Разработка систем безопасности

         

Физическая безопасность

В первых трех главах обсуждалась подготовка, которую необходимо провести для разработки правил информационной безопасности. В этой главе мы начнем рассматривать правила физической безопасности. Правила физической безопасности несложны, поскольку каждый понимает идею физической защиты собственности. Но хорошая политика должна охватывать не только стандартные концепции оружия, охраны и пропускных пунктов. При разработке правил также должно учитываться планирование аварийного резерва оборудования и процедуры его восстановления после аварии. В данной главе рассмотрены отдельные вопросы, которые необходимо включить в правила безопасности.

Размещение компьютеров и монтаж оборудования

Двадцать лет назад подготовка к размещению компьютеров означала, что находилось помещение с мощным основанием, устанавливались съемные панели фальшпола, подводилось силовое электропитание, устанавливался кондиционер, а также через стены и потолки пропускались кабели. Нагромождение проводов в офисе было обычным делом. Реконструированные шкафы для хранения инвентаря использовались в качестве кроссовых шкафов. Машинные залы были тесными, с неудобными подходами и плохо спроектированными. На двери был замок, так что только уполномоченный персонал мог туда входить. В принципе,


компьютерные системы рассматривались как некие идолы, с которыми общались и приносили им жертвоприношения только жрецы информации.

Во время написания этой главы автор вспоминал также опасности, которые подстерегали всех, кто имел дело с компьютерами, вызванные плохим выбором места расположения машинных залов и распределительных щитов. Один из редакторов издательства рассказывал, что он работал в серверном зале, который находился в двух метрах от водопровода. Другая проблема заключалась в том. что кондиционирование воздуха для этой комнаты было отделено от кондиционирования остальной части здания, и вентиляционная отдушина была предназначена для выхлопа дизельных генераторов, запускающихся в случае непредвиденных ситуаций с электропитанием. Редактор вспомнил, что кто-то даже чуть не умер от ядовитых выхлопных газов, не желая покидать свой пост. Это говорит о том, что кроме сценариев атаки, физическая безопасность должна рассматривать много других ситуаций, которые могли бы повлиять на функционирование систем или сетей.

Революционное наступление персональных компьютеров и бурный рост сетевых систем изменили положение дел. Оборудование стали устанавливать в помещениях со встроенными в стены кабелями, с соединительными разъемами, введенными за пределы офиса. Сетевое оборудование устанавливают в специально спроектированных помещениях или "шкафах", а для серверов выделяется отдельное помещение внутри офиса. Но при таком серьезном подходе к компьютеризации, тем не менее никто особо не ломает голову при выборе места для размещения компьютерных центров. Их размещение в здании рассматривается скорее с точки зрения удобств, а не безопасности.

Многие, прочитав этот раздел, скажут, что это все должно быть и так очень просто и понятно. Нельзя не согласиться с такой оценкой. Но, к сожалению, автору приходилось сталкиваться со случаями, когда важные информационные системы устанавливались в помещениях со стеклянными стенами, с единственным источником электропитания, а также с ненадежными замками и дверями. В таких помещениях важные информационные системы могут легко стать объектом физических атак или аварийных ситуаций.

Монтаж оборудования

Физически оборудование будет защищено наилучшим образом в том случае, если организация сама создает новое оборудование или приобретает оборудование, которое может быть модифицировано при установке. Организация может спроектировать распределительные щиты, помещения для серверов и оптимальную схему коммуникаций и расширений, что упростит монтаж оборудования для информационного обслуживания. Даже если организация переживает пока не лучшие времена, в правилах безопасности должна быть предусмотрена установка такого оборудования.

Правила, регламентирующие монтаж оборудования, должны быть простыми и общедоступными. Во-первых, нужно изучить существующее оборудование. Где следует разместить компьютеры, серверы и коммуникационное оборудование? Это надо определить в неспецифических терминах. Например, рассмотрим формулировку правил компании, которая запускает большую вычислительную систему в крупном городе. Главный компьютер этой системы размещен на 10 этаже за несколькими надежно закрывающимися дверями, помещение имеет фальшпол, высокие потолки, лампы дневного света и два пожарных выхода. Эта компания могла бы иметь правила безопасности, предписания которых выражены следующими словами.

