцам сети. Обеспечение безопасности конкретной сети должно осуществляться с учетом конкретных особенностей: назначения, топологии, особенностей конфигурации, потоков информации, количества пользователей, режима работы и т.д.

Формирование СОБ корпоративной сети базируется на политике безопасности (способе управления доступом) – наборе законов, правил и практических рекомендаций, реализуемых с помощью различных мер, норм и средств защиты. Для конкретной организации и ее сети политика безопасности должна быть индивидуальной, учитывающей указанные выше особенности. Ее реализация осуществляется с помощью средств управления механизмами защиты.

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов сети к ее объектам.

Субъект– это активный компонент сети, являющийся причиной потока информации или изменения состояния сети. Объект– пассивный компонент сети, выполняющий функции хранения, приема или передачи информации.

Доступ к объекту подразумевает доступ к содержащейся в нем информации.

Различают два вида политики безопасности: избирательную и полномочную.

В основе избирательной политики безопасности лежит избирательное управление доступом, подразумевающее, что все субъекты и объекты сети идентифицированы, а права доступа субъекта к объекту определяются некоторым правилом (свойством избирательности). Наибольшее применение избирательная политика получила в коммерческом секторе, поскольку ее реализация практически отвечает требованиям коммерческих организаций по разграничению доступа, а также имеет небольшие накладные расходы и стоимость.

Полномочная политика безопасности основана на использовании полномочного управления доступом, для которого характерны следующие: субъекты и объекты сети также идентифицированы; каждому объекту присваивается метка критичности, определяющая ценность, уровень приоритета содержащийся в нем информации; каждому субъекту присваивается уровень прозрачности (уровень доступа), определяющий максимальное значение метки критичности объектов, к которым субъект имеет право доступа. Условие защиты звучит так: субъект может выполнять любую операцию над объектом только в том случае, если его уровень доступа не ниже метки критичности объекта. Основное назначение такой политики – регулирование доступа субъектов сети к объектам с различным уровнем критичности, предотвращение утечки информации с верхних уровней на нижние, блокирование возможных проникновений с нижних уровней на верхние. Полномочная политика безопасности изначально была разработана в интересах МО США для обработки информации с различными грифами секретности. В коммерческом секторе ее применение сдерживается отсутствием в коммерческих организациях четкой классификации хранимой в ККС информации (подобной государственной классификации), а также высокой стоимостью реализации и большими накладными расходами.

Помимо управления доступом субъектов к объектам сети, проблема защиты информации имеет еще один аспект: необходимость разработки правил, регулирующих управление информационными потоками в сети.

Необходимо определять, какие информационные потоки в сети являются «легальными», не ведущими к утечке информации, и какие «нелегальными», таящими в себе опасность утечки информации.

Управление информационными потоками обычно применяется в рамках избирательной или полномочной политики, дополняя их и повышая надежность СОБ.

Таким образом, избирательное или полномочное управление доступом и управление информационными потоками составляют основу формирования и функционирования СОБ корпоративной сети.

Очевидно, что все средства, отвечающие за реализацию политики безопасности, сами должны быть защищены от любого вмешательства в их работу, так как в противном случае трудно говорить о надежности защиты.

Политика безопасности и механизмы поддержки ее реализации образуют единую защищенную среду, имеющую иерархическую структуру: ее верхние уровни представлены требованиями политики безопасности, затем следует интерфейс пользователя, далее – несколько программных уровней защиты (включая уровни операционных систем), и, наконец, на нижнем уровне этой структуры располагаются аппаратные средства защиты.

При построении СОБ корпоративной сети принципиально возможен выбор одной из двух концепций:

— создание надежной СОБ на базе каналов связи и средств коммутации территориальной сети связи (ТСС) общего пользования, в которой применяются протоколы Internet. Использование этой концепции связано с большими затратами на обеспечение надежной защиты при подключении ККС к Internet;

— создание СОБ на базе специализированной или выделенной сети связи ККС с использованием конкретной сетевой технологии, в частности FR, ATM, ISDN. Здесь предлагается отказаться от средств, услуг и технологий Internet, убедительно доказавших свою жизнеспособность и эффективность.

Эти концепции представляют полярные взгляды на решение проблемы обеспечения безопасности ККС. Очевидно, что решение этой проблемы представляет собой некоторый компромисс между этими концепциями.

Компромиссное решение по созданию СОБ корпоративной сети, использующей средства, услуги и технологии Internet, может базироваться на двух основных принципах:

— использование закрытого протокола при установлении соединения «клиент-сервер», обеспечивающего защищенное взаимодействие абонентов по виртуальному каналу связи;

— доступность открытых протоколов Internet для взаимодействия по защищенному виртуальному каналу после установления соединения.

В рамках указанных концепций создания СОБ корпоративной сети возможны два подхода к обеспечению безопасности ККС: фрагментарный и комплексный.

Главной отличительной особенностью фрагментарного подхода является отсутствие единой защищенной среды.

Такой подход ориентируется на противодействие строго определенным угрозам при определенных условиях, например, использование специализиро-ванных антивирусных средств или автономных средств шифрования.

