Иллюстрированный самоучитель по Development of safety

         

Аудит и сбор данных


За определенное время администраторы могут собрать много данных. Независимо от того, выбираются эти данные из системных журналов или являются копией системного или сетевого трафика, их можно использовать для проверки эффективности применения правил. В качестве одного из этапов периодического аудита, проводимого для оценки эффективности применения правил, эти данные могут оказаться полезными при изучении проблем, вызванных применением правил или выявленных в результате применения правил.

Автор обнаружил, что эти данные полезны для того, чтобы лучше понять, как работает организация, и полезны для совершенствования правил. Дополнительно к этому, они также могут предоставить информацию о загрузке сети, а это может помочь организации провести изменения для повышения эффективности работы сети. Поэтому, в правила аудита необходимо также включить требование по сохранению информации для последующего изучения. Формулировка правил может быть довольно проста.

Данные, необходимые для обработки информации о нарушениях информационной безопасности и об инцидентах, должны сохраняться, чтобы их можно было использовать во время анализа правил информационной безопасности на эффективность применения.



Меры наказания


К каждому правилу и закону прилагаются инструкции по назначению наказаний и взысканий. В правила информационной безопасности необходимо также включить формулировку, касающуюся мер наказания. Одна из причин сделать это заключается в том, чтобы в случае нарушения безопасности, не возникало вопросов, имеет ли организация право применять меры наказания. Поскольку нарушения могут совершаться и внутри организации, и сторонними взломщиками, в правилах должны быть учтены оба варианта.

Исходя из юридического опыта автора, разработка такого правила начинается с общей формулировки, в которой говорится, что пользователю запрещено наносить вред системам, сетям и т.п. Формулировка может быть составлена таким образом, чтобы охватить основные постановления по правоприменению всех имеющихся правил. Она может выглядеть следующим образом.

Категорически запрещено любое поведение, которое неблагоприятно отражается на работе других лиц в системах и сетях компании или которое может навредить другим лицам.

Далее, устанавливаются правила применения мер наказания по отношению к пользователям, которые нарушают правила. Автор предпочитает использовать две формулировки. Одна формулировка правил адресована ко всем пользователям. Ее предлагается использовать при применении мер наказания по отношению к внутренним пользователям, например, собственным служащим. Другая формулировка похожа на первую, но предназначена для внешних пользователей или подрядчиков, которые пользуются сетью на основе особого разрешения. В этой формулировке нужно показать причину, по которой они допущены к пользованию сетями и системами, например, ссылку на контракты или договоры, на основе которых им предоставлен доступ. Ниже представлен пример таких формулировок.

Руководство имеет право аннулировать любые привилегии доступа пользователей и в любой момент разорвать с ними трудовое соглашение за нарушения предписаний правил безопасности или за поведение, мешающее нормальной работе сети и компьютерных систем организации.

Руководство имеет право разорвать контракты и договоры с подрядчиками и другими внешними пользователями, если они нарушают предписания правил или демонстрируют поведение, которое мешает нормальной работе сети и компьютерных систем организации.

И, наконец, правила должны охватывать незаконную деятельность, осуществляемую внутренними пользователями и внешними взломщиками. Можно записать в правила отдельную формулировку, которая отражает реакцию организации на все виды незаконной деятельности. Для этой формулировки нет краткой формы. В ней должно быть сказано, что в соответствии с местными законами ожидает тех, кто нарушает законы.

Клиент, который хотел по собственному усмотрению привлекать правоохранительные органы и систему закона, вместо того, чтобы делать это в обязательном порядке, опирался на приведенную ниже формулировку правил. Руководство понимало, что в некоторых случаях увольнение служащего является достаточным наказанием. Поскольку об увольнении было сказано в предыдущей формулировке правил, мы разработали такую формулировку.

Руководство имеет право применить собственные меры наказания вместо соответствующих санкций по криминальному или гражданскому законодательству против любого, кто использует, злоупотребляет или атакует сеть организации и информационные системы таким образом, что это может быть отнесено к нарушениям закона и предписаний этих правил.





Мониторинг


Первый шаг по созданию правил мониторинга заключается в определении прав организации на наблюдение. Несмотря на то, что эти правила могут быть направлены на утверждение прав руководства на мониторинг, в их предписаниях может быть сказано, что руководство имеет право назначить кого-либо для осуществления мониторинга. В конце концов можно посадить несколько исполнителей из отдела информационных технологий перед мониторами для наблюдения за сетевым трафиком. Правила могут выглядеть следующим образом.