Помещение для компьютеров должно иметь достаточную площадь и быть расположено на любом этаже, кроме первого, с несколькими дверями и иметь несколько пожарных выходов.

Заметьте, что в этой формулировке не говорится о фальшполах, высоких потолках и освещении. Эти элементы, несмотря на их важность, можно назвать деталями реализации и описывать их в правилах безопасности вовсе не обязательно. Таким образом, если фальшпол больше не потребуется или появятся новые типы ламп, которые работают лучше старых, не нужно будет делать изменения в правилах.

Язык документов политики безопасности
Очень важно, каким языком написаны правила безопасности, не менее важно, чем при написании этой книги.
Язык, особенно языковой стиль, используемый при составлении формулировок правил, может сказать много о документе, а также о том, как в организации относятся к правилам информационной безопасности.
Можно допустить и ложное толкование документа. Если язык чересчур формален или многословен, то может возникнуть мнение, что правила написаны для них как бы свысока. Если же язык чересчур неформален, то служащие могут и не воспринять эти правила серьезно.Поэтому, здесь нужно искать золотую середину.
В этой книге представлены формулировки правил, написанные простым языком, но формальным стилем. Формулировки составлены без использования модных словечек или жаргона. Формальность связана с тенденцией использовать в формулировках правил повелительные безличные наклонения (в английском варианте слова "shall" и "shall not"). Те, кто работают с федеральным правительством, отметят, что этот стиль похож на стиль, который используется в заявках на : торгах (RFP — Request For Proposals) или в рабочих предписаниях (SOW — statement of work).

Стоит отметить, что в формулировке задается размер помещения без указания конкретных размеров. Выражением "помещения должны иметь достаточные размеры" правило предписывает, чтобы эти помещения для компьютеров были подходящими. Тонкость этого момента заключается в том, что требования этих правил будут гарантировать, что при проектировании новых площадей офиса будет достаточно серьезно учтено обеспечение необходимыми помещениями информационных систем.

Одним из вопросов, которые необходимо учесть при разработке правил монтажа оборудования, является доступность к резервным источникам электропитания и доступ к ресурсам, предоставляемым предприятиями коммунального хозяйства. Под резервными источниками электропитания подразумевается все,. начиная от энергетической компании, обеспечивающей электроэнергией от отдельных энергетических систем, до источников бесперебойного питания (UPS— uninterruptible power supply), которые снабжают компьютеры электроэнергией аккумуляторов, предоставляя администратору время для отключения систем и выполнения всех подготовительных для отключения питания операций. Сложности начинаются при разработке правил, в которые включены требования по электроэнергии. Правила должны отражать физические и экономические реалии, и в то же время определять, что необходимо делать, чтобы обезопасить бизнес-процесс. Например, банк может затребовать полное резервирование электрообеспечения систем, которые обеспечивают автоматическое функционирование банкоматов, но - ограниченное резервирование для систем, которые поддерживают работу этих банкоматов только в рабочее время. Правило могло бы быть следующим:

Компьютерное оборудование нужно размещать в помещениях, в которых имеется несколько дверей и пожарных выходов с полами жесткой конструкции, и в которых предусмотрен доступ к резервным источникам электропитания.

Замки и перегородки

Когда автор говорил представителям организаций о таких простых вещах, как двери и замки, в ответ, обычно, раздавался дружный смех. Чаще всего двери, замки и другие запорные приспособления не принимаются в расчет при монтаже оборудования. Однако, если вы собираетесь написать правила, гарантирующие, сохранность информационных активов в защищенных помещениях, не забудьте упомянуть в них о дверях и других запорных приспособлениях. Ненадежные двери могут оказаться слабым звеном в программе физической безопасности. Так что необходимо позаботиться, чтобы двери и другие запорные приспособления были неприступны для атаки (взлома).

