Политики безопасности компании при работе в Интернет
Шрифт:
• в конфигурации межсетевых экранов,
• в списках контроля доступа,
• в конфигурации SNMP,
• версий программного обеспечения.
Компания Cisco рекомендует следовать следующим правилам:
• регулярно изменять пароли на сетевых устройствах;
• ограничить доступ к сетевым устройствам согласно утвержденному списку сотрудников;
• гарантировать, что текущая версия программного обеспечения сетевого и серверного оборудования соответствует требованиям безопасности.В добавление к этим правилам необходимо включить представителя группы сетевой безопасности в постоянно действующую комиссию компании по утверждению изменений для отслеживания всех изменений, происходящих в сети компании. Представитель группы безопасности может запретить реализацию любого изменения, связанного с безопасностью, до тех пор, пока это изменение не будет разрешено руководителем группы сетевой безопасности.
Мониторинг сетевой безопасности. Мониторинг сетевой безопасности фокусируется на обнаружении изменений в сети, позволяющих определить нарушение безопасности. Отправной точкой мониторинга безопасности является определение понятия «нарушение безопасности». Анализ угроз и информационных рисков позволяет определить требуемый уровень полноты мониторинга безопасности сети компании. В дальнейшем при утверждении изменений безопасности каждый раз проверяется значимость выявленных угроз сети. Оценкой этих угроз определяется объект и частота мониторинга.
Например, в матрице анализа рисков межсетевой экран определен как устройство с высоким уровнем риска. Это означает, что мониторинг межсетевого экрана должен выполняться постоянно в режиме реального времени. Из раздела подтверждения изменений безопасности следует, что необходимо выявлять все изменения в настройках конфигурации межсетевого экрана. То есть SNMP-агент должен отслеживать такие события, как отвергнутые попытки регистрации, необычный трафик, изменения на межсетевом экране, предоставление доступа к межсетевому экрану и установление соединений через межсетевой экран.
Таким образом можно создать политику мониторинга для каждой компоненты сети, определенной при проведении анализа рисков. Рекомендуется проводить мониторинг компонент сети с низким уровнем риска – еженедельно, со средним уровнем риска – ежедневно, с высоким уровнем риска – раз в час. При
Важно также определить в политике безопасности порядок уведомления членов группы сетевой безопасности о нарушениях. Как правило, средства мониторинга безопасности сети будут первыми автономно обнаруживать нарушения. Должна быть предусмотрена возможность отправки по любым доступным каналам связи уведомлений в центр реагирования на инциденты в области безопасности для оперативного оповещения членов группы сетевой безопасности.
Реагирование на нарушения. Под реагированием на нарушения в безопасности здесь понимается определение нарушений безопасности, порядка восстановления и пересмотра правил безопасности.
Нарушения безопасности. При обнаружении нарушения безопасности важно своевременно отреагировать и оперативно восстановить нормальное функционирование сервисов сети. Здесь главное правило – своевременное оповещение группы сетевой безопасности после обнаружения нарушения. Если это правило не выполняется, то реагирование будет замедлено, а следовательно, вторжение и последствия более тяжелыми. Поэтому необходимо разработать соответствующую процедуру реагирования и оповещения, действенную 24 часа в день 7 дней в неделю.
Далее необходимо четко определить уровень привилегий по внесению изменений, а также порядок внесения изменений. Здесь возможны следующие корректирующие действия:
• реализация изменений для предупреждения дальнейшего распространения нарушения,
• изолирование поврежденных систем,
• взаимодействие с провайдером для отслеживания источника атаки,
• использование записывающих устройств для сбора доказательств,
• отключение поврежденных систем или источников атаки,
• обращение в правоохранительные органы или федеральные агентства,
• выключение поврежденных систем,
• восстановление систем в соответствии со списком приоритетности,
• уведомление руководства и юристов компании.Необходимо детализировать любые изменения в политике безопасности, которые могут быть произведены без обязательного получения разрешения от руководства.
Отметим, что существуют две основные причины для сбора и хранения информации об атаках: определение последствий реализации атаки и расследование и преследование злоумышлеников. Тип информации, способ сбора и обработка информации обусловлены целями реагирования на нарушения безопасности.