Руководство имеет право наблюдать за всей деятельностью в системе и за сетевым трафиком для проведения в жизнь постановлений правил безопасности. Руководство имеет право возложить обязанности по мониторингу и другие обязанности на отдельных администраторов.



Мониторинг, средства управления и меры наказания


Наиболее дискуссионная тема правил информационной безопасности касается мониторинга, средств управления и меры наказания при нарушениях. Дебаты возникают из-за некоторых правил мониторинга и управления, которые могут быть использованы при правовой защите информационной безопасности организации. Признавая их законными, некоторые адвокаты видят в этих методах нарушение прав неприкосновенности частной жизни. Работая со многими организациями, автор советовал соблюдать осторожность и разработать правила, которые помогут в работе, а не вызовут недоверие или негативную реакцию.

Проблема заключается в том, что статистика показывает наибольшее количество нарушений безопасности именно внутри организации, в то время как основное внимание уделяется защите от внешних действий. Благодаря тому, что об этом много говорят, во многие правила включены постановления, касающиеся применения санкций к посторонним нарушителям. Необходимо изучить внешнюю угрозу и рассмотреть внутреннюю опасность. Даже если организация не хочет, чтобы правила выглядели как набор предписаний для создания полицейского государства, все равно необходимо обеспечить возможность контроля исполнения правил и возможность принудительного их применения.



Обязанности администраторов


В предыдущем разделе этой главы были описаны, в основном, обязанности руководства по внедрению правил безопасности. Руководство может назначить администраторов для мониторинга и проверки соответствия, но об их обязанностях не было ничего сказано, так как это отнесли к деталям реализации. В правилах для администраторов необходимо указать те вопросы, за которые отвечает администратор.

Некоторые правила предназначены не только для системных администраторов или администраторов безопасности. В правилах администрирования могут быть также отражены административные обязанности, которые являются обязанностями лиц, ответственных за данные или за технологию, а также - обязанности пользователей. Эти правила охватывают вопросы административного согласования и внедрения, которые не входят в сферу административного управления.

В зависимости от полноты и широты охвата ваших правил количество вопросов, которые должны быть в них учтены, может показаться несметным. Прежде чем приступать к разработке правил, необходимо продумать, что именно должно входить в правила администрирования. Ниже представлен краткий список предлагаемых вопросов.

Периодический пересмотр и повторная авторизация прав пользовательского доступа для служащих и подрядчиков.

Требование достоверного учета всех пользователей, даже если они отнесены к другим руководителям или другому коллективу.

Идентификация тех лиц, кто проводит учет пользователей систем и сетей.

Сопровождение главной базы данных или каталога идентификационной базы пользователей и прав доступа.

Выполнение операций по изменению прав и должностных обязанностей.

Управление вспомогательными средствами, используемыми в работе по реализации положений этих правил.

Контроль соответствия при переводе систем в онлайновый режим или их обновлении.

Определение соглашений по присвоению имен для систем и других компонентов сети.

В правиле, которое имеет смысл обсудить особо, рассматривается, какие действия следует предпринять, когда служащий или подрядчик разрывает трудовое соглашение с организацией. Независимо от того, является это добровольным уходом или нет, администраторы должны разработать процедуры аннулирования права доступа к ресурсам организации. Поддерживая актуальность идентификационной базы пользователей, можно уберечь сеть от возможных атак.

Процедуры по работе с уволенными пользователями не должны входить в эти правила. Однако, предписаниями правил могут устанавливаться обязанности по решению вопросов в отношении уволенных пользователей. Некоторые из этих вопросов касаются назначения лиц, которые несут ответственность за своевременное аннулирование права доступа, освобождение ресурсов, выделенных этому пользователю, выявление в пользовательских ресурсах нарушений безопасности и других ошибок, а также за архивное хранение пользовательских файлов и других данных. Упрощенная формулировка, в которой говорится об аннулировании и архивном хранении, может выглядеть следующим образом.

Права доступа к ресурсам организации пользователей, которые разорвали трудовые отношения с организацией, должны быть немедленно аннулированы. Администраторы должны привести в порядок программы и другие данные, с которыми работали эти пользователи. Администраторы должны разработать процедуры аннулирования прав доступа этих пользователей.



Отчетность о нарушениях безопасности


Подчинение этим правилам должно стать обязанностью каждого, а не только администраторов. В вышеописанные правила включены указания пользователям содействовать внедрению этих правил, но ни в одном из правил не отражается в полной мере значение документирования случаев нарушения безопасности. Разработка правил составления отчетности о нарушениях безопасности очень похож на разработку всех других правил, описанных в этой главе, — они в высшей степени зависят от конфигурации окружения и правовых требований к внедрению этих правил.



Публикация документов правил и требования по уведомлению


Разработанные правила не улучшат работу организации, если их поставят пылиться на полке. Этот документ должен быть не только действующим, но и доступным для всех пользователей. Общепринятый способ сделать это заключается в публикации документов правил во внутренней сети организации. Таким способом можно сделать документы правил доступными для всех пользователей и сэкономить деньги организации на распечатке этих документов. Кроме того, все последующие обновления будут осуществляться в одном месте, и не нужно заботиться об их распространении.

В правилах, определяющих работу в данной области, нужно не только регламентировать публикацию документов, но необходимо записать требования по регистрации сроков публикации или обновления. В предписаниях этих правил необходимо также указать, кто будет отвечать за эту работу. Во многих организациях стараются возложить эти обязанности на отдел кадров. Однако, в некоторых мелких компаниях, которые пользуются услугами сторонних отделов кадров (кадровых агентств), могут назначить ответственной за публикацию документов правил иную службу. Одна из версий такого типа правил звучит следующим образом.

Отдел кадров должен нести ответственность за публикацию во внутренней сети организации документов правил информационной безопасности и всех последующих обновлений, и должен обеспечить каждому свободный доступ к документам правил.

После публикации документов правил или последующих их обновлений отдел кадров должен уведомить о публикации документов правил и способе доступа к ним каждого пользователя.

В одной компании, с которой сотрудничал автор книги, высказали беспокойство о том, что электронная копия может оказаться недоступной. Серверы могут отказать в работе, сетевое оборудование может выйти из строя, а внутренняя сеть может оказаться недоступной для некоторых удаленных пользователей. Они хотели, чтобы в предписаниях правил было требование публиковать печатную версию документов, доступную для всех отделов, а также для всех, кто не имеет доступа к внутренней сети. Посовещавшись, мы составили такую формулировку.

Отдел кадров должен нести ответственность за обеспечение всех отделов и тех, кто не имеет доступа к внутренней сети, печатными копиями документов правил одновременно с публикацией электронной версии.



Работа с отчетностью об инцидентах, затрагивающих информационную безопасность


Отчеты об инцидентах могут приходить из нескольких источников. Проблемы с защитой обнаруживают администраторы, и для того, чтобы пользователи могли фиксировать нарушения, они должны иметь правила, определяющие, как это делать. Отчеты об инцидентах могут приходить и извне организации, зафиксированные посторонними службами администрирования, так как проблемы могут быть связаны с сайтом организации, правовыми нарушениями или с контролирующими органами и т.п. И, наконец, может быть широковещательное оповещение о проблемах, которое может исходить от поставщика или группы реагирования на инциденты.

В первую очередь, в данных правилах устанавливаются требования по отчетности для администраторов и пользователей. При разработке этих правил желательно ввести в них формулировку с требованием, чтобы отчетность составлялась строго по определенным методикам. Это означает, что кто-то должен разработать эти методики. Формулировка может выглядеть следующим образом.

Администраторы и пользователи должны докладывать обо всех нарушениях правил безопасности и связанных с ними процедур, в которых используются утвержденные методики составления отчетности.

Затем, в правилах необходимо рассмотреть, что следует предпринимать, когда отчет об инциденте приходит из внешних источников. Большинство организаций, с которыми пришлось иметь дело, предпочитают относиться к этим сообщениям серьезно и хотят с ними разобраться. На этом основании можно написать следующую формулировку.

Администраторы должны серьезно относиться к сообщениям об инцидентах от всех внешних источников и проверять их достоверность. Результатами этих проверок необходимо оперировать, руководствуясь утвержденными правилами.

В этих правилах ничего не говорится о том, что делать, если сообщение об инциденте приходит от правоохранительных органов. В большинстве организаций довольно болезненно воспринимают ситуации, когда полиция стучится к ним в дверь по поводу каких-то проблем. В одной организации, с которой сотрудничал автор книги, хотели разработать правило, предписывающее прямую ответственность руководства за все, что относится к расследованиям, связанным с правоприменением.


Если утвердить такое правило, то не избежать проблемы, вызванной тем, что ответственное руководящее лицо недостаточно осведомлено в вопросах безопасности и не может руководить этими расследованиями. В организации решили включить в правила такую формулировку, рассчитывая разработать специальные процедуры позже. Формулировка выглядела следующим образом.

Меры реагирования на нарушения закона необходимо координировать с руководством. Руководство должно выступать в роли ведущего собственного следователя, а также нести ответственность за связи и взаимодействие с правоохранительными органами.

Заключительный аспект правил составления отчетности относится к работе с широковещательными сообщениями о проблемах, поступающими от поставщиков и групп реагирования на инциденты. Здесь возникает спорный вопрос, касающийся того, какие отчеты каких групп реагирования принимать в качестве достоверного источника сообщений о потенциальных проблемах. Некоторые советуют прислушиваться к мнению поставщиков, хотя их критикуют за слишком медленное реагирование. Другие для получения надежной информации предпочитают работать с такими организациями, как координационный центр CERT (CERT/CC). Однако CERT/CC критикуют за то, что он не реагирует на все инциденты. Кроме того, они не рассматривают доклады поставщиков антивирусного обеспечения о вирусах.

Все вышесказанное усложняет разработку правил широковещательного раскрытия информации. Разработчики правил имеют тенденцию включать в правила принципы работы со всеми группами реагирования на инциденты для обеспечения гарантий того, что ничего не будет упущено. Вместо того чтобы разрабатывать комплексные правила, лучше включить в правила формулировку, предписывающую разработку процедур, которые можно менять при изменении требований. Формулировка может выглядеть следующим образом.

Администраторы должны отслеживать широковещательные публикации организаций, сообщающих об инцидентах, ошибках и других проблемах, которые могут повлиять на безопасность сети и систем организации.В список этих организаций должны входить поставщики информационных систем, используемых в организации, по крайней мере, две ведущие организации, а также выбранный организацией поставщик антивирусного программного обеспечения.


Работа с правоохранительными органами


Если организация планирует работать с правоохранительными органами, то необходимо определить характер этой работы. Во-первых, далеко не каждое силовое ведомство способно заниматься расследованиями компьютерных преступлений. Большинство местных полицейских управлений не способно выполнять требования, необходимые для таких расследований. Так что если дело происходит в Соединенных Штатах, то все расследования такого типа ложатся на ФБР.

Для работы с любой правоохранительной организацией не существует никаких формул. Перед разработкой правил может возникнуть желание связаться с местным бюро расследований или периферийным отделением ФБР, чтобы выяснить их требования, касающиеся отчетности организации о преступлениях. При разработке правил воспользуйтесь этой информацией.



Для обеспечения гарантий защищенности систем



Для обеспечения гарантий защищенности систем и сети нужно определить правила согласования и внедрения, в которых разъясняются меры, принимаемые при нарушениях правил безопасности. Правила согласования и внедрения выходят за рамки технической сферы, в которой работает большинство профессионалов в области безопасности. Разработка этих правил требует знания различных корпоративных правил, а также соответствия различным законам, включая закон об интеллектуальной собственности, трудовое законодательство и, возможно, уголовное право.
1. Тестирование и эффективность правил.
Согласование является весьма субъективным процессом. В этом разделе правила охватывают процессы сбора статистики и составления отчетов.
Руководство должно поощрять проведение обучения по вопросам безопасности, чтобы каждый сотрудник организации понимал правила безопасности и их влияние на производственные процессы.
В правила можно включить положение об обычных мерах, используемых для тестирования правил на их эффективность.
2. Публикация документов правил и требования по уведомлению.
В правилах публикации нужно регламентировать публикацию документов и записать требования по уведомлению о сроках публикации.
В этих правилах необходимо также указать, кто будет отвечать за эту работу.
3. Мониторинг, средства управления и меры наказания.
Первый шаг по созданию правил мониторинга заключается в определении прав организации на наблюдение.
Правила управления утверждают право организации на внедрение алгоритмов, позволяющих встроить в систему определенные средства управления. Кроме того, необходимо определить состав лиц, которые будут заниматься администрированием и тестированием этих средств управления.
В правилах необходимо утвердить разработанные инструкции по назначению наказаний. Они не должны вызывать вопросов о том, имеет ли организация право применять меры наказания при нарушениях правил безопасности.
Правила должны охватывать незаконную деятельность, осуществляемую внутренними пользователями и внешними взломщиками.
4. Обязанности администраторов.
В правилах администрирования могут быть также отражены административные обязанности, которые являются обязанностями лиц, ответственных за данные или за технологию, а также - обязанности пользователей. Эти правила охватывают вопросы административного согласования и внедрения, которые не входят в сферу административного управления.
Правила, определяющие действия, когда служащий или подрядчик разрывает трудовое соглашение с организацией, и устанавливающие круг лиц, которые несут ответственность за своевременное аннулирование права доступа, освобождение ресурсов, выделенных этому пользователю, выявление в пользовательских ресурсах нарушений безопасности и других ошибок, а также за архивное хранение пользовательских файлов и других данных.
5. Соображения по регистрации событий.
Один из методов, применяемых администраторами при наблюдении за работой системы, заключается в проверке журналов, которые создаются в системе и в основных пакетах программного обеспечения.
В журналах, создаваемых этими компонентами, фиксируются все операции, которые пользователи выполняют в системе или сети, а также фиксируются все ошибочные и успешные попытки доступа к системе.
Правила регистрации довольно сложны, поскольку невозможно составить общую формулировку, подходящую для любой конфигурации системы. Может быть непрактично регистрировать каждую операцию, выполняемую в компьютерной системе, но необходимо обеспечить поддержку сервисных систем, обслуживающих базы данных. В правилах может быть сказано, что в журналы должны заноситься все важные события, но кто может сказать, какие события являются "важными" для каждой сети и системы?
В правилах регистрации событий нужно еще описать, как должна обрабатываться информация из журналов.
Правила обновления журналов могут меняться в зависимости от рода деятельности организаций, а также от разновидности журналов.
6. Отчетность о нарушениях безопасности.
Отчеты об инцидентах могут приходить из нескольких источников. Проблемы с защитой обнаруживают администраторы, и для того, чтобы пользователи могли фиксировать нарушения, они должны иметь правила, определяющие, как это делать.
В правилах устанавливаются требования по отчетности для администраторов и пользователей.
В большинстве организаций довольно болезненно воспринимают ситуации, когда полиция стучится к ним в дверь по поводу каких-то проблем.
В правила работы с открытыми широковещательными отчетами необходимо включить методы разделения информации: какую информацию считать достоверной, а какую проверять.
После сообщения об инциденте собираются улики, и применяются правовые санкции, базирующиеся на этом сообщении. Недостаточно просто сообщить о том, что что-то произошло. Если в ходе расследования инцидента установлено, что требуется применить меры наказания, которые могут ограничиваться дисциплинарными мерами или применением мер, предусмотренных законодательством, то в правилах должны быть описаны требования по обработке этих улик.
7. Соображения, касающиеся действий после совершения компьютерных преступлений.
Бороться с компьютерными преступлениями довольно нелегко. Несмотря на то, что некоторые правоохранительные органы пытаются обучиться работе на этом новом фронте, кажется, пока только ФБР имеет достаточно ресурсов, необходимых для расследования некоторых преступлений.
Перед разработкой правил может возникнуть желание связаться с местным бюро расследований или периферийным отделением ФБР, чтобы выяснить их требования, касающиеся отчетности организации о преступлениях.
Чтобы успешно расследовать компьютерные преступления, очень важно сохранить улики, чтобы доказать факт совершения преступления — с учетом требований правоохранительных органов и государственных прокуроров, которые будут преследовать злоумышленников в судебном порядке. Возможно, прежде чем разрабатывать правила, нужно будет проконсультироваться с местным окружным прокурором или Генеральным Прокурором, чтобы выяснить требования по предоставлению улик.

Согласование и внедрение


После завершения разработки правил информационной безопасности наступает этап утверждения и внедрения этих правил. Хорошо, если можно было бы доверять пользователям и всем остальным, кто имеет доступ к системам и сети организации. Для обеспечения гарантий защищенности систем и сети нужно определить правила согласования и внедрения, в которых разъясняются меры, принимаемые при нарушениях правил безопасности.

Правила согласования и внедрения выходят за рамки технической сферы, в которой работает большинство профессионалов в области безопасности. По своей природе разработка этих правил требует знания различных корпоративных правил, а также соответствия различным законам, включая закон об интеллектуальной собственности, трудовое законодательство и, возможно, уголовное право. Поэтому весьма важно, чтобы в обсуждении этих правил участвовали представители всех сфер деятельности, на которые будут влиять правила.

Консультации у юриста

На протяжении всей книги приводятся примеры формулировок правил, которые можно использовать в качестве образца при разработке своих правил. Можно также эти примеры целиком вставлять в разрабатываемые правила. Но не следует забывать, что эти примеры базируются на личном опыте автора, поэтому следует их доработать согласно конкретным юридическим нормам.Поэтому мы настоятельно рекомендуем, для проверки законности этих формулировок проконсультироваться у юриста той страны, в которой компания занимается бизнесом.



Соображения, касающиеся действий после совершения компьютерных преступлений


В последние годы компьютерные преступления стали центром внимания служб безопасности. Поскольку организации стали относиться к вопросам безопасности своих информационных активов более серьезно, все громче слышны требования сурово наказывать тех, кто совершает компьютерные преступления. В этом ключе Конгресс США, многие государства и даже такие международные сообщества, как Европейский Союз, приняли законы, направленные на борьбу с компьютерными преступлениями.

Тем не менее, бороться с компьютерными преступлениями довольно нелегко. Несмотря на то, что некоторые правоохранительные органы пытаются обучиться работе на этом новом фронте, кажется, пока только ФБР имеет достаточно ресурсов, необходимых для расследования некоторых преступлений. Однако их ресурсы тоже ограничены, поэтому они установили нижний порог наносимого компьютерным преступлением материального ущерба, ниже которого преступление не подлежит расследованию.

Далеко не каждая организация захочет докладывать о компьютерных преступлениях. Ведь в случае раскрытия этой информации организация сталкивается с трудностями и возможными негативными последствиями на рынке, что может вызвать к ней недоверие. Из состава акционеров крупного банка вышел акционер, державший большой пакет акций, после того как обнаружилось, что взломщик похитил 10 миллионов долларов через Internet. Банк раскрыл эту информацию только по предписанию судебного ордера. В противном случае никто бы никогда об этом и не узнал.



Соображения по регистрации событий


Независимо от того, насколько тщательно в организации проводится контроль за безопасностью, большая часть нарушений всплывает только после того, как они были сделаны. В большинстве случаев администратор замечает признаки нарушений без чьей-либо помощи. Один из методов, применяемых администраторами при наблюдении за работой системы, заключается в проверке журналов, которые создаются в системе и в основных пакетах программного обеспечения. В журналах, создаваемых этими компонентами, фиксируются все операции, которые пользователи выполняют в системе или сети, а также фиксируются все ошибочные и успешные попытки доступа к системе.

Правила регистрации довольно сложны, поскольку невозможно составить общую формулировку, удовлетворяющую любой конфигурации системы. В тех случаях, когда считается непрактичным регистрировать каждую операцию, выполняемую в компьютерной системе, необходимо обеспечить поддержку сервисных систем, обслуживающих базы данных. В правилах может быть сказано, что в журналы должны заноситься все важные события, но кто может сказать, какие события являются "важными" для каждой сети и системы? Кроме того, для некоторых систем в отдельных организациях ведение журналов может быть необязательно. Например, в сервере, обслуживающем печать, функции регистрации могут быть отключены, поскольку вспомогательные системы печати могут хранить эту информацию в ином месте.

При рассмотрении правил регистрации событий необходимо разработать формулировку, которая предписывает регистрировать в журналах события, имеющие отношение к безопасности. Таким образом можно гарантировать, что для юридических разбирательств имеется информация, в которой зафиксированы факты нарушения безопасности. Ясно, что это может быть далеко не вся информация, используемая в таких случаях, но такая информация необходима. Дополнительные соображения по этому вопросу выглядят так.

Журналы регистрации должны обеспечивать их проверку теми же системными средствами, какими создаются записи в этих журналах.

Журналы регистрации должны предоставлять достаточно информации для обеспечения идентификации и отслеживания всех привилегированных операций системы.

Журналы регистрации должны включать записи, фиксирующие подключение нового пользователя, а также все его действия, которые имеют отношение к безопасности.

Что касается баз данных, то журналы регистрации могут понадобиться при восстановлении запорченной производственной информации.

В правилах регистрации событий нужно еще описать, как должна обрабатываться информация из журналов. Это очень важный процесс в технологии контроля безопасности, поэтому в правилах должны быть определены инструкции по обработке содержащейся в журналах информации. Этим будет гарантирована доступность содержимого журналов для администраторов. Некоторые полагают, что эти правила слишком обобщены, и что администраторы в них не нуждаются. Автор книги предполагает, что не все могут самостоятельно сделать необходимые выводы, поэтому рекомендует все-таки включить такие формулировки в правила. Обобщенный набор формулировок может выглядеть следующим образом.

Администраторы должны регулярно просматривать системные и другие журнагы регистрации.

Просматривать файлы журналов могут только пользователи, которым даны на это права.

Администраторы должны предпринять необходимые меры предосторожности, чтобы исключить отключение заполнения журналов, их исправление или удаление.

При обнаружении нарушений этих правил или безопасности сетей администраторы должны выполнить установленные процедуры.

В отношении последней формулировки правил нужно сказать, что несмотря на легкость создания процедур обработки журнальных записей, их очень сложно реализовывать. Проблема заключается не в сборе информации, что относительно просто, а в том, что это действительно искусство — методическая работа с регистрационными записями и определение с их помощью, что же произошло на самом деле. Это требует большого опыта и времени.

И. наконец, в правилах необходимо оговорить, что делать с системными журналами по прошествии времени. Администраторы понимают, что записи в журналах должны циклически обновляться и даже удаляться из системы, чтобы дать возможность системе фиксировать новые события. Для такого управления работой с журналами должны быть разработаны правила, определяющие порядок замены и обновления журналов. При разработке этих правил нужно учитывать наличие в системе свободного дискового пространства и других системных ресурсов, а также требования к продолжительности хранения журналов.

Правила обновления могут меняться в зависимости от рода деятельности организаций, а также от разновидности журналов. Например, финансовые организации могут хранить записи о финансовых сделках сроком до 10 лет. чтобы можно было в будущем провести аудит. Кроме того, может потребоваться разработка правил обслуживания носителей, на которых записаны эти регистрационные журналы. Эти правила могут походить на правила создания резервных копий, которые обсуждалась в главе 2 "Определение целей политики".



Соображения по сохранению улик


Правоохранительные органы все еще работают по принципам обеспечения физической безопасности территории, и эти принципы они распространяют на расследования любых преступлений. К сожалению, место совершения компьютерных преступлений невозможно оградить сплошной желтой лентой. Однако при расследовании компьютерных преступлений, очень важно сохранить улики, чтобы доказать факт совершения преступления — с учетом требований правоохранительных органов и государственных прокуроров, которые будут преследовать злоумышленников в судебном порядке.

При разработке правил, касающихся этой области, должны быть изучены все аспекты взаимодействия с правоохранительными органами, чтобы четко определить требования правил. Для крупных организаций, обладающих возможностями размещать свои офисы в различных штатах и странах, необходимо рассмотреть все вопросы, связанные как с юрисдикцией вообще, так и с особенностями применения законов, связанными с местом размещения офиса. Дело в том, что правовые нормы для различных местных, относящихся к юрисдикции штатов и принадлежащих федеральному правительству органов, могут быть совершенно разными. Иногда наилучшим выходом может оказаться разработка простых правил, в которых говорится, что организация будет работать с правоохранительными органами в соответствии с их нормативами. Детали можно оставить для раскрытия их в связанных с правилами процедурах после обсуждения всех деталей в местном отделении адвокатской конторы.



Тестирование и эффективность правил


Этот раздел иногда называют Правилами правил. Здесь рассматриваются различные вопросы, начиная с того, каким образом оценивать эффективность проводимой политики. Мы говорим не о тестировании алгоритмов, а о том, насколько внедрение правил делает бизнес более эффективным, благодаря проводимым процедурам согласования.

Проверка правил на соответствие является весьма субъективным процессом. Большинство организаций, с которыми работал автор, предпочитают хранить в тайне статистику выявленных нарушений и разрешенных нарушений правил. Поэтому не удается получить информацию, которую можно бы было использовать при доработке правил информационной безопасности. Вот поэтому правила, разрабатываемые в этом разделе, охватывают процессы сбора статистики и составления отчетов. Кроме того, для подкрепления этих процессов рекомендуется включить в правила формулировку о проведении инструктажа по безопасности.

Что же касается инструктажа по безопасности, то после разработки правил необходима совместная работа разработчиков правил, руководства и каждого сотрудника организации для изучения правил и их применения. Руководство должно не только выделить для этого время, но и всячески содействовать проведению обучения. Введение требований проведения инструктажа в качестве первой формулировки правил в этом разделе говорит о том, что инструктаж является очень важным компонентом в плане обеспечения безопасности. Это может быть отражено в следующей формулировке.

Все пользователи для получения права доступа к сети и системам организации должны пройти инструктаж по безопасности для ознакомления с правилами безопасности. Пользователи, которые уже работают в сети, должны пройти инструктаж в течение 30 дней после введения в действие этих правил.

После ознакомления пользователей с правилами информационной безопасности следующим шагом нужно продемонстрировать степень соответствия правил реальной работе. Это будет мерой эффективности работы по данным правилам. Следует помнить, что речь идет о правилах, так что не стоит углубляться в специфику. В правилах может быть записано, что заниматься сбором и обработкой статистических данных и другой информации о нарушениях безопасности, а также о разрешенных нарушениях правил должны администраторы. Таким образом, в правила вводится следующая формулировка.

Администраторы безопасности и системные администраторы должны делать записи обо всех нарушениях безопасности. Эти записи должны быть достаточно подробны, чтобы их можно было использовать для наложения дисциплинарных взысканий и при доработке правил безопасности. Администраторы безопасности должны вносить каждое разрешенное нарушение правил в журналы допустимых рисков. Руководители, которым необходимо нарушить отдельные предписания этих правил, должны расписаться в таком журнале и тем самым взять на себя ответственность за безопасность систем и сетей.



Требуемые действия


После сообщения об инциденте собираются улики и применяются правовые санкции, базирующиеся на этом сообщении. Недостаточно просто сообщить о том, что что-то произошло. Если в ходе расследования инцидента установлено, что требуется применить меры наказания, которые могут ограничиваться дисциплинарными мерами или применением мер, предусмотренных законодательством, то в правилах должны быть описаны требования по обработке этих улик.

Для правильного применения некоторых правил требуются познания в области работы с уликами, которые необходимы для применения юридических санкций. Все это можно отразить в нескольких общих формулировках правил. Разрабатывая эти формулировки, необходимо учитывать правила, касающиеся следующих вопросов.

Если рассматривать обобщенно, правила, охватывающие работу с информацией, связаны с нарушениями безопасности или нарушениям этих правил. Чтобы избежать проблем с законом, правила можно написать так. чтобы детали реализации не попали в них, а были рассмотрены на этапе внедрения.

Расширение правил в отношении отчетности и устранения заражения вирусами.

Как документировать и реагировать на запрошенную отчетность о неисправностях программного обеспечения и других изъянах.

Предупреждение потенциальных проблем при получении сообщений о проблемах от групп реагирования на инциденты.



Управление


Правила управления утверждают право организации на внедрение алгоритмов, позволяющих встроить в систему определенные средства управления. Хотя другие правила разрешают организации устанавливать средства управления доступом и требования аутентификации и использования паролей, эти правила определяет право реализовывать их постановления. Как бы странно это не звучало, некоторые юристы считают, что введение таких правил может оказаться необходимым для предотвращения потенциальных проблем, если организация будет выступать ответчиком в суде. Даже если судьи этого не требуют, вреда от введения этого постановления не будет. Правило может звучать достаточно просто.

Руководство должно установить средства управления согласно требованиям этих правил.

Наряду с определением управления, в правилах должно указываться, кто имеет право администрировать и тестировать эти средства управления. Организации не хотят, чтобы кто-то посторонний тестировал их средства безопасности. Помимо доступности бесплатных средств через Internet, риск такого тестирования увеличивается из-за пользователей, которые очень любопытны или умышленно нарушают правила безопасности.

Дело Рэндала Шварца

В громком деле знаменитый автор и эксперт фирмы Pearl Рэндап Шварц (Randal Schwartz) был осужден за компьютерное преступление в штате Орегон. Обвинявшийся, помимо всего прочего, в несанкционированном тестировании средств защиты сети и систем корпорации Intel, когда он работал на Intel в качестве подрядчика, Шварц заявил, что он это сделал с наилучшими намерениями. Независимо от мнения читателя об этом деле, представим, будто читатель несет ответственность за безопасность сети. Никто никогда не знает, с какими намерениями осуществляется зондирование системы — с благородными или не совсем, особенно, если это, якобы благородное, лицо делает это без разрешения. Как можно об этом знать наверняка? Что предпринял бы читатель в этой ситуации? Об этом стоит подумать при разработке ваших правил.

Формулировки этих правил очень сильно зависят от законов, касающихся вашей деятельности.


Чтобы эти правила были эффективными и, при необходимости, могли служить для обеспечения правовой защиты, законодательство или прецедентное право включает требование о том, чтобы организация руководствовалась в работе своими собственными правилами, во избежание юридического разбирательства. Люди, занимающиеся техническими вопросами, так не думают, но, тем не менее, необходимо изменить свой менталитет и всегда обращаться за помощью к адвокатам. Нижеследующую формулировку можно использовать в качестве руководства по разработке правил управления.

Руководство и назначенные администраторы должны нести ответственность за тестирование средств управления доступом и тестирование сети на наличие уязвимых мест. Пользователи не должны проводить тестирование на наличие уязвимых мест и тестирование средств управления доступом вручную или программными средствами.

Когда уязвимые места становятся известны, пользователи не должны использовать их возможности вручную или с помощью программных средств.

Руководство и назначенные администраторы должны иметь доступ к средствам, которые могут помочь в управлении и тестировании системы обеспечения информационной безопасности. Пользователи не должны иметь доступ к этим средствам через сеть организации и не должны загружать эти средства в любую область сети или "скачивать" их оттуда.