При рассмотрении этих вопросов станет понятно, что надежность дверей по важности стоит на втором месте после управления доступом. Огнестойкие двери и перегородки могут предотвратить или снизить вероятность нанесения ущерба. Пожар вне комнаты не попадет внутрь, а пожар внутри помещения будет оставаться внутри и, возможно, будет ликвидирован не распространившись. Эти двери должны быть герметичными, стоит даже подумать об автоматически закрывающихся дверях, потому что они по-прежнему считаются надежным заслоном в случае пожара. В правилах нужно не только упомянуть о пользе использования дверей такого типа, но необходимо также включить формулировку, в которой говорится, что эти двери не должны быть постоянно открыты.

Обеспечение условий в помещении

Когда автору довелось помогать одной организации в определении ее политики безопасности, он поинтересовался у руководителей, что они думают об условиях, созданных в помещении и средствах управления ими. Главный менеджер с удивлением поинтересовался, разве им еще необходимо что-то иметь, кроме кондиционеров. Осмотрев их помещение, автор увидел большие антистатические ковры возле серверов и начал спрашивать о составе атмосферы внутри помещения.

Каждая составляющая, определяющая условия в помещении, должна определяться правилами. Знание того, что необходимо делать для управления уровнем статического электричества в помещении, поддержки надлежащей влажности (главного виновника проблемы статического электричества), температуры и состава воздуха, поможет снять эти проблемы вместо того, чтобы их игнорировать. Формулировка правил может быть довольно проста.

Помещения, в которых размещены серверы, должны быть снабжены средствами поддержания в помещении такой температуры и влажности воздуха, чтобы исключить влияние статического электричества.

Обеспечение стабилизированным питанием, преобразование напряжения и фильтрация, даже потребляемые каждым компонентом информационной системы токи, не обязательно имеют отношение к условиям в помещении. Тем не менее, поскольку мы рассматриваем поддержание определенных условий в помещении, а требования к электропитанию являются необходимым условием внедрения информационных систем, к тому же не нашли отражения в других правилах, вопросы обеспечения стабилизированным питанием можно включить в этот раздел.

Инвентаризационный учет

Кто может сказать, что должно находиться в помещении для серверов? Должна ли находиться в этом кросс-шкафу телефонная линия? Все, что имеет в своем хозяйстве организация, и где предполагается это разместить, определяется инвентаризационным учетом. Руководствуясь при монтаже оборудования инвентаризационным перечнем, можно быть уверенным, что в помещении не будет установлен какой-нибудь не тот компьютер или коммуникационное устройство.

В правилах инвентаризационного учета должно быть записано, что необходимо составить номенклатуру оборудования с указанием места его размещения. Маркировать оборудование можно с помощью металлических ярлыков или ярлыков из другого прочного материала. Имеет смысл отметить в правилах, что использовать следует ярлыки, которые можно было бы считывать с помощью электронного оборудования, что-нибудь вроде штрих-кодов или встроенных электронных инвентаризационных меток вроде тех, которые используются для предотвращения краж в универсальных магазинах. Эти технологии можно использовать вместе с компьютеризированным оборудованием, обеспечивающим точный учет аппаратных средств и программного обеспечения, что очень важно при проведении инвентаризации информационных активов.


Средства управления доступом

Чтобы лишние люди не могли попасть в помещение, можно построить стены и перегородки, но теперь нужно определить, кому разрешено входить в это помещение? Для того чтобы учесть в правилах безопасности все аспекты, касающиеся доступа, в них необходимо включить положения, касающиеся управления доступом, а также регистрации тех, кто имел доступ к информационным средствам. Те, кто пока не понимают, как эти положения правил дополняют друг друга, пусть попробуют перед разработкой правил монтажа оборудования написать правила доступа к оборудованию.

Создание средств управления доступом

Сотрудничая с компаниями различных размеров, включая правительственных подрядчиков, автору приходилось сталкиваться с всевозможными мерами, ограничивающими доступ в здания, компьютерные помещения и к шкафам с оборудованием. Чаще всего используют систему, основанную на идентификации специальных значков с фотографией пользователя и нанесенным на значки кодом, соответствующим предоставленному владельцу значка допуску или его статусу в организации, который соответствует его допуску. Чаще всего эти значки имеют магнитные полосы или другие метки, считываемые электронными устройствами.

Для небольших организаций такой тип управления доступом может быть и не обязателен. Однако это не означает, что вообще ничего не нужно предпринимать. В конце концов, вряд ли вам понравится, если кто-то зайдет к вам на узел и что-нибудь испортит. Следует помнить, что средства управления доступом устанавливаются для того, чтобы не допустить того, кому не положено, в запрещенные для них места. Так что независимо от размеров организации не стоит игнорировать разработку таких правил.

Независимо от наличия соответствующего правила, в организации необходимо регистрировать тех, кто имел доступ к оборудованию организации. Для этого служат и специальные пропуски в отдельные офисы, где можно получить доступ к компьютерам, используемым рядовыми служащими, или получить доступ к вспомогательному оборудованию типа кабельного хозяйства и коммуникационного оборудования. Если есть возможность физического доступа посторонних людей к коммуникационному оборудованию, то следует опасаться, что кто-то установит "жучки" или какое-нибудь другое прослушивающее устройство. В таком случае вся сеть будет скомпрометирована.

Правила доступа и промышленный шпионаж
О случаях промышленного шпионажа мы слышим ежедневно. Независимо от того, занимаются ли этим крупные корпорации, мелкие "выскочки", или даже правительственное шпионское ведомство, промышленный шпионаж представляет собой попытку одной компании (или страны) похитить информационные активы другой. Существует масса способов хищения информации. Один из методов заключается в полунении доступа к сети и серверам, где хранится интересующая информация. Идея разработки правил управления доступом состоит в том, чтобы не допустить к информационным активам тех, кто занимается шпионажем. Для этого персонал, обеспечивающий безопасность компании, должен знать, кому разрешен доступ.

Одним из требований может быть проверка протоколов управления доступом, включая проверку журналов, в которых записываются те, кто посещал охраняемые зоны. Следует отметить, что это стандартные требования для тех, кто работает над секретными проектами федерального правительства. В любом случае в правила управления доступом должна быть включена четкая формулировка, требующая вести такие журналы и протоколы.

Управление доступом к оборудованию должно обеспечиваться автоматической идентификацией сотрудников, которая предусматривает процедуры добавления или исключения персонала из баз данных или списков. Эти процедуры должны быть контролируемые. Более того, должны храниться записи о том, кому дозволен доступ в каждую зону, где установлено определенное оборудование, а также журналы, по которым можно идентифицировать каждого, кто входил и выходил из охраняемой зоны.

Следует обратить внимание, что в этой простой формулировке правил не определены никакие технологии или процедуры. Таким образом, остается свобода выбора необходимых процедур. Если вопросами управления доступом в организации занимается отдел кадров, чтобы наделить его соответствующими полномочиями, можно дополнить формулировку:

...что касается разрешения доступа к оборудованию. Процедуры для управления доступом должны быть определены отделом кадров...

Что делать, когда ответственный работник, который занимался управлением доступом, подал заявление на увольнение? Естественно, вы захотите ограничить его или ее право доступа, но до какой степени? В некоторых компаниях уволившимся служащим позволено прийти в свой офис, чтобы забрать личные вещи. В других - для этого требуются сопровождающие и, в случае, если дело касается зон, требующих правительственного допуска, может даже потребоваться вооруженная охрана. Независимо от конкретной ситуации в вашей организации, в правилах должны быть учтены подобные моменты, касающиеся доступа. Следует учесть, что отдел кадров мог бы также заниматься этими вопросами, поэтому необходимо поработать с ними для включения в документ правил безопасности приемлемой для них формулировки.

Ограничение доступа к компьютерному оборудованию

Обсуждая общие проблемы управления доступом с системными администраторами, всякий раз убеждаешься, что они крайне неохотно уступают управление физическим доступом к "их" системам кому-то другому. Такой подход к распределению ответственности, конечно, приветствуется (см. главу 2 "Определение целей политики"), но иногда он откровенно мешает. Системные администраторы являются ключевым звеном в этом процессе, но иногда лучше, чтобы существовал не зависимый от них процесс управления физическим доступом.