Для определения последствий нарушения безопасности рекомендуется осуществить следующие шаги:
• зафиксировать инцидент с помощью записи сетевого трафика, снятия копий файлов журналов, активных учетных записей и сетевых подключений;
• ограничить дальнейшие нарушения путем отключения учетных записей, отсоединения сетевого оборудования от сети и от Интернета;
• провести резервное копирование скомпрометированных систем для проведения детального анализа повреждений и метода атаки;
• попытаться найти другие подтверждения компрометации. Часто при компрометации системы оказываются затронутыми другие системы и учетные записи;
• просматривать хранимые файлы журналов устройств безопасности и сетевого мониторинга, так как они часто являются ключом для определения метода атаки.Если необходимо произвести юридические действия, следует уведомить руководство и привлечь юристов компании для сбора соответствующих доказательств. Если нарушение было внутренним, то потребуется привлечь сотрудников отдела кадров компании.
Восстановление. Восстановление работоспособности сервисов сети компании является конечной целью процедуры реагирования на нарушения в области безопасности. Здесь необходимо определить порядок восстановления доступности сервисов, например с помощью процедур резервного копирования. При этом надо учитывать, что каждая система имеет свои собственные механизмы резервного копирования. Поэтому политика безопасности, являясь общей для всех элементов сети, при необходимости должна позволять детализировать условия восстановления конкретного элемента. Если требуется получить разрешение на восстановление, нужно описать порядок получения разрешения в политике безопасности.
Пересмотр политики безопасности. Пересмотр политики безопасности является заключительным этапом жизненного цикла политики безопасности. Здесь важно обратить внимание на следующее. Политика безопасности должна быть «жизнеспособным» документом, адаптированным к изменяющимся условиям. Сравнение существующей политики безопасности с лучшими практиками в этой области и последующий пересмотр политики должны поддерживать в актуальном состоянии защищенность активов сети. Необходимо регулярно обращаться на Web-сайты различных независимых аналитических центров, например CERT или SANS, за полезными советами и рекомендациями по обеспечению безопасности и учитывать их в поддерживаемой политике безопасности компании.
Также рекомендуется проводить аудит безопасности сети путем обращения в соответствующие консалтинговые компании, специализирующиеся на оказании подобных услуг. Для сетей с высокими требованиями к доступности информационных ресурсов рекомендуется проведение независимого аудита безопасности как минимум раз в год. Кроме того, достаточно эффективны и внутренние тренировки для отработки действий в чрезвычайных ситуациях.
2.3.2. Пример политики сетевой безопасности
Область действия политики. Как авторизованный пользователь корпоративной сети каждый сотрудник компании обладает доступом к информации с различным уровнем конфиденциальности. Ознакомление и соблюдение политики сетевой безопасности компании (далее – «политика») является важной обязанностью каждого сотрудника для обеспечения конфиденциальности, целостности и доступности информационных активов компании. При этом компания следует принципу «знать только то, что необходимо знать для выполнения своих служебных обязанностей».
Целевая аудитория. Политика обязательна для следующих сотрудников компании:
• рядовых пользователей сети, выполняющих свои служебные обязанности на рабочих местах;
• специалистов ИТ-службы и службы безопасности, ответственных за эксплуатацию и сопровождение информационной системы, а также за соблюдение политики безопасности;
• менеджеров, ответственных за организацию режима информационной безопасности компании;
• руководства компании, которое стремится обеспечить целостность, конфиденциальность и доступность информационных активов компании в соответствии с целями и задачами бизнеса;
• юристов и аудиторов компании, которые обеспокоены сохранением репутации компании и ответственностью компании перед клиентами и партнерами.Область действия. Политика является частью программы компании по обеспечению безопасности ее информационных активов. Политика определяет допустимые правила доступа сотрудников, клиентов, партнеров и вендоров к открытым и конфиденциальным информационным активам в сети компании.
Юридические права. Совет директоров уполномочен акционерами компании создать, внедрить и поддерживать политику в соответствии с требованиями государственных органов, федерального и международного законодательства. Директор (начальник) службы информационной безопасности и главный юрист компании несут ответственность за реализацию этой политики.
