Политика безопасности Выполнила Шилова О. И-411 Общим принципом политики сетевой безопасности в Компании является запрет всех видов доступа и всех действий, которые не разрешены явно данной политикой. 1 Введение - Политика безопасности состоит из: политики для работы в отдельной сети политики для работы в межсетевой среде. Термин межсетевая среда (интернет) применяется когда более чем одна сеть соединены между собой и две или более сетей могут обмениваться данными между собой. Сетевая часть политики описывает подход к обеспечению безопасности для одной сети, независимо от того, присоединена она к интернету или нет. Межсетевая часть политики описывает подход к проблеме безопасности в любой сети, соединенной с другой сетью, независимо от того, осуществляется ли это соединение через одну ЛВС, группу ЛВС или глобальную сеть. Определения Узел сети - это наименьшая сетевая компонента, это машина или устройство, которое имеет уникальный сетевой адрес. Он может быть большим - файловым сервером, или маленьким - принтером, выдвигается только одно требование уникальный адрес в сети. Сетевой протокол - это набор правил и соглашений, посредством которых сетевые узлы взаимодействуют друг с другом и с интернетами. Реализация политики Эта часть политики описывает границы ответственности и отчетности при претворении в жизнь политики. Она определяет ответственных за реализацию политики после того, как описывает лиц в организации, к которым она применима. Каждое должностное лицо и служащий Компании, который администрирует или использует сетевые ресурсы Компании, отвечает за строгое соблюдение данной политики. Каждый человек должен обязательно сообщать о подозреваемых или реальных уязвимых местах в безопасности своему непосредственному начальнику. В Компании имеется своя группа улаживания инцидентов с компьютерной безопасностью (ГУИКБ). Подразделениям рекомендуется организовать свои ГУИКБ для более быстрого выявления уязвимых мест в защите и устранения их. Область действия Эта политика применима: ко всем подразделениям Компании к ее офисам ко всем спонсорам и деловым партнерам Компании. Ответственность за выполнение политики безопасности возлагается на начальника службы безопасности Компании, кто может в свою очередь переложить часть этой ответственности на других лиц из верхнего звена управления. 2 Описание политики Сети Интернеты состоят из сетей, поэтому политика безопасности, в равной степени применима ко все сетевым компонентам Компании. Сеть, которая не является частью интернета, не имеет периметра обороны, но соблюдение требований внутренней сетевой политики требуется для всех сетей. Сеть не содержит в себе точки риска и поэтому является самой защищенной сущностью. Интересы организации Сетевые ресурсы Компании существуют лишь для того, чтобы поддерживать деятельность организации. Начальники отделов должны препятствовать некорректному использованию сетевых ресурсов для личных целей, для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там где оно повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела. Принцип “знай только то, что ты должен знать для работы” Доступ к информационным ценностям Компании не будет осуществлен, если не будет необходимости знать эту информацию. Это значит, что очень критическая информация должна быть защищена и раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Выявление необходимости сотруднику знать какую-либо информацию осуществляется младшими начальниками , а ответственность за реализацию принятых решений возлагается на сетевых администраторов в рамках его ответственности. Споры и конфликты будут разрешаться комитетом по безопасности, но доступ к информации, явившейся предметом конфликта, будет запрещен до окончания разрешения конфликта. Обмен данными Одним из основных показателей значимости сетевых ресурсов является быстрый и точный обмен данными, а также уничтожение избыточных и устаревших данных. Неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения ( вирусов и т.д.). Запрещено вносить данные, полученные вне сетевой инфраструктуры Компании без тщательной проверки на отсутствие источников ее порчи. Аутентификация Доступ к любой информационной ценности Компании не должен осуществляться без соответствующей аутентификации Руководители подразделений могут принять решение предоставить публичный доступ к некоторой информации Компании для ее рекламы и продвижения на рынке. Эти службы не требуют аутентификации или имеют слабую аутентификацию. Но если информация раскрывается вне Компании, то это нужно делать не через сеть, а нужно осуществлять через интернет с использованием соответствующих средств защиты. Межсетевой обмен Определение периметра Невозможно адекватно защитить информационные ценности компании без знания каждой точки риска и выработки соответствующих мер защиты. Для целей этой политики периметр определяется как совокупность всех точек соединения с ближайшими соседями в интернете. Точка риска - это