Фрагментарные меры защиты обеспечивают эффективную защиту только конкретных объектов ККС от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты. Естественно, что фрагментарный подход имеет ограниченные области применения.

Для комплексного подхода отличительной особенностью является создание защищенной среды передачи, приема, хранения и обработки информации, объединяющей разнородные меры и средства противодействия угрозам безопасности.

Эта среда строится на основе разработанной для конкретной ККС политики безопасности, что позволяет гарантировать определенный уровень безопасности. Недостатки комплексного подхода: сложность управления, ограничения на свободу действий пользователей сети, высокая чувствительность к ошибкам установки и настройки средств защиты.

Области применения такого подхода неизмеримо шире. Он применяется для создания СОБ крупных ККС (где нарушение безопасности информации может принести огромный материальный ущерб) или небольших ККС, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи.

Комплексный подход реализуется большинством государственных и крупных коммерческих предприятий и учреждений. Он нашел свое отражение в различных стандартах и целенаправленно проводится в жизнь.

:

Источник: http://csaa.ru/politika-bezopasnosti-i-principy-postroenija/

Политика информационной безопасности — опыт разработки и рекомендации

Политика безопасности и принципы построения системы обеспечения безопасности (СОБ) корпоративной сети. Общие сведения о локальной и доменной политиках безопасности

В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети. Здесь вы сможете найти ответы на вопросы:

  • для чего нужна политика информационной безопасности;
  • как ее составить;
  • как ее использовать.

Необходимость наличия политики ИБ

В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.

Понимание целей и задач подразделения информационной безопасности

Прежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.

Требования политики — основание для внедрения защитных мер

Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)

Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя.

Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.

При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:

  • почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
  • кто это все придумал

Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток. При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?

Рекомендации по разработке политики ИБ

При разработке политики следует помнить о двух моментах.

  • Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
  • Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.

Конечный документ должен удовлетворять следующим требованиям:

  • лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
  • доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)

Каким образом этого добиться? На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное. Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке. Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.

Анализ политик ИБ существующих компаний

ОАО «Газпромбанк» — www.gazprombank.ru/upload/iblock/ee7/infibez.pdf
АО «Фонд развития предпринимательства „Даму“ — www.damu.kz/content/files/PolitikaInformatsionnoyBezopasnosti.pdf
АО НК „КазМунайГаз“ — www.kmg.kz/upload/company/Politika_informacionnoi_bezopasnosti.pdf
ОАО „Радиотехнический институт имени академика А. Л. Минца“ — www.

rti-mints.ru/uploads/files/static/8/politika_informacionnoy_bezopasnosti_rti.

pdf

Полезное количество страниц* Загруженность терминами Общая оценка
ОАО „Газпромбанк“11Очень высокаяСложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО „Фонд развития предпринимательства “Даму»14ВысокаяСложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит
АО НК «КазМунайГаз»3НизкаяПростой для понимания документ, не перегруженный техническими терминами
ОАО «Радиотехнический институт имени академика А. Л. Минца»42Очень высокаяСложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц

* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации

Резюме

Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.

Внедрение и использование политики ИБ

После утверждения политики ИБ необходимо:

  • ознакомить с политикой всех уже работающих сотрудников;
  • ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
  • проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
  • принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
  • разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
  • не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.

По вопросам и предложениям добро пожаловать в комментарии и личку.

UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).

Вопрос %username%

Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры». Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.

Ответ bugaga0112358

Я бы здесь пошел по пути именно анализа процессов. Допустим, антивирусная защита. По логике долно быть так. Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают. Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.

Вопрос %username%

Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?

Ответ bugaga0112358

Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007. В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.

Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.

Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников. То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское. Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя. В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить. Итого, у вас появляется необходимость ознакомить юзера с двумя документами:

  • политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
  • этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)

Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).

  • информационная безопасность
  • управление рисками
  • политика безопасности

Хабы:

  • Информационная безопасность

Источник: https://habr.com/ru/post/174489/

Методы защиты локальной сети

Политика безопасности и принципы построения системы обеспечения безопасности (СОБ) корпоративной сети. Общие сведения о локальной и доменной политиках безопасности

По утверждениям IT-специалистов, процесс построения локальной сети — это лишь третья часть работы по конструированию. Второй этап — проведение настройки конфигурации, первый — обеспечение безопасности локальной сети. Каждому предприятию необходимо сохранить приватность сведений, которые передаются по разным каналам или находятся на хранении внутри самой корпоративной системы.

Почему необходимо обеспечить безопасность?

Цели во многом зависят от индивидуальной ситуации. Но можно выделить три основные, характерные для всех случаев.

  1. Предотвращение любых попыток изменить информацию, сохранение ее в неизменном виде.
  2. Обеспечение конфиденциальности всех занесенных данных.
  3. Доступность всех действий и сохранение возможности проводить операции.

Обеспечение неизменности гарантирует, что в случае, если произойдет вторжение злоумышленников внутрь операционной системы ПК, файлы не подвергнутся уничтожению. Также невозможно изменение их содержимого и подмена исходных файлов.

