 |
Методы проектирования безопасности и меры и средства контроля и управления
|
|
|
|
Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к расширенному применению услуг для совместного использования, приведены в таблице 6.
Таблица 6 - Меры и средства контроля и управления безопасности для расширенного применения услуг для совместного использования
| Применяемые свойства безопасности для идентифицированных угроз | Реализуемые проекты и методы |
| Неавторизованный доступ, ведущий к раскрытию конфиденциальной информации | |
| - Управление доступом - Аутентификация - Конфиденциальность - Безопасность связи - Неотказуемость | - Доступ, основанный на ролях, для приложений, сетей и запоминающих устройств. - Назначение пользователей на разные роли с различными правами доступа для различных сетей VLAN. - Политики, основанные на ролях, касающиеся использования прав и доступа к ресурсам, таким как приложения, которые пользователь может запускать. - Списки управления доступом. - Строгая аутентификация и авторизация. - Сети VLAN для сетевой виртуализации. - IDSs, основанные на хосте. - Шифрование данных. |
| Вирусные атаки и введение вредоносной программы | |
| - Целостность | - Использование программ передачи изображения экранов, таких как терминальные серверы, чтобы свести к минимуму ввод в корпоративную среду данных и возможных вредоносных программ. |
| Снижение доступности сети связи | |
| - Доступность | - Использование виртуальной архитектуры "сервер-хранилище данных" для повышения доступности и безопасности хранящихся данных. - Предотвращение извлечения информации путем использования программных инструментальных средств, чтобы предотвратить копирование/вставку информации, блокирование попытки записи на съемный носитель или печати. - Мониторинг программных средств для обнаружения нарушений политики - таких, как нарушения прав доступа к приложениям и другим сетевым ресурсам. |
Сегментация сети
|
|
|
Исходные данные
Этот сценарий следует рассматривать организациям, которые хотят разделить свою внутреннюю сеть на несколько доменов, согласующихся с организационной структурой.
Сегментация сетей является методом, который может быть использован для усиления мер и средств контроля и управления в отношении системы и доступа к приложениям. Сегментация сети может быть использована для группирования определенных видов деятельности, приложений или систем таким образом, что доступ будет возможен только для тех, кто имеет доступ к сегменту сети. Таким образом, меры и средства контроля и управления сетевого доступа дополняют другие меры и средства контроля и управления доступа к конечным точкам и обеспечивают дополнительный уровень защиты в глубину. Например, сегментация сети может быть использована для:
- отделения административных возможностей и возможностей технического обслуживания от операций доступа пользователей к приложениям бизнеса;
- отделения критически важных приложений от других приложений;
- разделения баз данных большинства пользователей.
Для стран с многонациональными организациями большое влияние на требования информационной безопасности оказывает специальное законодательство. Фактическое выполнение организацией обязанностей по сегментации сети в соответствии с национальными границами может быть эффективным подходом для охвата требований информационной безопасности различных стран. Например, законодательство той или иной страны может потребовать специальной защиты клиента/данных клиента, и не позволит передачу таких данных другой стране. Обычно это требует дополнительных мер и средств контроля и управления информационной безопасности, чтобы гарантировать соответствие такому законодательству.
|
|
|
В пунктах ниже описаны угрозы безопасности и рекомендации по методам проектирования безопасности, а также по мерам и средствам контроля и управления безопасности, как только для внутреннего, так и для внутреннего и внешнего использования, для уменьшения рисков безопасности.
Угрозы безопасности
К угрозам безопасности, связанным с сегментацией сети, при выполнении в организациях соответствующих национальных требований других стран относятся:
- ответственность за несоблюдение законодательства;
- утечка данных:
- нарушение конфиденциальности, например, когда данные заказчика/клиента доступны из стран, из которых они не должны быть доступны,
- нарушение требований конфиденциальности конкретной страны,
- риски, связанные с репутацией, влекут за собой неудовлетворение ожиданий заказчика/клиента в отношении конфиденциальности или непрозрачности.
Методы проектирования безопасности и меры и средства контроля и управления
Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к сегментации сети при выполнении в организациях соответствующих требований конкретной страны, приведены в таблице 7.
Таблица 7 - Меры и средства контроля и управления безопасности для сегментации сети
| Применяемые свойства безопасности для идентифицированных угроз | Реализуемые проекты и методы |
| Ответственность за несоблюдение нормативов | |
| - Непрозрачность - Конфиденциальность | Политики и осведомленность пользователей: - нормы права (неприкосновенность личной жизни); - допустимые методы шифрования; - хранение данных, законы о передаче; - законы, касающиеся правомерного перехвата информации |
| Утечка данных | |
| - Управление доступом - Аутентификация - Целостность | - Шлюзы безопасности. - Прокси-программы прикладного уровня. - Шифрование данных |
Сетевая поддержка работы на дому или в малых предприятиях
Исходные данные
Этот сценарий должны рассматривать организации, которым необходимо предоставить доступ к внутренним ресурсам для своих сотрудников, работающих на дому или в малых предприятиях.
|
|
|
Работа на дому или в малых предприятиях часто требует расширения внутренней сети организации до местонахождения дома или малого предприятия. Затраты на расширение сети до местонахождения дома или малого предприятия являются важным вопросом, поскольку реализация, отражающая соотношение затраты/выгоды, как правило, не должна требовать высоких затрат. Это означает ограничение стоимости мер и средств контроля и управления безопасности, которые используются для обеспечения такого расширения сети и обычно препятствуют использованию существующих межсетевых мер и средств контроля и управления безопасности, используемых для подсоединения наибольшего количества сегментов Интранет.
Для многих сценариев работы на дому или в малых предприятиях инфраструктура может быть использована как для целей бизнеса, так и для личных целей - что может привести к дополнительным рискам информационной безопасности.
В пунктах ниже описаны угрозы безопасности и рекомендации по разрабатываемым методам, касающимся безопасности, а также мерам и средствам контроля и управления безопасности для уменьшения сопутствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования.
Угрозы безопасности
К угрозам безопасности, связанным с сетевой поддержкой работы на дому или в малых предприятиях, относятся:
- неавторизованный доступ:
- слабые настройки конфигурирования в отношении сетевого оборудования доступа, например, сетевых маршрутизаторов SOHO,
_______________
Маршрутизатор SOHO (Small Office/Home Office) - Маршрутизатор, применяемый в офисе малого предприятия или для работы на дому.
- использование разделенного туннелирования,
- отсутствие или слабые физические меры и средства контроля и управления безопасности,
- продолжительное отображение на экране монитора окна в отношении подключения к сети с возможностями, обусловленными атрибутом "всегда включено",
|
|
|
- использование учетных записей гостя и настроек по умолчанию;
- вирусные атаки и введение вредоносных программ:
- оборудование, включая компьютеры, используемые в домашней сети или в сети малых предприятий и работающие с недостаточными мерами и средствами контроля и управления безопасности, например, отсутствует или слабая защита от вредоносных программ и т.д.,
- проблемы, созданные смешиванием частных и бизнес-сред, например, индивидуального использования протоколов с присущими им высокими рисками, таких как одноранговые протоколы совместного использования файлов,
- исправления недостаточности,
- после заражения доступность сети может серьезно пострадать в результате распространения вирусов, ведущего к перегрузке сети;
- несанкционированное разглашение конфиденциальной информации:
- отсутствие шифрования данных, хранящихся в системах и передающихся через сети домашнего или малого бизнеса,
- злоупотребление возможностями доступа, такими как беспроводной доступ в Интернет через домашние сети или сети малых предприятий,
- недостаточное обучение конечных пользователей передовым практикам осведомленности и безопасности,
- недостоверность предположений касательно защиты Интранета, так как сетевые шлюзы, используемые при работе на дому или в малых предприятиях, не обеспечивают такой же уровень защиты, как шлюзы, использующиеся для соединения филиалов организации.
|
|
|