Заинтересованные стороны. Следующий персонал компании несет личную ответственность за создание, поддержку и внедрение политики сетевой безопасности:
• директор по финансам,
• директор по развитию,
• директор службы продаж и маркетинга,
• исполнительный директор, СЕО,
• директор информационной службы, CIO,
• директор службы информационной безопасности, CISO,
• директор по сетям и телекоммуникациям,
• главный менеджер по информационным системам,
• директор службы качества и внутреннего аудита,
• главный юрист компании,
• директор службы персонала,
• директор системной поддержки и сопровождения,
• директор службы разработки приложений.Обязанности системного администратора. Системный администратор сетевого оборудования отвечает за выполнение следующих требований:
• назначение учетной записи отдельным сотрудникам (не группам);
• обеспечение уникальности учетных записей сотрудников и оборудования внутри компании;
• установка обновлений безопасности и сервисных пакетов, рекомендованных отделом информационной безопасности, в соответствии с их уровнем критичности;
• осуществление управления учетными записями и паролями;
• отключение учетных записей при увольнении сотрудников;
• хранение файлов конфигураций сетевых устройств на защищенном TFTP-сервере. Защита конфигураций от разглашения. Использование керберизованного rcp между маршрутизаторами Cisco и сервером TFTP;
• ежедневное исследование файлов журналов. Немедленное оповещение отдела информационной безопасности об инцидентах, связанных с безопасностью. Еженедельная отправка отчетов о небольших нарушениях безопасности (типа многократных неудачных попыток регистрации) в отдел информационной безопасности;
• использование средств управления и контроля сетевой безопасности для поиска «слабых» паролей, сетевых уязвимостей и средств проверки целостности файлов и системных конфигураций (таких, как Cisco IDS, Cisco Netsys, Crack, COPS, Tiger, Tripwire) на постоянной основе.Процедура поддержки политики безопасности. Заинтересованные стороны компании должны просматривать и обновлять политику не реже одного раза в год. Отдел информационных систем под руководством отдела информационной безопасности проводит аудит сети на регулярной основе и документирует результаты проверок.
Процедура реализации. Директор по развитию сетей и телекоммуникаций должен определить точную сетевую топологию и сетевое оборудование компании, в рамках которых будет действовать настоящая политика безопасности.
Для проверки дееспособности политики безопасности проводится аудит после установки и подключения к сети нового сетевого оборудования и компьютеров.
Обучение сотрудников. Ознакомление с политикой осуществляется в ходе первичного инструктажа сотрудников. Сотрудники должны ежегодно перечитывать и подписывать политику допустимого использования как условие продолжения их работы.
Ознакомление сотрудников для предупреждения случаев социальной инженерии. Сотрудники обязаны соблюдать осторожность при общении с людьми, не являющимися сотрудниками компании. Перед началом дискуссии следует определить границы того, что можно сообщить постороннему человеку.
Политика допустимого использования. Политика допустимого использования определяет права и порядок доступа к информационным активам компании, порядок использования разрешенных аппаратно-программных средств, а также права и обязанности сотрудников согласно накладываемым ограничениям со стороны федеральных, законодательных
актов и требований руководящих документов.Допустимое использование сети. Сотрудникам запрещается делать и распространять копии конфигурации сетевого оборудования или серверов, если они не являются системными администраторами.
Сотрудникам запрещается получать или пытаться получить административный доступ к сетевому оборудованию и серверам, если они не являются системными администраторами или если это не входит в их служебные обязанности.
Требования по соответствию. Сотрудники обязаны выполнять все требования этой политики и любых последующих ее версий. Доступ к инфраструктуре компании и ее данным является привилегией, не правом. То есть компания может изменить привилегии доступа сотрудника любым способом в любое время. К сотруднику, нарушившему эту политику, могут быть применены дисциплинарные и административные меры, вплоть до увольнения.
Политика идентификации и аутентификации. Политика идентификации и аутентификации определяет процедурные и технические методы, используемые для идентификации и аутентификации.
Руководство по управлению паролями. Следующие принципы определяют правила выбора пароля:
• пароли, если возможно, должны использовать строчные и прописные буквы, знаки препинания и числа, должны иметь длину как минимум восемь символов;
• изменять пароли следует ежеквартально;
• нельзя записывать пароли;
• нельзя сообщать пароли кому бы то ни было.Руководство по аутентификации. Компания должна использовать защищенную базу учетных записей на основе протокола TACACS+ для аутентификации.
Политика доступа в Интернет. Компания осознает важность доступа сотрудников в Интернет для ведения бизнеса и принимает возможные риски, связанные с этими подключениями.
Политику доступа в Интернет определяет Руководство по доступу в Интернет.
Допустимое использование. Исходящий доступ в Интернет может быть свободно использован сотрудниками для выполнения служебных обязанностей. Должно быть определено и реализовано разумное ограничение на общее время работы в Интернете.
Политика межсетевого экрана. Межсетевой экран, состоящий как минимум из пограничного маршрутизатора и защищенного компьютера, должен быть использован для защиты от несанкционированного доступа к внутренней сети компании из Интернета. Необходимо разработать правила фильтрации пакетов для управления доступом через периметр с регистрацией попыток нарушения доступа на сервере syslog.
Политика публичных сервисов. Входящий доступ из Интернета во внутреннюю сеть компании будет запрещен, если только не используется шифрование на сетевом уровне. Входящий доступ должен быть ограничен сервисами защищенного хоста, такими, как SMTP, HTTP, FTP, DNS.
Политика доступа во внутреннюю сеть компании. Политика доступа во внутреннюю сеть компании определяет процесс выдачи прав доступа сотруднику к ресурсам.
Доверительные отношения. Доступ к компьютерам внутренней сети разрешен для всех сотрудников компании на основе уровня доверия, определяемого руководителем сотрудника. Компания старается балансировать между прозрачным доступом сотрудника к ресурсам и безопасностью сети. Компания устанавливает пять уровней доверия. Каждый сотрудник получает определенный уровень доверия в соответствии с его служебными обязанностями. Для соблюдения требуемых уровней доверия должны быть реализованы соответствующие технические средства защиты.
Доступ к компьютерам внутренней сети сторонним организациям запрещен, если специально не разрешен отделом информационных технологий и соответствующим руководителем.
Безопасность сетевого оборудования. Административный доступ к сетевому оборудованию запрещен, за исключением сотрудников отдела информационных технологий, определяемых начальником этого отдела. Для защиты управляющего трафика между внутренними серверами используется шифрование на сетевом уровне.
Политика удаленного доступа. Сотрудники, получающие доступ во внутреннюю сеть компании с домашних компьютеров или через телефонные сети общего доступа, должны четко понимать и выполнять обязанности по защите ресурсов компании при получении такого доступа.
Поэтому сотрудники, получающие этот вид доступа, несут определенную ответственность. Компьютер, с которого сотрудник получает удаленный доступ в сеть, должен быть защищен паролем и сконфигурирован таким образом, чтобы не допустить доступ посторонних во внутреннюю сеть компании.
Аутентификация удаленного доступа должна происходить с использованием TACACS+ или токенов.
Мобильные компьютеры. Сотрудники компании, нуждающиеся в удаленном доступе в сеть компании с мобильных компьютеров, получают такой доступ через серверы сетевого доступа, находящиеся под управлением отдела информационных технологий. Сотрудники должны использовать компьютеры с операционными системами Windows 95, Windows 98, Windows 2000 или Apple Macintosh с программным обеспечением для организации удаленного доступа, утвержденным отделом информационных технологий.
Сотрудники компании и сторонние организации могут использовать телефонные сети общего доступа для получения доступа во внутреннюю сеть компании, при этом обязательно должны использоваться одноразовые (one-time) пароли.
Сотрудники, имеющие привилегию удаленного доступа по телефонным сетям общего пользования, несут ответственность за то, что никто кроме них не получит доступа в сеть компании, используя их соединение.
Доступ из дома. Сотрудники компании, желающие организовать домашние офисы, могут использовать удаленный доступ к сети компании. По возможности, удаленные подключения должны использовать метод аутентификации CHAP.
Соглашение с сотрудниками, работающими вне офиса. Сотрудники, получающие привилегию удаленного доступа в сеть компании, подписывают документ, в котором определяется важность защиты информации компании от разглашения. Документ также должен определять их ответственность за выполнение всех политик безопасности компании.
Доступ филиалов. Для обеспечения безопасности внутренней сети компании доступ в нее филиалов определяется и разрешается отделом информационных технологий.
Доступ бизнес-партнеров. Для обеспечения безопасности внутренней сети компании порядок получения доступа в нее партнеров определяется и разрешается отделом информационных технологий. Для управления и защиты такого подключения должен быть использован межсетевой экран.