точка соединения, а из этого следует, что риск существует только в месте самого соединения. Точки риска возникают в каждой точке соединения с сетью или узлом, не входящим в состав ЛВС. Точка риска Этот термин выбран вместо точки атаки, так как последняя предполагает преступную деятельность с другой стороны соединения. Компрометация или искажение информации часто не являются результатом преступной деятельности, хотя результат может оказаться таким же. В каждой точке доступа к интернету должно быть реализовано управление доступом, независимо от того, является ли она соединением с интернетом или модемом. Другая точка риска - это туннелирование. Туннелирование - это технология, посредством которой информация одного протокола инкапсулируется в другом протоколе для транспортировки и распаковывается в свой обычный протокол в месте назначения. Управление доступом Когда точка риска соединяет две сущности с эквивалентными привилегиями доступа, она может быть объявлена доверенным соединением, при условии, что все точки риска в обоих интернетах находятся между сущностями с эквивалентными привилегиями доступа. Если существует точка риска с сущностью с меньшими привилегиями доступа, то всем присоединенным интернетам назначается уровень привилегий, равный низшему уровню точки риска. Привилегии доступа точки риска могут быть повышены соответствующей фильтрацией или аутентификацией. Фильтрация включает запрет взаимодействия с узлами, имеющими более низкий уровень привилегий, чем тот, что у интернета с другой стороны точки риска. Обмен данными Должно уделяться достаточное внимание тому, какие данные импортируются из или экспортируются в интернеты различных уровней привилегий. Допустимо экспортировать данные из интернета с низким уровнем привилегий в сеть с высоким уровнем привилегий, если известно, что данные не представляют риска компрометации или искажения для интернета-получателя. Допустимо экспортировать данные из интернета с высокими привилегиями в интернет с низкими привилегиями, если уровень привилегий сети назначения выше или равен уровню привилегий, требуемому для доступа к данным. Аутентификация Традиционные идентификатор пользователя и пароль не очень сильная технология, так как она уязвима. Более сильные технологии включают процессы, которые менее уязвимы к компрометации. Это могут быть одноразовые пароли, которые никогда не используются снова. Одноразовые пароли могут генерироваться программой и печататься на листах бумаги или они могут генерироваться смарт-картами на основе текущего времени и даты, случайных чисел, или других методов, приводящих к получению уникального пароля. Усиленная аутентификация может быть реализована с помощью технологии запрос-ответ. Сервер аутентификации Компания требует наличия безопасного сервера аутентификации для протоколирования верификации попыток аутентификации и их результатов. Сервер аутентификации должен размещаться в интернете, к которому не должно быть доступа с других интернетов с целями, отличными от обработки событий, связанных с аутентификацией. Серверу аутентификации разрешается посылать уведомления об инцидентах с безопасностью информации по электронной почте для последующего анализа их администратором безопасности. Доступ к Интернету При подключении Компании к Интернету она получает значительные выгоды при ведении своей деятельности, но также подвергается при этом большому риску. Компания придерживается политики быть членом Интернета, и поэтому эта часть описывает, как уменьшить риск, связанный с Интернетом. Разрешенные службы Компания поддерживает и поощряет свободный обмен электронной почтой между своими служащими и их корреспондентами в Интернете. Компания поддерживает свободный обмен статьями конференций новостей с другими узлами Интернета. Реальная транспортировка этих статей в и из Компании должна быть ограничена небольшим числом доверенных соседей-серверов новостей, другой обмен статьями конференций запрещен. Администраторы безопасности отвечают за поддержание целостности периметра между интернетами Компании и Интернетом. Они должны использовать все доступные средства для предотвращения несанкционированного доступа в интернеты Компании и всеми силами отражать любую форму атаки на периметр обороны. 3 Выводы Этот документ описывает политику сетевой безопасности в Компании. Он распределяет ответственность за ее реализацию и поддержание между конкретными должностными лицами. Она определяет обязанности каждого служащего Компании в отношении использования сетевых ресурсов и необходимости сообщать об уязвимых местах в системе защиты. Она также устанавливает, что общей политикой является - запрещено все, что явно не разрешено. Комитет по безопасности отвечает за доработку этого документа по мере того, как потребность в безопасности и технологии сетевого взаимодействия будут меняться. Директивы, содержащиеся здесь, должны быть интерпретироваться как приказ директора Компании. Спасибо за внимание!