Определение правил физической безопасности для компьютерных и коммуникационных систем требует такого же внимательного подхода, как и при разработке правил физической безопасности для любого другого оборудования. Однако по причине того, что управление этими системами отличается от управления оборудованием общего назначения, есть смысл для этих систем разработать отдельные правила.

При разработке правил физической безопасности для компьютерного оборудования необходимо продумать три основных вопроса.

1. Тип общего доступа к компьютерному оборудованию. Было бы разумно запретить общий доступ. 2. Определить право доступа к хранилищам, где хранятся магнитные ленты, дополнительные диски и важная документация. 3. Установить для помещений, где размещены компьютеры и серверы, статус помещений особого режима, и ограничить доступ в них посетителей. В отличие от тех времен, когда компаниям нравилось удивлять людей своими мощными вычислительными системами, компьютерами и серверами, сейчас этим трудно кого-то потрясти. Не допуская посторонних людей в серверные помещения, можно ограничить визуальный доступ к потенциальным слабостям конфигурации.

Даже если в вашем машинном зале стоят накопители на магнитной ленте, обрабатывающие ежедневно мегабайты данных, не стоит прельщаться их демонстрацией или предоставлять физический доступ в машинный зал кому-либо — более важно обезопасить главные информационные активы.

Посетители

В каждой организации периодически бывают посетители. Независимо от того, пришел посетитель на встречу или он представляет обслуживающий персонал — в любом случае необходимо разработать правила, регламентирующие поведение посетителей. Общей концепцией для такого рода правил является требование точной идентификации посетителя и его регистрация. В процессе регистрации можно потребовать от посетителя, чтобы он ознакомился с правилами и положениями компании и всегда находился с сопровождающим.

Что же касается вопросов открытого посещения, то следует помнить, что не в каждой организации работают сотни служащих и имеются контракты с федеральным правительством, и поэтому до заключения контрактов требуется разработать многие из этих правил. Однако разработка продуманных правил посещения будет полезна в любой организации. Довольно неразумно позволять посетителям свободно перемещаться по помещениям организации. Возможно, стоит включить в правила формулировку с требованием к служащим не пускать в помещение никого, кто не имеет соответствующего разрешения.

Наличие правил посещения организации представляет собой попытку исключить потенциальную возможность промышленного шпионажа. Следует понимать, что посетитель может пойти на любые шаги, чтобы добиться преимуществ в конкурентной борьбе. Это в равной степени относится как к небольшой компании, так и к правительственной организации. Ниже следует пример формулировки правил посещения организации.

От посетителя необходимо потребовать точной идентификации своей персоны, чтобы войти в любое помещение компании. После того, как посетителю будет разрешено войти, служащий компании должен сопровождать посетителя в течение всего времени его пребывания на территории компании.


Планирование действий в экстремальных ситуациях

Когда террористы пытались подорвать в 1993 году Всемирный Торговый Центр в Нью-Йорке, сотни компаний закрылись на время эвакуации из зданий, известных как Здания-Близнецы. В результате, компании понесли убытки в миллиарды долларов. В течение трех месяцев чуть ли не половина этих компаний обанкротилась. Большинство уцелевших организаций располагало планами действий на случай экстремальных ситуаций, что позволило им или их дочерним компаниям продолжать заниматься бизнесом, пока здания оставались закрытыми. Тот, кто хочет обсудить важность планирования на случай непредвиденных обстоятельств, мог бы переговорить со служащими сотен компаний, которые оказались без работы по причине того, что их компании обанкротились.

Планы реагирования на непредвиденные обстоятельства

Никому не понравится мысль о том, что здание, в котором расположен их офис, может быть взорвано, уничтожено огнем или стихийным бедствием. Но вероятность таких бедствий существует, поэтому лучше подготовиться к ним заранее. Хоть разработка такого плана и выходит за рамки документов, составляющих правила безопасности, тем не менее, в правила можно ввести инструкции, предписывающие разработку такого плана. В этих инструкциях может быть рассмотрена аварийная обработка данных, способы завершения работы систем и меры предосторожности для сохранения жизнеспособности информационных систем и возможности их восстановления. Правило может звучать следующим образом.

Системный администратор должен располагать планом на случай непредвиденных обстоятельств и бедствий, в котором описывается, что при этом делатъ с оборудованием организации. Этот план должен гарантировать целостность данных и возможность быстрого их восстановления. Любой план, составленный на основе этого плана, должен содержать в себе меры предосторожности для предотвращения смертельных случаев, травм и ранений, благодаря разработке нескольких сценариев. В этом плане должно также быть предоставлено служащим право решать, принимать ли им участие аварийных работах или нет, если их жизни угрожает опасность.

Восстановление после аварии

В приведенной выше формулировке правил говорится, что системный администратор должен располагать планом на случай непредвиденных обстоятельств. Не имеет значения, кто будет проводить в жизнь этот план. Даже в том случае, если ваша организация воспользуется наработками комитета по этому вопросу, все равно в правилах должна быть определенная формулировка, касающаяся разработки плана действий после аварии и реализации такого плана. Как и в случае со всеми остальными процедурами, необходима возможность периодического контроля и обновления этих планов. Таким образом, в формулировку правила можно добавить следующее.

Данный план восстановления после аварии должен подвергаться периодическому пересмотру в разумные сроки, с интервалом между пересмотрами не менее одного года. В процедуру пересмотра и контроля должен быть включен план по тестированию самой процедуры.

Предупреждения об опасности и сигналы тревоги

В планах реагирования на непредвиденные обстоятельства должна быть предусмотрена установка системы оповещения, которая будет сообщать персоналу соответствующей службы об авариях на системах, обслуживаемых этой системой оповещения. В правила, регламентирующие работу систем оповещения и предупреждения об опасности, необходимо включить положение об оповещении администрации. Администрация, в свою очередь, должна отвечать за информирование каждого сотрудника об аварийных ситуациях или ожидаемых аварийных отключениях.

В эти правила обязательно должна быть включена рекомендация сделать постоянно доступной контактную информацию аварийных служб. Если организация имеет непрерывный цикл работы (24/7/365), то в правила безопасности следует включить условия вызова аварийной службы, которая имеет дежурный персонал, работающий и в нерабочее время.


Общая безопасность компьютерных систем

Целью разработки правил безопасности универсальных компьютерных систем, является обеспечение работоспособности систем и обеспечение информационной поддержки бизнес-процесса. Поэтому такие факторы, как техническое обслуживание и аварийные отключения (ожидаемые и незапланированные), рассматриваются именно в этом разделе.

Профилактическое обслуживание

Основной причиной, препятствующей нормальному техническому обслуживанию, особенно в больших системах, является недоступность системы программными средствами из-за сбоев, которые можно было бы предотвратить. Некоторые люди утверждают, что профилактическое обслуживание является общепринятой рабочей процедурой, но автор сталкивался с компаниями, пренебрегающими этой работой. Не имея правила, требующего профилактического обслуживания компьютерных систем, организация рискует столкнуться с фундаментальными проблемами, угрожающими нарушить весь бизнес-процесс. Даже если вы считаете, что профилактическое обслуживание - это всего лишь текущая работа, все равно постарайтесь утвердить ее в виде предписания политики безопасности, чтобы гарантировать выполнение этой работы.

Доступность системы

Бывают такие случаи, когда отключения необходимы. В общем случае правила, предоставляющие время для профилактических работ, или разрешающие отключить отдельные вспомогательные системы, должны дополняться и ограничиваться рабочими инструкциями, к тому же решение об отключении должно приниматься несколькими ответственными лицами. Эти правила должны ограничивать возможности пользователей задерживать или прерывать работу систем, а также должны определять последовательность действий при замене стандартных ресурсов на резервные для обеспечения стабильного функционирования важных деловых операций. Такие процедуры также называются контрольными заменами (control overrides).

Контрольные замены относятся как к физической категории правил, так и к эксплуатационной. Так как для проведения таких замен требуется ручная работа, предпочтительней включить требования проведения этих операций в правила физического обеспечения работоспособности систем. Следует понимать, что чрезмерное применение плановых замен может говорить о некорректном использовании технических ресурсов. Поскольку контрольные замены применяются в исключительных ситуациях, лучше включить в правила положение, ограничивающее их применение, поскольку такие замены могут привести к отказу в обслуживании систем. Ниже представлен пример формулировки правил.

Необходимо ввести процедуры для ограниченного использования контрольных замен системных ресурсов. Эти процедуры должны определять методы нахождения решений для контрольных замен, которые могут регистрироваться и быть пересмотрены.


Периодическая система и контроль конфигурации сети

Однажды, группа слежения за противозаконными действиями в Internet, сообщила системному администратору, что с одной из его систем было отправлено множество незатребованных сообщений по электронной почте. При проведении расследования он обнаружил систему, установленную дежурным специалистом для отправки этих сообщений из компании. Никто не знал, что эта система была установлена в серверном зале. Не было также никаких записей о сервере, обеспечивающем эти операции. В ходе дальнейшего расследования администратор обнаружил, что этот сервер был установлен два года назад, и у него было даже собственное зарегистрированное имя домена.

Чтобы больше ничего подобного не произошло, администратор занялся проведением ежеквартальной проверки конфигурации. Конечно, компания располагала планом разработки структурной схемы системы, но в нем не были регламентированы проверки на предмет установки непредусмотренных проектом аппаратных средств. Поскольку этот администратор следил за отклонениями в работе и изменениями конфигурации компьютерной системы, он понял, чтв ежеквартальная проверка конфигурации является хорошей идеей, и он добавил в правила безопасности компании требование проводить такую проверку.

Однако если компания, в принципе, не устанавливает новые аппаратные средства и не проводит существенных изменений в их конфигурации, то проверки можно проводить реже. Рекомендуется, чтобы они проводились не реже одного раза в год. Таким образом, можно составить следующую формулировку правил.

Руководитель группы технического сопровождения должен проводить проверку конфигурации системы и сети, по крайней мере, каждый календарный год. Он может проводить проверки и чаще, если считает это необходимым.

Отметим, что в правилах снова назначается проверка системы без уточнения специфики ее проведения. В зависимости от типа системы, используемой организацией, проведение проверки может преследовать различные цели. Довольно сложно определить в правилах специфику проведения проверки. Если правила меняются в соответствии с утвержденным планом, в котором определено, какой именно тип проверки необходимо проводить, то в формулировку можно внести детали.

Системный администратор должен разработать план проведения проверки конфигурации системы и сети. В этом плане должны быть описаны процедуры проверки конфигурации аппаратных средств, подключений компонентов сети и установленных компонентов системы. План должен быть утвержден комиссией, состоящей из системного администратора и других руководителей отделов. Комиссия должна ежегодно, или по мере необходимости, пересматривать эти процедуры. Проверки должны проводиться, по крайней мере, каждый календарный год. Системный администратор в случае необходимости может проводить проверку и чаще.

Хоть в данную формулировку правил это и не включено, было бы неплохо, чтобы проверку системы проводил кто-то, кто не является сотрудником подразделений обеспечивающих работу системы. Этим будут ограничены возможности проверяющего покрыть собственные нарушения правил безопасности.


Анализ кадрового обеспечения

Кадровая политика организации направлена на управление трудовыми ресурсами во время их работы в организации. Она охватывает правила учета основного технического персонала и правила инструктажа персонала. Сюда не входят правила найма, правила проведения аттестаций и процедуры собеседований. Эта работа обычно регламентируется правилами управления трудовыми ресурсами. Это следует учитывать, особенно когда отдел кадров возражает против включения этих работ в правила информационной безопасности. В качестве компромисса можно включить эти положения в оба раздела правил.

