 |
Методы проектирования безопасности и мер и средств контроля и управления
|
|
|
|
Методы проектирования безопасности и меры и средства контроля и управления, связанные с сотрудниками, рассматриваются в таблице 3.
Таблица 3 - Меры и средства контроля и управления безопасности для сценария доступа сотрудников к Интернету
| Применяемые свойства безопасности для идентифицированных угроз | Реализуемые проекты и методы |
| Вирусные атаки и введение вредоносных программ | |
| - Целостность - Управление доступом - Аутентификация | - Предоставление сотрудникам Интернет-услуг, только соответствующих бизнесу. Использование черных списков авторизованных услуг, чтобы сделать возможной поправку в каналах чата, услугах веб-почты или одноранговых сетевых протоколах. - Использование антивирусных программ на пути доступа к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен включать в себя все сетевые протоколы, разрешенные к применению. Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователь предупреждается о факте проведения обновлений. - Использование антивирусного программного средства на всех клиентских системах, особенно на тех, которые используются сотрудниками для доступа к Интернету. - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - Блокирование появляющихся окон и вэб-рекламы. - Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности. - Активное установление подлинности содержания. |
| Утечка информации | |
| - Безопасность связи - Целостность - Управление доступом Речь идет об использовании протоколов ASS | - Реализация фильтров для мобильного кода на шлюзах доступа к Интернету. - Прием мобильного кода только с некритичных сайтов, занесённых в белый список. - Прием мобильного кода, подписанного цифровой подписью, только от доверенных органов сертификации или от доверенных поставщиков, включая соответствующие параметры настройки на стороне клиента, например, путем осуществления активного управления и реализации белого списка разрешенных органов сертификации, подписывающих код. |
| Несанкционированное использование и доступ | |
| - Управление доступом - Неотказуемость | - Предоставление служащим только соответствующих бизнесу Интернет-услуг. Использование черных списков неавторизованных услуг, например, каналов обмена информацией (текстового диалога) в реальном времени, или услуг веб-почты. Реализация фильтров для неавторизованных протоколов, например, одноранговых сетевых протоколов. - Ограничения на использование услуг, которые беспрепятственно осуществляют передачу больших объемов данных. - Обеспечение уверенности в проведении надлежащей регистрации и мониторинга в отношении всех услуг, которые допускают возможность передачи данных через Интернет. - Четкое определение авторизованного и неавторизованного использования доступа к Интернету в специальной политике (см. примерную форму в приложении A). - Обеспечение уверенности в осведомленности пользователей посредством соответствующего уровня образования и профессиональной подготовки. |
| Ответственность за несоблюдение нормативов | |
| - Неотказуемость Тоза что начальство может вас наказать | - Использование записи событий, отметок времени. - Осведомленность и профессиональная подготовка пользователей. |
| Снижение доступности сети связи | |
| - Целостность - Доступность Только для пользователей которые должны пользоваться интеренетом пользуются интернетом, системы всякие HoneyPod? Firewall | - Надлежащий менеджмент уязвимостей и исправления известных системных уязвимостей в рамках выделенного интервала времени, основанного на критичности уязвимости. - В центре внимания менеджмента уязвимостей должны быть все системы приема Интернет-трафика, либо на транспортном, либо на прикладном уровне, включая все системы, используемые с учетом шлюзов по направлению к Интернету, а также системы конечного пользователя, используемые для доступа к Интернет-услугам, особенно, если они используют операционную систему Windows. - Прерывание пропускной способности для потоковых мультимедийных средств (если только это разрешено политикой бизнеса). - Сети и системные ресурсы должны быть проверены (IDS, журналы регистрации, аудиты и т.д.) на предмет обнаружения системных событий, событий безопасности и операционных событий |
Для установленной угрозы безопасности, каждое свойство безопасности рассматривается для применения с целью снижения риска, во втором столбце приведен соответствующий пример технической реализации. Например, целостность, контроль доступа и аутентификация применяются для защиты от вредоносного программного кода.
|
|
|
|
|
|
Услуги бизнес-бизнес
Исходные данные
Этот сценарий должны рассматривать организации, которые осуществляют транзакции с другими организациями, такими как изготовитель, оптовик, розничный торговец.
Обычно услуги бизнес-бизнес реализуются с помощью специально выделенных линий или сетевых сегментов. Интернет и связанные с ним технологии предоставляют больше возможностей, но также вводят новые угрозы безопасности, связанные с реализацией таких услуг. Развивающаяся модель электронной торговли бизнес-бизнес позволяет организациям вести бизнес через Интернет и сосредоточиться на приложениях, использующих Интернет, экстранет, или и то и другое, чтобы наладить партнерство в бизнесе, при котором организации известны друг другу и все пользователи, в отличие от сценария бизнес-клиент, регистрируются.
|
|
|
Обычно услуги бизнес-бизнес имеют свои собственные требования. Например, доступность и достоверность являются очень важными требованиями, поскольку часто организации напрямую зависят от действующих услуг бизнеса-бизнес.
При использовании Интернета в качестве базовой сетевой связи для реализации услуг бизнес-бизнес, такие требования как доступность и достоверность должны обрабатываться иначе, чем раньше. Проверенные подходы, такие как предполагаемое качество услуг, используемое, например, в сочетании с выделенным каналом связи, больше не работают. Новые риски безопасности должны быть уменьшены с помощью соответствующих методов проектирования и мер и средств контроля и управления. Основной упор делается на укрепление доверия между организациями, путем предотвращения несанкционированного доступа к данным и поддержки разделения систем бизнеса.
В нижеследующих пунктах описываются угрозы безопасности и рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления, снижающие риски безопасности, как только для внутреннего, так и для внутреннего и внешнего использования.
Угрозы безопасности
Угрозы безопасности, связанные с услугами бизнес-бизнес, следующие:
- вирусные атаки и внедрение вредоносных программ:
- использование вредоносных программ приводит к проникновению в системы, ведущему к сбоям или несанкционированному доступу к конфиденциальной информации;
- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов;
- атаки типа "отказ в обслуживании" (DoS) и "распределенный отказ в обслуживании" (DDoS - distributed denial of service) на порталы или расширенные сети услуг бизнес-бизнес;
- инсайдерские атаки с помощью авторизованных партнеров по бизнесу;
- фальсификация информационного наполнения транзакции (сообщения не передаются получателю или данные изменяются в процессе передачи).
|
|
|