К конфиденциальной информации относятся следующие сведения:

  • сведения, которые составляют коммерческую тайну;
  • личные данные санкционированных пользователей;
  • список логинов, паролей;
  • документация, находящаяся во внутреннем пользовании фирмы;
  • бухгалтерские отчеты;
  • сохраненные рабочие переписки;
  • кадры фото и видеосъемки, наблюдений;
  • иная важная информация.

Подобные файлы представляют особый интерес для преступников и конкурентов, так как могут использоваться не только для хищения финансовых средств, но и с целью обнародования данных в личных целях.

При выполнении действий по защите возникает еще одна проблема: обеспечение доступности. Серверы, принтеры, рабочие станции, критические файлы и иные ресурсы должны находиться в состоянии круглосуточного доступа для всех пользователей.

Как киберпреступники взламывают локальные сети

Для того чтобы иметь возможность выполнять произвольный код, добывать нужную информацию, дискредитировать сайты своих «жертв», бывает достаточно проникнуть за внешний периметр локальной вычислительной сети. Это становится возможным по ряду причин:

  • неправильная политика управления учетными записями и паролями;
  • уязвимости используемого программного обеспечения, применение устаревших веб-приложений;
  • недостаток знаний сотрудников, не являющихся программистами, в области информационной безопасности;
  • неправильная политика разграничения доступа между различными пользователями.

Вопреки распространенному мнению, хакеры довольно редко пользуются недостаточно изученными «уязвимостями нулевого дня», а предпочитают действовать гораздо более простыми методами.

Так, используя протоколы Telnet, SSH, RSH, RDP и специальное программное обеспечение вроде Radmin и Hydra злоумышленники проводят атаки на подбор учетных данных. Иногда не спасает даже фильтрация IP-адресов: умелые хакеры знают, как ее обойти.

Да и сами системные администраторы часто используют слишком простые, примитивные логины и пароли — подобрать их можно с помощью словаря.

Атака на локальные сети предприятий может проводиться и через скомпрометированные административные учетные записи. Так, изменив расширение, можно загрузить веб-консоль и выполнять удаленно произвольный код.

Еще одной возможностью для злоумышленника являются SQL-инъекции. С помощью этого вносятся определенные изменения в базу данных, что позволяет получить административные права или совершить другие противоправные действия.

Наилучшего результата хакеры часто достигают с помощью методов социальной инженерии. Например, злоумышленник может позвонить сотруднику банка, и представившись сотрудником службы поддержки, выведать желаемые логины и пароли.

Часто в дополнение к этому используется фишинг, когда просят перейти на веб-сайт злоумышленника, как две капли воды похожий на официальный ресурс.

Методики защиты

Все меры по обеспечению безопасности должны быть предварительно проработаны, сформулированы в виде плана. Один из самых важных моментов — профилактика возникновения форс-мажорных ситуаций.

Для обеспечения защиты создаются физические препятствия к проникновению злоумышленников к аппаратуре. Устанавливается контроль над всеми ресурсами системы.

Криптографическое преобразование информации с целью маскировки проводится при передаче ее по линиям связи на большие расстояния.

Заключительный этап — создание свода правил безопасности, принуждение всех сотрудников организации к их исполнению.

Программные инструменты

Главным образом обеспечение безопасности локальных сетей зависит от программных средств. К таковым относятся:

  1. Межсетевые экраны. Это промежуточные элементы компьютерной сети, которые служат для фильтрации входящего и исходящего трафика. Риск несанкционированного доступа к информации становится меньше.
  2. Прокси-серверы. Производят ограничение маршрутизации между глобальной и локальной частями сети.
  3. VPN. Позволяют передавать информацию по зашифрованным каналам.
  4. Разные наборы протоколов, которые нужны для создания защищенного соединения и установления контроля над элементами локальной сети.

Эти приложения, встроенные в оперативную систему и специализированные, шифруют данные. Данные разграничивают потоки информации.

Комплексная защита

Наша компания создала решение, обеспечивающее полный контроль за локальными сетями. Это ИКС — межсетевой экран, снабженный всеми необходимыми функциями для защиты сети.

Использование локальных сетей сопряжено с многочисленными рисками взлома внешнего периметра, порчи информации и кражи конфиденциальных данных. Для этого злоумышленники пользуются многочисленными приемами: подбирают пароли к учетным записям администратора и СУБД, эксплуатируют веб-уязвимости, используют недостатки устаревшего программного обеспечения и методы социальной инженерии.

Как ИКС защищает локальные сети

Для защиты локальной сети от внешних атак необходимо использовать специальное программное обеспечение — ИКС-сервер.

В этот программный комплекс включается сертифицированный сетевой экран, антивирус, детектор атак Suricata, шифровальщики туннелей и многое другое.

В нем есть функции проверки целостности своего программного кода и восстановления его после сбоев, например, после хакерских и вирусных атак. Все события безопасности тщательно регистрируются для их дальнейшего анализа и принятия соответствующих выводов.

Предприятия малого и среднего бизнеса используют ИКС-сервер для защиты ЛВС не только от внешних вторжений, но и от утечки информации, намеренно организованной сотрудниками.

Источник: https://xserver.a-real.ru/support/useful/metody-zashchity-lokalnoy-seti/

Водителю
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: