Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.
Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.
1. Межсетевой экран (файрвол, брэндмауэр)
Брандмауэр или файрвол - это первая линия обороны, которая встречает непрошенных гостей.
По уровню контроля доступа выделяют следующие типы брэндмауэра:
- В простейшем случае фильтрация сетевых пакетов происходит согласно установленных правил, т.е. на основе адресов источника и назначения сетевых пакетов, номеров сетевых портов;
- Брэндмауэр, работающий на сеансовом уровне (stateful). Он отслеживает активные соединения и отбрасывает поддельные пакеты, нарушающие спецификации TCP/IP;
- Файрвол, работающий на прикладном уровне. Производит фильтрацию на основе анализа данных приложения, передаваемых внутри пакета.
Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.
2. Виртуальные частные сети (VPN)
Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.
К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.
3. Системы обнаружения и предотвращения вторжений (IDS, IPS)
Система обнаружения вторжений (IDS - англ.: Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.
Система предотвращения вторжений (IPS - англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.
4. Антивирусная защита
Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители - сегмент среднего и малого бизнеса.
Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.
5. Белые списки
Что из себя представляют "белые списки"? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в "черный список". Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в "белый список", а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы , так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.
Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.
6. Фильтрация спама
Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Пользователи, которые ежедневно обрабатывают большое количество электронной почты, более восприимчивы к фишинг-сообщениям. Поэтому задача ИТ-отдела компании - отфильтровать максимальное количество спама из общего потока электронной почты.
Основные способы фильтрации спама:
- Специализированные поставщики сервисов фильтрации спама;
- ПО для фильтрации спама на собственных почтовых серверах;
- Специализированные хардварные решения, развернутые в корпоративном дата-центре.
7. Поддержка ПО в актуальном состоянии
Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности - важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.
8. Физическая безопасность
Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.
Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.
Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.
Защита информации наиболее эффективна, когда в компьютерной сети поддерживается многоуровневая защита. Она складывается из следующих компонентов:
1) политика безопасности (ПБ) локальной сети организации;
2) система защиты хостов локальной сети;
3) сетевой аудит;
4) защита на основе маршрутизаторов;
5) межсетевые экраны;
6) системы обнаружения вторжений;
7) план реагирования на выявленные атаки.
Полная защита целостности сети зависит от реализации всех выше перечисленных компонентов защиты. Использование многоуровневой защиты – это наиболее эффективный метод предотвращения НСД. Самым важным для функционирования защищенной сети является ее политика безопасности, которая определяет, что защищать и на каком уровне. Все остальные уровни защиты логически следуют после принятия для сети политики ее безопасности.
Проведение выбранной при создании сети организации ПБ предусматривает регулярный пересмотр этой политики и реализующих ее мер защиты, что подразумевает:
· обновление политики и мер защиты безопасности, если это необходимо;
· проверку совместимости политики и мер защиты с существующей сетевой средой;
· разработку новых и удаление старых правил политики и мер защиты по мере необходимости.
ПБ можно разделить на две категории: административные политики и технические политики . В зависимости от этого ПБ базируется на правилах двух видов.
Первая группа связана с заданием правил разграничения доступа ко всем ресурсам системы, а вторая группа основана на правилах анализа сетевого трафика как внутри локальной сети, так и при его выходе из системы или входе в нее. В основе этих правил лежит принцип доверия. Определяя ПБ, нужно выяснить, насколько можно доверять людям и ресурсам.
Для первой группы правил главный вопрос заключается в том, кому и в какой степени в локальной сети можно доверять, имея в виду больше человеческий фактор, но, не забывая при этом и о запущенных в локальной сети процессах и приложениях.
Начальный этап задания этих правил состоит в определении тех, кто получает доступ. Предварительные установки систем, обеспечивающих защиту информации в локальной сети, могут соответствовать принципу наименьшего доступа для всех.
В данном контексте вопрос для второй группы правил можно поставить так: «Каким пакетам в локальной сети доверять, а каким нет, ибо они могут циркулировать в локальной сети по инициативе злоумышленника». Именно эти правила и являются главенствующими при установке и настройке основных систем анализа трафика локальной сети и пакетных фильтров.
Для локальной сетей можно выделить три основные модели доверия:
· либеральная – доверять всем в течение всего времени работы;
· запретительная – не доверять никому и никогда;
· разумная или компромиссная – доверять иногда некоторым людям.
Обычно ПБ включает в себя следующие части:
1. Предмет ПБ . Перед описанием самой ПБ в данной области, нужно сначала определить саму область с помощью ограничений и условий в понятных всем терминах. Часто полезно ясно указать цель или причины разработки политики.
2. Описание позиции организации . Как только описан предмет ПБ, даны определения основных понятий и рассмотрены условия ее применения, в явной форме описывается позиция организации по данному вопросу.
3. Применимость . Это означает, что надо уточнить где, как, когда, кем и к чему будет применяться данная ПБ.
4. Роли и обязанности . Нужно указать ответственных лиц и их обязанности в отношении разработки и внедрения различных аспектов ПБ, а также в случае нарушения ПБ.
5. Меры защиты . Перечисляются конкретные меры, реализующие ПБ в организации, дается обоснование выбора именно такого перечня мер защиты и указывается, какие угрозы безопасности локальной сети наиболее эффективно предотвращаются такими мерами защиты.
6. Соблюдение политики . Для ПБ может оказаться уместным описание с некоторой степенью детальности нарушений, которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания, применяемые к нарушителям ПБ.
7. Ответственные или консультанты, по вопросам безопасности и справочная информация.
Компьютерная политика безопасности - краткое заявление высшего
руководства относительно его позиции по поводу ценности информации,
ответственности должностных лиц по ее защите и распределении организационных
обязанностей. Эта политика - один из ключевых компонентов общей
программы защиты компьютерных систем. Она является тем политическим
заявлением, в котором могут быть сформулированы начальные требования
к защите ЛВС. Однако, может оказаться уместным описать цели
защиты ЛВС, обязанности, и т.д. в отдельной политике, которую нужно
использовать совместно с существующей более общей политикой. В
этом разделе обсуждается разработка политики безопасности, которая
могла бы быть применена к ЛВС. Также представлен один пример политики
безопасности ЛВС. Этот пример политики носит демонстрационный характер.
Он не предназначен для использования организацией в том виде, как
есть. Цель этого примера политики состоит в том, чтобы явно описать
вопросы, которые должны быть учтены при разработке политики безопасности
ЛВС.
Политика безопасности ЛВС должна быть разработана на соответствующем
уровне руководства организацией, то есть тем лицом в организации,
кому напрямую подчиняются служащие, которых касается эта политика.
Политика должна быть создана группой лиц, которые могут включать
высшее управление, сотрудников отдела безопасности, и администраторов
ЛВС. Политика должна устанавливать:
- Значение информации- позицию руководства по вопросу ценности информации;
- Ответственность - Кто отвечает за защиту информации в ЛВС;
- Обязательство - Обязательства организации по защите информации и ЛВС;
- Область применения - Что включается в состав ЛВС и каких ее частей, если таковые имеются, политика не касается.
Политика безопасности ЛВС должна быть написана так, чтобы
редко требовались ее модификации. Потребность в изменениях может
указывать на то, что она слишком конкретна. Например, включение
требования использовать определенный пакет для обнаружения вирусов,
включающего название пакета, в политику может быть слишком конкретным
с точки зрения высокого темпа разработки антивирусных программ.
Может быть более разумно будет просто заявить, что программное обеспечение
обнаружения вирусов должно находиться на ПК ЛВС, серверах, и т.д.
и позволить администраторам ЛВС самим определять конкретный используемый
продукт.
Политика безопасности ЛВС должна ясно определить и установить ответственность
за защиту информации, которая обрабатывается, хранится и передается
в ЛВС, и самой ЛВС. Основная ответственность может быть возложена
на владельца данных, то есть, на менеджера отдела организации, который
создает данные, обрабатывает их и т.д.. Дополнительная ответственность
может быть, кроме того, возложена на пользователей и конечных
пользователей, то есть на тех лиц внутри организации, которым
предоставлен доступ к информации теми лицами, кто отвечает
за нее в первую очередь. Администраторы ЛВС должны ясно определить
роль отдельных лиц, ответственных за поддержание работоспособности
ЛВС. Пример политики защиты ЛВС, приведенный ниже, определяет обязанности
функциональных менеджеров (тех, на кого может быть возложена
основная ответственность), пользователей (тех, на кого может быть
возложена дополнительная ответственность), администраторов ЛВС (кто
отвечает за внедрение и поддержание работоспособности защиты ЛВС
и ее самой), и местных администраторов (тех, кто отвечает за поддержание
защиты в их части ЛВС). Местные администраторы обычно отвечают за
один или группу серверов и автоматизированных рабочих мест в ЛВС.
Эти обязанности были скомпилированы из , , ,
и .
Пример Политики Безопасности ЛВС
Цель
Информация, используемая в ЛВС Агентства XYZ, является критической
для выполнения организацией своих задач. Размер и сложность ЛВС
в пределах XYZ увеличилась и теперь она обрабатывает критическую
информацию. Из-за этого должны быть реализованы определенные меры
и процедуры безопасности для защиты информации, обрабатываемой в
ЛВС XYZ. ЛВС XYZ обеспечивает разделение информации и программ между
большим числом пользователей. Эта среда увеличивает риск безопасности
и требует более сильных механизмов защиты, чем те, что были бы необходимы
при работе на отдельно стоящих ПК. Эти усиленные требования
к защите в вычислительной среде XYZ послужили причиной появления
этой политики, которая касается использования ЛВС в XYZ.
Эта политика имеет две цели. Первая - подчеркнуть для всех служащих
XYZ важность безопасности в среде ЛВС XYZ и явно указать
их роли при поддержании этой безопасности. Вторая - установить
определенные обязанности по обеспечению безопасности данных и информации,
и самой ЛВС XYZ.
Степень детализации
Все автоматизированные информационные ценности и службы, которые используются локальной вычислительной сетью (ЛВС) XYZ, охватываются этой политикой. Она одинаково применима к серверам ЛВС, периферийному оборудованию, автоматизированным рабочим местам и персональным компьютерам (ПК) в пределах среды ЛВС XYZ. Ресурсы ЛВС XYZ включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к XYZ ЛВС, включая всех служащих XYZ, поставщиков и работающих по контракту, которые используют XYZ ЛВС.
Цели
Цели программы защиты информации XYZ состоят в том, чтобы гарантировать целостность, доступность и конфиденциальность данных, которые должны быть достаточно полными, точными, и своевременными, чтобы удовлетворять потребности XYZ, не жертвуя при этом основными принципами, описанными в этой политике. Определяются следующие цели:
- Гарантировать, что в среде ЛВС XYZ обеспечивается соответствующая безопасность, соответствующая критичности информации и т.д..;
- Гарантировать, что безопасность является рентабельной и основана на соотношении стоимости и риска, или необходимо удовлетворяет соответствующим руководящим требованиям;
- Гарантировать, что обеспечена соответствующая поддержка защиты данных в каждой функциональной области;
- Гарантировать индивидуальную подотчетность для данных, информации, и других компьютерных ресурсов, к которым осуществляется доступ;
- Гарантировать проверяемость среды ЛВС XYZ;
- Гарантировать, что служащие будут обеспечены достаточно полными руководствами по распределению обязанностей относительно поддержания безопасности при работе в автоматизированной информационной системе;
- Гарантировать, что для всех критических функций XYZ ЛВС имеются соответствующие планы обеспечения непрерывной работы, или планы восстановления при стихийных бедствиях;
- Гарантировать что все соответствующие федеральные и организационные законы, указы и т.д. учтены и их твердо придерживаются.
Ответственность
Следующие группы сотрудников несут ответственность за внедрение
и достижение целей безопасности, сформулированных в этой политике.
Детальные обязанности представлены в Обязанностях по Обеспечению
Защиты ЛВС XYZ
.
1. Функциональное руководство (ФР)
- те служащие, кто несет
ответственность согласно своим функциональным обязанностям (не в
области компьютерной безопасности) внутри XYZ. Функциональное
Руководство отвечает за информирование сотрудников относительно
этой политики, гарантию того, что каждый сотрудник имеет ее копию,
и взаимодействие со всеми служащими по проблемам безопасности.
2. Администраторы ЛВС (АД)
- служащие, кто участвуют в ежедневном
управлении и поддержании работоспособности ЛВС XYZ. Они отвечают
за обеспечение непрерывного функционирования ЛВС. Администраторы
ЛВС отвечают за осуществление соответствующих мер защиты в ЛВС в
соответствии с политикой безопасности ЛВС XYZ .
3. Местные Администраторы (МА)
- служащие, которые являются
ответственными за предоставление конечным пользователям доступа
к необходимым ресурсам ЛВС, которые размещены на серверах, входящих
в их зону ответственности. Местные администраторы отвечают
за обеспечение защиты своих серверов - в соответствии с политикой
безопасности ЛВС XYZ.
4. Конечные пользователи (П)
- являются любыми служащими,
которые имеют доступ к ЛВС XYZ. Они отвечают за использование
ЛВС в соответствии с политикой безопасности ЛВС. Все пользователи
данных отвечают за соблюдение специфических политик безопасности,
установленных теми лицами, кто несет основную ответственностью за
защиту тех или иных данных, и за доклад руководству о любом подозрении
на нарушение защиты.
Наказания
Отказ соблюдать эту политику может подвергнуть информацию XYZ недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в ЛВС XYZ. Нарушения стандартов, процедур или руководств, поддерживающих эту политику, будут привлечь внимание руководства и могут привести к дисциплинарной ответственности вплоть до увольнения со службы.
ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС
ОП1. Каждый персональный компьютер должен иметь "владельца" или
" системного администратора ", который является ответственным
за работоспособность и безопасность компьютера, и за соблюдение
всех политик и процедур, связанных с использованием данного компьютера.
Основной пользователь компьютера может выполнять эту роль. Эти пользователи
должны быть обучены и обеспечены соответствующими руководствами
так, чтобы они могли корректно соблюдать все политики и процедуры.
ОП2. Чтобы предотвратить неавторизованный доступ к данным ЛВС, программному
обеспечению, и другим ресурсам, находящимся на сервере ЛВС, все
механизмы защиты сервера ЛВС должны находиться под монопольным управлением
местного администратора и местного персонала Администраторов ЛВС.
ОП3. Чтобы предотвратить распространение злонамеренного программного
обеспечения и помочь выполнению лицензионных соглашений о программах,
пользователи должны гарантировать, что их программное обеспечение
должным образом лицензировано и является безопасным.
ОП4. За все изменения(замены) программного обеспечения и создание
резервных копий данных на серверах отвечают Администраторы
ЛВС.
ОП5. Каждому пользователю должен быть назначен уникальный ИДЕНТИФИКАТОР
ПОЛЬЗОВАТЕЛЯ и начальный пароль (или другая информация для идентификации
и аутентификации), только после того, как закончено оформление надлежащей
документации. Пользователи не должны совместно использовать назначенные
им ИДЕНТИФИКАТОРЫ ПОЛЬЗОВАТЕЛЯ.
ОП6. Пользователи должны аутентифицироваться в ЛВС перед обращением
к ресурсам ЛВС.
ОП7. ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ должен удаляться после продолжительного
периода неиспользования.
ОП8. Использование аппаратных средств ЛВС типа мониторов / регистраторов
трафика и маршрутизаторов должно быть авторизовано и проводиться
под контролем Администраторов ЛВС.
ОП9. Акт о Компьютерной безопасности 1987 года (P.L. 100-235)устанавливает,
что " Каждое агентство должно обеспечить обязательное периодическое
обучение в области компьютерной безопасности и правил работы на
компьютере, и принимать зачеты по правильности работы на компьютере
всех служащих, кто участвует в управлении, использовании,
или функционировании каждой Федеральной компьютерной системы,
которая находится в зоне ответственности этого агентства".
- Служащие, ответственные за управление, функционирование и использование ЛВС XYZ должны пройти курс обучения в области компьютерной безопасности и правил работы на компьютере.
- Обучение компьютерной безопасности должно проводиться в рамках существующих программ обучения, таких как программы ввода в строй для новых служащих, и курсов обучения, связанных с использованием информационных технологий.
ОП10. Отчеты о безопасности должны готовиться и рассматриваться ежедневно.
ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ 1.
Пользователи
Ожидается, что пользователи хорошо осведомлены относительно политики
безопасности Агентства, и других применимых законов, политик, указов
и процедур и твердо их придерживаются. Пользователи полностью отвечают
за их собственное поведение. В частности, пользователи отвечают
за следующее:
П1. Отвечают за понимание и соблюдение соответствующих Федеральных
законов, политик и процедур министерства, политик и процедур XYZ
и других применимых политик безопасности и связанных с ними последствий
для ЛВС XYZ.
П2. Отвечают за использование доступных механизмов безопасности
для защиты конфиденциальности и целостности их собственной информации,
когда это требуется.
П2.1. Следуют местным процедурами защиты критических данных, а
также процедурам безопасности самой ЛВС XYZ. Используют механизмы
защиты файлов для поддержания соответствующего управления доступом
к файлам.
П2.2. Выбирает и использует хорошие пароли. Использует FIPS 112,
Использование Паролей как руководство при выборе хороших паролей.
Не записывает паролей, и не раскрывает их другим. Не использует
совместно идентификаторы пользователей.
П3. Отвечает за помощь другим пользователям, кто будет не в состоянии
должным образом использовать доступные механизмы защиты. Помогает
защитить собственность других лиц. Уведомляет их относительно незащищенности
их ресурсов (например, файлов, идентификаторов).
П4. Отвечает за уведомление местного администратора или члена руководства
о нарушении защиты или обнаруженном отказе.
П5. Отвечает за неиспользование слабых мест АС.
П5.1. Не осуществляет намеренного изменения, уничтожения, чтения,
или передачи информации неавторизованным способом: не мешает специально
получить другим пользователям авторизованный доступ к ресурсам
ЛВС и информации в ней.
П5.2. Предоставляет правильную информацию для идентификации и аутентификации,
когда это требуется, и не пытается угадать подобную информацию для
других пользователей.
П6. Отвечает за гарантию выполнения резервного копирования данных
и программного обеспечения находящегося на жестком диске их собственного
автоматизированного рабочего места.
П7. Отвечает за понимание принципов работы злонамеренного программного
обеспечения, методов, с помощью которых оно вносится и распространяется,
и уязвимых мест, которые используются злонамеренным программным
обеспечением и неавторизованными пользователями.
П8. Отвечает за знание и использование соответствующих политик и
процедур для предотвращения, обнаружения, и удаления злонамеренного
программного обеспечения.
П9. Отвечает за знание того, на что нужно обращать внимание при
работе в определенных системах и конкретных программах, чтобы
обнаружить признаки их необычной работы, и что нужно сделать или
с кем связаться для получения дополнительной информации.
П10. Отвечает за использование программно-аппаратных средств защиты,
которые доступны для защиты системы от злонамеренного программного
обеспечения.
П11. Отвечает за знание и использование процедур по обеспечению
непрерывной работы для сдерживания и восстановления при потенциальных
инцидентах.
2. Функциональное руководство
Функциональное руководство (и управляющие более высокого уровня)
отвечают за разработку и выполнение эффективных политик безопасности,
которые отражают специфические цели ЛВС XYZ. Они полностью
отвечают за обеспечение того, что защита информации и линий связи
является и остается важной и критической целью в повседневной деятельности.
В частности функциональное руководство отвечает за следующее:
ФМ1. Отвечает за проведение эффективного управления риском для того,
чтобы обеспечить основу для формулирования разумной политики. Управление
риском требует идентификации ценностей, которые нужно защитить,
определения уязвимых мест, анализа риска их использования
и реализации рентабельных средств защиты.
ФМ2. Отвечает за гарантию того, чтобы каждый пользователь
получил, как минимум, копию политики безопасности и местного руководства
(если таковые есть в наличии) до внесения его в списки пользователей
АС.
ФМ3. Отвечает за осуществление программы обучения основам безопасности
для пользователей, чтобы можно было гарантировать знание ими местной
политики безопасности и правил работы на компьютере.
ФМ4. Отвечает за гарантию того, что весь персонал в пределах операционной
единицы организации знает эту политику и отвечает за включение ее
в инструктажи по компьютерной безопасности и программы обучения.
ФМ5. Отвечает за информирование местного администратора и администраторов
ЛВС об изменениях в статусе любого служащего, который использует
ЛВС XYZ. Это изменение статуса может включать переход из организации
в организацию в одном ведомстве, переход из отдела в отдел, или
окончание службы в XYZ.
ФМ6. Отвечает за гарантию того, что пользователи понимают природу
злонамеренного программного обеспечения, понимают,как оно вообще
распространяется, и какие программно-аппаратные средства защиты
должны использоваться против него.
3. Администраторы Локальной Вычислительной Сети (ЛВС)
Предполагается, что администраторы ЛВС (или назначенный для этого
персонал) претворяет (в части их касающейся) местные политики безопасности,
так как это связано с применением программно-аппаратных средств
защиты, архивированием критических программ и данных, управлением
доступом и защитой оборудования ЛВС. В частности, администраторы
ЛВС отвечают за следующее:
ОУ1. Отвечают за корректное применение доступных механизмов защиты
для осуществления местных политик безопасности.
ОУ2. Отвечает за уведомление руководства о работоспособности существующих
политик и любых технических соображениях, которые могли бы улучшить
их эффективность.
ОУ3. Отвечает за защищенность среды ЛВС внутри организации и интерфейсов
с глобальными сетями.
ОУ4. Отвечает за оперативное и эффективное улаживание происшествий
с компьютерной безопасностью.
ОУ4.1. Уведомляет местных администраторов о проникновении злоумышленника
в ЛВС, помогает другим местным администраторам улаживать происшествия
с безопасностью.
ОУ4.2. Сотрудничает с местными администраторами при выявлении нарушителя
и помогает им это сделать.
ОУ5. Отвечает за использование надежных и доступных средств аудирования
для облегчения обнаружения нарушений безопасности.
ОУ6. Отвечает за проведение своевременных проверок системных журналов
серверов ЛВС.
ОУ7. Отвечает за отслеживание информации о политиках безопасности
и приемах обеспечения безопасности в других организациях и, когда
это необходимо, информирование местных пользователей и уведомление
руководства об изменениях или новых разработках.
ОУ8. Отвечает за крайнюю осторожность и корректность при применении
им своих экстраординарных полномочий и привилегий. Безопасность
пользователей должна всегда стоять на первом месте.
ОУ9. Отвечает за разработку соответствующих процедур и издание инструкций
по предотвращению, обнаружению, и удалению злонамеренного программного
обеспечения, соответствующих руководящим принципам, содержащимся
в этом документе.
ОУ10. Отвечает за своевременное создание резервных копий всех
данных и программного обеспечения на серверах ЛВС.
ОУ11. Отвечает за выявление и рекомендацию пакетов программ для
обнаружения и удаления злонамеренного программного обеспечения.
ОУ12. Отвечает за разработку процедур, позволяющих пользователям
сообщать о компьютерных вирусах и других инцидентах и отвечает за
уведомление потенциально затрагиваемых лиц о возможной угрозе им.
ОУ13. Отвечает за скорое уведомление соответствующей группы улаживания
происшествий с компьютерной безопасностью обо всех инцидентах, включая
выявление злонамеренного программного обеспечения.
ОУ14. Отвечает за оказание помощи при определении источника злонамеренного
программного обеспечения и зоны его распространения.
ОУ15. Отвечает за обеспечение помощи в удалении злонамеренного программного
обеспечения.
ОУ16. Отвечает за проведение периодического анализа для того, чтобы
гарантировать, что соблюдаются надлежащие процедуры безопасности,
включая те, которые предназначены для защиты от злонамеренного программного
обеспечения.
4. Местные Администраторы
Ожидается, что местные администраторы (или назначенный персонал)
будут использовать доступные службы и механизмы защиты ЛВС на сервере,
за который они отвечают, чтобы поддерживать и претворять в жизнь
применимые политики и процедуры безопасности. В частности, местные
администраторы отвечают за следующее:
МA1. Отвечают за управление привилегиями доступа всех пользователей
к данным, программам и функциям.
МA2. Отвечают за контроль за всеми связанными с защитой событиями
и за расследование любых реальных или подозреваемых нарушений там,
где это уместно. В соответствующих случаях отвечают за уведомление
и координацию действий с Администраторами ЛВС по контролю
или расследованию событий, связанных с нарушением безопасности.
МA3. Отвечает за поддержание и защиту программного обеспечения и
соответствующих файлов на сервере ЛВС, используя доступные
механизмы и процедуры защиты.
МA4. Отвечает за сканирование сервера ЛВС антивирусным программным
обеспечением через регулярные интервалы времени для гарантии того,
что никакому вирусу не удалось разместиться на сервере ЛВС.
МA5. Отвечает за назначение уникального ИП и начального пароля (или
другой идентификационной и аутентификационной информации) каждому
пользователю только после того, как будет оформлена надлежащая документация.
МA6. Отвечает за быстрое уведомление соответствующего персонала
группы улаживания происшествий с компьютерной безопасностью обо
всех инцидентах, включая злонамеренное программное обеспечение;
МA6.1. Уведомляет Администраторов ЛВС о проникновении в ЛВС, помогает другим местным администраторам улаживать нарушение безопасности.
МА6.2. Сотрудничает с другими местными администраторами и Администраторами
ЛВС в поиске нарушителя и помогает им это сделать.
МA7. Отвечает за обеспечение помощи при выявлении источника злонамеренного
программного обеспечения и зоны его распространения.
Приложение B. Специфика персональных компьютеров
Персональные компьютеры обычно не имеют встроенных программно-аппаратных
средств для аутентификации пользователя, управления доступом
или защиты памяти, которая делилась бы на системную память и память,
используемую для приложений пользователя. Из-за отсутствия средств
защиты и свободы действий, с которой пользователи могут
совместно использовать и изменять программное обеспечение, персональные
компьютеры очень уязвимы к атакам вирусов, неправомочным пользователям
и связанным с этим угрозам.
Предотвращение вирусов в среде ПК должно полагаться на постоянное
внимание пользователя, чтобы можно было обнаруживать потенциальные
угрозы, бороться с ними и восстанавливать среду после повреждений.
Пользователи персонального компьютера являются в сущности администраторами
персонального компьютера, и должны на практике осуществлять это
администрирование как часть их работы на компьютере. Персональные
компьютеры, как правило, не содержат возможностей аудирования, поэтому
пользователь должен всегда следить за работой компьютера, чтобы
знать, что является нормальной, а что ненормальной работой. В конечном
счете, пользователи персонального компьютера должны понимать некоторые
из технических аспектов их компьютеров для того, чтобы обнаружить
проблемы с безопасностью и восстановить среду в нормальное состояние.
Не все пользователи персонального компьютера ориентируются в технических
вопросах, что создает некоторые проблемы и придает большую
важность обучению пользователей и участию его в борьбе с вирусами.
Из-за зависимости от участия пользователя, политики безопасности
для ЛВС (и, как следствие, для ПК) более трудно претворить
в жизнь, чем политики для многопользовательского компьютера.
Однако, информирование об этих политиках в программе обучения
пользователя поможет им выработать правильное поведении при работе
на компьютере. Пользователям нужно показывать на иллюстративном
примере, что может случиться, если они не будут следовать политикам.
Пример того, как пользователи, которые совместно используют
инфицированное программное обеспечение, затем распространяют
это программное обеспечение повсюду в организации, мог бы
эффективно иллюстрировать этот момент, делая таким образом
цель политики более ясной и увеличивал бы вероятность того, что
ей будут следовать. (Не предполагается, что в организации на самом
деле будет производиться заражение программ вирусами с целью демонстрации,
просто пример иллюстрирует такую возможность). Другой эффективный
метод для улучшения сотрудничества с пользователями состоит в том,
чтобы создать список эффективных действий по администрированию персональным
компьютером, специфических для каждой вычислительной среды на ПЭВМ.
Создание такого списка могло бы помочь пользователям при определении
того, как лучше всего претворить политики в жизнь, а список
мог бы быть удобным контрольным списком, который пользователи
могли бы использовать по мере необходимости.
Для общих рекомендаций по защите ПК см. . Рекомендации по
защите против злонамеренного программного обеспечения можно найти
в .
Приложение C. Планы восстановления и обеспечения непрерывной работы ЛВС
Инцидент с компьютерной безопасностью - любой неблагоприятный случай,
в ходе которого может оказаться под угрозой некоторый аспект компьютерной
безопасности: потеря конфиденциальности данных, потеря данных или
целостности системы, разрушение или отказ в обслуживании. В
среде ЛВС понятие инцидента с компьютерной безопасностью может
быть распространено на все области ЛВС (аппаратные средства ЭВМ,
программное обеспечение, данные, передачу данных, и т.д.) включая
саму ЛВС. Планы восстановления в среде ЛВС должны быть разработаны
таким образом, чтобы любой инцидент с защитой ЛВС мог быть своевременно
улажен, с наименьшим, насколько это возможно, воздействием
на возможности организации по обработке и передаче данных. План
восстановления должен описывать (1)действия по улаживанию инцидента,
(2) действия по резервированию и (3) действия по восстановлению.
1. Цель действий по улаживанию
инцидента состоит в том, чтобы
уменьшить потенциально опасные последствия проблемы, связанной с
безопасностью ЛВС. Это требует не только наличия возможности улаживать
инциденты, но и ресурсов для предупреждения пользователей. Это требует
сотрудничества со всеми пользователями для гарантий того, что об
инцидентах будет сообщено и они будут улажены, а будущие инциденты
- предотвращены . рекомендуется как руководство
при разработке действий по улаживанию инцидента.
2. Планы действий по резервированию
подготавливаются, чтобы
гарантировать, что необходимые организации задачи (выявленные при
анализе риска) могут быть корректно завершены при разрушении
ЛВС и продолжены впоследствии, когда ЛВС будет восстановлена
.
3. Планы восстановления
создаются, чтобы обеспечить плавное,
быстрое восстановление среды ЛВС после перерыва в ее работе
. Должен быть разработан и поддерживаться ряд инструкций,
чтобы минимизировать время, требуемое для восстановления. Приоритет
нужно отдавать тем приложениям, службам, и т.д., которые считаются
критическими для функционирования организации. Процедуры действий
по резервированию должны гарантировать, что эти критические
службы и приложения доступны пользователям.
Приложение D. Обучение и информированность
Акт о Компьютерной безопасности 1987 года (P.L. 100-235)устанавливает,
что " Каждое агентство должно обеспечить обязательное периодическое
обучение в области компьютерной безопасности и правил работы на
компьютере, и принимать зачеты по правильности работы на компьютере
всех служащих, кто участвует в управлении, использовании,
или функционировании каждой Федеральной компьютерной системы,
которая находится в зоне ответственности этого агентства".
обеспечивает рекомендации по формулированию требований
к курсам обучения компьютерной безопасности для разнообразных
слушателей, которые должны пройти некоторое обучение в области
компьютерной безопасности. Он сосредотачивается на целях обучения,
основанных на степени, в которой знание компьютерной безопасности
требуется некоторому лицу, поскольку это касается его рабочих
функций. Для детального обсуждения и общих рекомендаций по
вопросам обучения защите компьютера читателю рекомендуется обратиться
к .
Чтобы поддерживать безопасность в среде ЛВС, пользователи ЛВС должны
получить обучение в определенных областях работы и использования
ЛВС. Механизмы защиты, процедуры, и т.д. не могут быть действенными,
если они используются неправильно. Ниже приведены списки требований
к программам обучения для функционального руководства, администраторов
ЛВС и пользователей. Целью обучения для функционального руководства
является (1) понимание важности политики безопасности и (2)
понимание того, как эта политика должна осуществляться в ЛВС
для того, чтобы она была эффективной. Целью обучения для администраторов
ЛВС является понимание, как обеспечивается защита ЛВС
при ее повседневной работе. Также важно подчеркнуть необходимость
эффективных действий по улаживанию инцидента. Целью обучения
для пользователей являются (1) осознании роли пользователя
в политике безопасности и обязанностей, возлагаемых на него в этой
области, (2) обучении использованию служб и механизмов защиты
для эффективного поддержания безопасности, и (3) понимании того,
как использовать процедуры действий по улаживанию инцидента. Конкретно
требования к курсам обучению обсуждаются ниже.
Функциональное руководство должно
:
1. Понимать важность политики безопасности ЛВС и то, как эта политика
влияет на решения, принимаемые относительно защиты ЛВС. Понимать
важность определения адекватной степени безопасности для различных
типов информации, которой владеет функциональное руководство (или
за которые несет ответственность).
2. Понимать, что ЛВС является ценным ресурсом для организации, который
требует защиты. Понимать важность обеспечения адекватной защиты
(через финансирование, укомплектовывание персоналом, и т.д.).
Администраторы ЛВС должны
:
1. Понимать во всех аспектах, как работает ЛВС. Быть способны отличать
нормальную работу системы от ненормальной работы системы.
2. Понимать роль администратора ЛВС в реализации политики
безопасности ЛВС.
3. Понимать, как работают службы и механизмы безопасности. Быть
способны распознать неправильное использование механизмов защиты
пользователями.
4. Понимать, как надо эффективно использовать возможности
по улаживанию инцидентов.
Пользователи ЛВС должны
:
1. Понимать политику безопасности и обязанности пользователя, проистекающие
из нее. Понимать, почему важно поддержание безопасности ЛВС.
2. Понимать, как использовать службы и механизмы защиты, обеспечиваемые
ЛВС, чтобы поддерживать безопасность ЛВС и защищать критическую
информацию.
3. Понимать, как использовать возможности по улаживанию инцидентов,
знать, как сообщать об инциденте, и т.д..
4. Отличать нормальную работу автоматизированного рабочего места
или ПК от неправильной работы.
Литература
Martin, James, and K. K. Chapman, The Arben Group, Inc.;
Local Area Networks, Architectures and Implementations, Prentice
Hall, 1989.
Barkley, John F., and K. Olsen; Introduction to Heterogenous
Computing Environments, NIST Special Publication 500-176, November,
1989.
A Guide to Understanding Discretionary Access Control in
Trusted Systems, NCSC-TG-003, Version 1, September 30, 1987
National Computer Systems Laboratory (NCSL) Bulletin, Data
Encryption Standard, June, 1990.
Smid, Miles, E. Barker, D. Balenson, and M. Haykin; Message
Authentication Code (MAC) Validation System: Requirements and Procedures,
NIST Special Publication 500-156, May, 1988.
Oldehoeft, Arthur E.; Foundations of a Security Policy
for Use of the National Research and Educational Network, NIST Interagency
Report, NISTIR 4734, February 1992.
U.S. Department of Commerce Information Technology Management
Handbook, Attachment 13-D: Malicious Software Policy and Guidelines,
November 8, 1991.
Wack, John P., and L. Carnahan; Computer Viruses and Related
Threats: A Management Guide, NIST Special Publication 500-166, August
1989.
Information Security Guideline for Financial Institutions,
X9/TG-5, Accredited Committee X9F2, March 1992.
National Computer Systems Laboratory (NCSL) Bulletin, Connecting
to the Internet: Security Considerations, July 1993.
National Computer Systems Laboratory (NCSL) Bulletin, Advanced
Authentication Technology, November 1991.
Daniel V. Klein, "Foiling the Cracker: A Survey of, and
Improvements to, Password Security", Software Engineering Institute.
(This work was sponsored in part by the Department of Defense.)
Gilbert, Irene; Guide for Selecting Automated Risk Analysis
Tools, NIST Special Publication 500-174, October, 1989.
Katzke, Stuart W. ,Phd., "A Framework for Computer Security
Risk Management", NIST, October, 1992.
Department of Defense Password Management Guideline, National
Computer Security Center, April, 1985.
Federal Information Processing Standard (FIPS PUB) 112,
Password Usage, May, 1985.
Roback Edward, NIST Coordinator, Glossary of Computer Security
Terminology, NISTIR 4659, September, 1991.
Todd, Mary Anne and Constance Guitian, Computer Security
Training Guidelines, NIST Special Publication 500-172, November,
1989.
Steinauer, Dennis D.; Security of Personal Computer Systems:
A Management Guide, NBS Special Publication 500-120, January, 1985.
Wack, John P.; Establishing a Computer Security Incident
Response Capability (CSIRC), NIST Special Publication 800-3, November,
1991.
Federal Information Processing Standard (FIPS PUB) 31,
Guidelines for Automatic Data Processing Physical Security and Risk
Management, June, 1974.
Berson, T.A, and Beth, T. (Eds.); Local Area Network Security
Workshop LANSEC ‘89 Proceedings, Springer-Verlag, Berlin, 1989.
Federal Information Processing Standard Publication (FIPS PUB)
83, Guideline on User Authentication Techniques for Computer Network
Access Control, September, 1980.
Gahan, Chris; LAN Security, the Business Threat from Within,
BICC Data Networks Limited, November, 1990.
Muftic, Sead; Security Mechanisms for Computer Networks, Ellis
Horwood Limited, West Sussex, England, 1989.
National Research Council; Computers At Risk: Safe Computing
in the Information Age, National Academy Press, Washington, D.C.,
1991.
Schweitzer, James A.; Protecting Information on Local Area Networks,
Butterworth Publishers, Stoneham, MA, 1988.
Network Security Library - All you want to know about Windows, UNIX, NetWare, WWW, Firewalls, Intrusion Detection Systems, Security Policy, etc.
| Обратно |
Выполняя настройку компьютеров, системные администраторы в первую очередь должны обращать внимание на их безопасность. Что же это такое? Это совокупность функций, регулирующих безопасную работу ПК и управляющихся посредством локального объекта GPO.
Настройка политики безопасности на компьютерах с Windows XP, «Семёрка»
Настройку данных функций осуществляют (в Windows XP, «Семёрка») пользователи вручную через через специальную консоль «Local Group Politics Editor» (редактор локальных политик безопасности) или «Local Security Politics». Окно «Local Group Politics Editor» используют при необходимости внести изменения в политику учётной записи домена, управляемой посредством Active Directory. Через консоль «Local Group Politics Editor» производится настройка параметров учётных записей и регулируется безопасность на локальных хостах. Для открытия окна настроек Local Security Policy (в Windows XP, «Семёрка») нужно сделать следующее.
Нажимаем кнопку «Start» и в поисковом поле открывающемся меню вводим название окна Local Security Policy (см. рисунок ниже).
Нажав комбинацию кнопок +R, открываем пункт «Run», в поле ввода которого вводим sесpol.msc и нажимаем на ОК.
Сначала необходимо проверить, что учётный пользовательский аккаунт находится в администраторской группе (Windows XP, «Семёрка»). Для открытия консольного приложения ММС (в Windows XP, «Семёрка») нажимаем кнопку «Start» и в поисковом поле вводим mmс, после чего нажимаем на «Enter». В пустом консольном окне ММС нажимаем на надпись «Console» и выбираем «Add or Remove». В открывшемся окне выбираем консоль «Local Group Politics Editor» и нажимаем на Add. В открывшемся диалоговом окне нужно найти и нажать на «Обзор», указать необходимые компьютеры и нажать на «Ready». В окне «Add or Remove» нажимаем на ОК. Находим открытую консоль «Local Group Politics Editor» и переходим на пункт «Computer Configuration», а после этого открываем «Security Parameters».
При подсоединении вашего рабочего места к сети с доменом (Windows Сервер 2008), безопасность определяется политикой Active Directory или политика того подразделения, к которому относится компьютер.
Как применить Security Policy к компьютерам, являющимися локальными (с системой Windows XP и так далее), или подсоединённому к домену
Сейчас мы подробно рассмотрим последовательность настроек Local Security Policy и увидим различия между особенностями политики безопасности на локальном компе с Windows (XP, «Семёрка» и так далее) и на компе, подсоединённом к доменной сети через Windows Сервер 2008 R2.
Особенности настроек Security Policy на локальном компьютере
Следует напомнить, что все действия, проводимые здесь, выполнялись под учётным аккаунтом, входящим в администраторскую группу (Windows XP, «Семёрка») на локальном компьютере или в группу «Domen Administrators» (Windows Сервер 2008), в подсоединённом к доменной сети узле.
Чтобы выполнить этот пример необходимо сначала присвоить гостевому учётному аккаунту другое имя. Для этого выполняем следующие действия.
Заново включив комп, проверяем использование Security Policy к вашей ЭВМ. Для этого открывается Control Panel и в окне «User’s Accounts» переходим по ссылке «Другой учётный аккаунт. Управление». В открытом окне можно будет увидеть список всех учётных записей вашей локальной машины, куда входит и переименованный гостевой пользовательский учётный аккаунт.
Применяем Security Policy для компьютеров, подключенных к доменной сети через Windows Сервер 2008 R2
Этот пример показывает последовательность операций для запрета изменения пользовательского пароля для учётной записи Test_ADUser. Напомним, что изменять параметры Security Policy возможно только будучи в группе «Domen’s administrators». Делаем следующее.
Нажимаем на «Start» и в поисковом поле вводим ММС и нажимаем «Enter». Нажимаем на надпись «Console» и выбираем строку «Add or Remove». На экране сразу появится диалоговое окно. В нём нужно выбрать оснастку «Local Group Politics Editor» и там нажать на «Обзор», чтобы выбрать компьютер.
В появившемся окне выбираем нужные компьютеры и нажимаем Done.
- В окне «Add or Remove» нажимаем ОК.
- Находим открывшуюся консоль «Local Group Politics Editor» и переходим на узел «Computer Configuration» и там открываем узел «Security Parameters\Local Computer/Security Parameters»
- Находим параметр «Доменный контроллер: запретить изменения пароля учётных аккаунтов» и нажимаем на него два раза мышкой.
- В появившемся окне выбираем «Включить» и нажимаем ОК.
- Перезагружаемся.
После включения компьютеров проверяем изменения в Security Policy, перейдя на консоль ММС. В открывшейся консоли добавляем составляющую «Local users and computers» и пробуем поменять пароль своего учётного аккаунта.
Вывод
Прочитав эту статью, мы разобрались с особенностями методов использования Local Security Policy (на компах с Windows XP, «Семёркой», Windows Сервер 2008). В вышеприведенных примерах показаны иллюстрации c настройками Local Security Policy на компьютерах, которые являются локальными, и компьютерах, которые подключёны к доменной сети.
Основная задача корпоративной политики безопасности - это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных . Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.
При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер - это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.
Существует международный стандарт безопасности ISO/IEC 27001 , соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL Information Technology Infrastructure Library и CobiT , представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.
Что должно содержаться в корпоративной политике безопасности
Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP , HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.
В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.
Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур - это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.
Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.
Контроль соблюдения политики безопасности
Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы , такие, как Falcongaze SecureTower , помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями - предусмотренные политикой санкции.
Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.
Внедрение корпоративной политики безопасности - это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.