Политика шифрования. Для всех видов удаленного доступа необходимо использовать шифрование. Выбор алгоритма шифрования основывается на достижении баланса между конфиденциальностью передаваемых данных и требуемой скоростью передачи.
Процедура описания инцидентов. Все заинтересованные в выполнении данной политики лица совместно разрабатывают детальную и содержащую планы по обеспечению непрерывности бизнеса процедуру описания всех инцидентов, связанных с безопасностью. Процедура описания инцидентов должна представлять собой «книгу рецептов» на все случаи жизни, так, чтобы любой инцидент мог быть обработан определенным образом отделом информационных систем при выполнении ими своих повседневных обязанностей. В процедуре должны быть учтены все вопросы, затрагиваемые этой политикой.
Требования к системам обнаружения вторжений. Для получения важной и своевременной информации о состоянии защиты сетевого периметра должны быть внедрены системы обнаружения вторжений, такие, как Cisco IDS.
Системы обнаружения вторжений уровня предприятия, работающие в режиме реального времени, разработанные для обнаружения, журналирования и ограничения несанкционированной активности, должны обладать следующими возможностями:
• возможностью мониторинга демилитаризованной зоны и соответствующей производительностью для этого;
• возможностью быстрого и беспроблемного внедрения в растущую сеть (для этого системы обнаружения вторжений должны быть реализованы в виде многоуровневой архитектуры);
• возможностью удаленного администрирования системы обнаружения вторжений через интуитивно понятный графический интерфейс, интегрированный в систему управления сетью. Это гарантирует целостность внедрения политики безопасности на уровне компании;
• возможностью сохранять события в базе данных. Должна быть возможность сохранения информации об источнике, типе, цели и времени атаки для последующего детального исследования.Процедура реагирования на инциденты. Начальник отдела информационных систем создает детальную процедуру реагирования на инциденты, и этот документ следует пересматривать и обновлять один раз в квартал или в течение одной недели после крупного инцидента. Вице-президент по информационным системам и начальник отдела информационной безопасности подписывают и утверждают данный документ. Процедура реагирования на инциденты должна определять реакцию компании при возникновении инцидента, так что в случае возникновения инцидента можно было бы сразу приступить к нейтрализации и уменьшению проблемы, а не решать, как с ней бороться. В процедуре реагирования на инциденты должны быть описаны следующие моменты:
• подготовка и планирование – персонал отдела информационных систем должен минимум 16 часов ежегодно обучаться обнаружению и нейтрализации инцидентов. Процедура определяет тип и длительность тренингов;
• определение инцидентов – системные администраторы должны проводить мониторинг системы обнаружения вторжений несколько раз в день. Системные журналы следует просматривать один раз в час и в конце рабочего дня. Дежурный старший системный администратор несет ответственность за обнаружение и реагирование на инцидент. Процедура реагирования на инциденты должна определять уровни приоритетов инцидентов так, как предлагается в RFC 2196, «Site Security Handbook»;• обработка инцидента – процедура реагирования на инциденты определяет, как администратор будет обрабатывать инцидент. Ниже описаны шаги по обработке и документированию:
– определение типа и приоритета атаки;
– определение времени начала и окончания атаки;
– определение источника атаки;
– определение затронутых атакой компьютеров и сетевых устройств;
– журналирование атаки;
– попытка остановить атаку или уменьшить ее последствия;
– изолирование затронутых систем;
– уведомление соответствующих контактных лиц;
– защита доказательств атаки (файлов журналов);
– восстановление работоспособности сервисов;
• документирование – под руководством директора службы информационных технологий должен быть создан отчет об инциденте, в котором необходимо отразить следующие вопросы:
– инвентаризация ценности затронутых атакой систем;
– описание атаки;
– пересмотр политики сетевой безопасности (при необходимости);
– поиск и наказание злоумышленников.
Таблица 2.2. Члены команды по реагированию на инциденты
2.4. Подход компании Microsoft
Компания Microsoft обладает сложной корпоративной инфраструктурой, которая состоит из 6 тыс. серверов Windows Server 2003 (из них 800 серверов приложений). В штате компании работает более 55 тыс. сотрудников. Сотрудники очень хорошо готовы технически, и 95 % из них имеют администраторские права на своих компьютерах. Более чем 300 тыс. компьютеров компании расположены в 400 представительствах по всему миру, используется более 1,6 тыс. приложений.