Перед тем как государственные служащие и подрядчики начнут писать гневные письма автору этой книги, пусть вначале прочтут общее правило, основанное на опыте разработки автором правил безопасности различных компаний. Правительству (гражданскому или военному) и правительственным подрядчикам могут потребоваться правила найма и получения допусков. Даже тогда, когда приходится руководствоваться требованием работать с федеральным правительством и на федеральное правительство, подчинение этим правилам является обязанностью отдела кадров организации.


Правила физической безопасности касаются не

Правила физической безопасности касаются не только вопросов оружия, охраны и пропускных пунктов. При разработке этих правил необходимо также учитывать размещение оборудования, управление им, а также процедуры восстановления после аварийных ситуаций. В этой главе мы обсудили, как формулировать правила физической защиты инфраструктуры организации.
1. Размещение компьютеров и монтаж оборудования. Правилами монтажа оборудования необходимо определить места расположения компьютеров и коммуникационного оборудования, а также размещение оборудования внутри здания. В предписаниях этих правил следует учесть возможность подключения оборудования к резервным источникам питания и возможность работы с предприятиями коммунального хозяйства. При рассмотрении вопросов, связанных с замками и дверями, необходимо учесть не только возможность физического проникновения или взлома, но и защиту от пожаров и других бедствий. Эти правила могут предписывать требования по использованию автоматически закрывающихся дверей, а также окон. Правила обеспечения условий внутри рабочих помещений касаются защиты от статического электричества и других физических факторов окружающей среды, например, кондиционирования воздуха. В эти правила можно включить требования по обеспечению стабилизированным питанием серверов и других информационных активов. Правила инвентаризационного учета связаны с учетом информационных активов путем маркирования оборудования информационных систем идентификационными штрих-кодами, которые можно контролировать с помощью компьютеризированного специального оборудования. 2. Средства управления физическим доступом к оборудованию. Создание средств управления доступом включает в себя не только разработку правил физического доступа, но и регистрацию лиц, имеющих право доступа, а также возможность проведения проверок. Правила физической защиты компьютеров и коммуникационных систем определяют ограничение доступа к компьютерным средствам. Необходимо запретить физический доступ пользователей в помещения с компьютерами и серверами, а также ограничить доступ к резервным носителям и библиотекам с документацией. Эти меры должны также предотвратить визуальное изучение компьютерного оборудования посторонними лицами. Правила управления доступом посетителей могут включать в себя требования по идентификации, регистрации, сопровождению, а также требования по обеспечению независимой охраны мест, где содержится важная информация. Что же касается всего оборудования и помещений, если правила требуют использование идентификационных значков, то лица без таких значков не должны пропускаться. 3. Планирование действий в экстремальных ситуациях. В правилах, предписывающих разработку планов реагирования на аварийные ситуации, дЪлжны быть определены цели и задачи. Кроме того, необходимо подчеркнуть, что приоритетом является безопасность служащих. Правила восстановления после аварий предписывают создание и пересмотр планов, а также проведение аварийных работ, и включают обеспечение условий для периодического контроля и обновления самих правил. Администрация должна быть оповещена в случае возникновения сигналов тревоги. Правила предписывают, чтобы администрация оповещала соответствующий персонал об аварийных отключениях и об ожидаемых отключениях. Кроме того, правила должны предписывать возможность контакта в нерабочее время с аварийными службами. 4. Общая безопасность компьютерных систем. Необходимо разработать процедуры, обеспечивающие гарантию непрерывного функционирования важных информационных ресурсов. Гарантировать доступность системы путем ограничения возможностей пользователей, задерживать или прерывать работу вспомогательных систем, а также ввести правила контрольных замен. 5. Для предотвращения рисков в защите организации из-за установки нестандартных аппаратных средств и программного обеспечения можно ввести правило проведения периодических проверок конфигурации системы и сети. 6. Кадровая политика обычно связана с учетом основных технических должностей и инструктажем персонала. Другие правила, касающиеся найма, проверки благонадежности и предоставления допусков к работе, обычно относятся к правилам управления трудовыми ресурсами.