Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.

Управлять носителями необходимо для обеспечения физической за­щиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность ин­формации, хранящейся вне компьютерных систем. Под физической защи­той здесь понимается не только отражение попыток несанкционированно­го доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охва­тывать весь жизненный цикл — от закупки до выведения из эксплуатации.

Документирование — неотъемлемая часть информационной безопасно­сти. В виде документов оформляется почти все — от политики безопасности до журнала учета носителей. Важно, чтобы документация была актуальной, отражала именно текущее состояние дел, причем в непротиворечивом виде.

К хранению одних документов (содержащих, например, анализ уяз­вимых мест системы и угроз) применимы требования обеспечения кон­фиденциальности, к другим, таким как план восстановления после ава­рий — требования целостности и доступности (в критической ситуации план необходимо найти и прочитать).

Регламентные работы — очень серьезная угроза безопасности. Со­трудник, осуществляющий регламентные работы, получает исключитель­ный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия он совершает. Здесь на первый план выходит сте­пень доверия к тем, кто выполняет работу.

Реагирование на нарушения режима безопасности

Программа безопасности, принятая организацией, должна предус­матривать набор оперативных мероприятий, направленных на обнаруже­ние и нейтрализацию нарушений режима информационной безопаснос­ти. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и ско­ординированные.

Реакция на нарушения режима безопасности преследует три главные цели:

• локализация инцидента и уменьшение наносимого вреда;

• выявление нарушителя;

• предупреждение повторных нарушений.

В организации должен быть человек, доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте), который отвеча­ет за реакцию на нарушения. Все должны знать координаты этого челове­ка и обращаться к нему при первых признаках опасности. В общем, как при пожаре, нужно знать, куда звонить, и что делать до приезда пожарной команды.

Важность быстрой и скоординированной реакции можно продемон­стрировать на следующем примере. Пусть локальная сеть предприятия состоит из двух сегментов, администрируемых разными людьми. Далее, пусть в один из сегментов был внесен вирус. Почти наверняка через не­сколько минут (или, в крайнем случае, несколько десятков минут) вирус распространится и на другой сегмент. Значит, меры нужно принять не­медленно. «Вычищать» вирус необходимо одновременно в обоих сегмен­тах; в противном случае сегмент, восстановленный первым, заразится от другого, а затем вирус вернется и во второй сегмент.

Нередко требование локализации инцидента и уменьшения наноси­мого вреда вступает в конфликт с желанием выявить нарушителя. В поли­тике безопасности организации приоритеты должны быть расставлены

Заранее. Поскольку, как показывает практика, выявить злоумышленника очень сложно, на наш взгляд, в первую очередь следует заботиться об уменьшении ущерба.

Чтобы найти нарушителя, нужно заранее выяснить контактные ко­ординаты поставщика сетевых услуг и договориться с ним о самой воз­можности и порядке выполнения соответствующих действий. Более по­дробно данная тема рассматривается в статье Н. Браунли и Э. Гатмэна «Как реагировать на нарушения информационной безопасности (RFC 2350, ВСР 21)» (Jet Info, 2000, 5).

Чтобы предотвратить повторные нарушения, необходимо анализи­ровать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники вредоносного ПО? Какие пользователи имеют обык­новение выбирать слабые пароли? На подобные вопросы и должны дать ответ результаты анализа.

Необходимо отслеживать появление новых уязвимых мест и как можно быстрее ликвидировать ассоциированные с ними окна опасности. Кто-то в организации должен курировать этот процесс, принимать крат­косрочные меры и корректировать программу безопасности для приня­тия долгосрочных мер.

Планирование восстановительных работ

Ни одна организация не застрахована от серьезных аварий, вы­званных естественными причинами, действиями злоумышленника, ха­латностью или некомпетентностью. В то же время, у каждой организа­ции есть функции, которые руководство считает критически важными, они должны выполняться несмотря ни на что. Планирование восстано­вительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в мини­мальном объеме.

Отметим, что меры информационной безопасности можно разде­лить на три группы, в зависимости от того, направлены ли они на преду­преждение, обнаружение или ликвидацию последствий атак. Большинст­во мер носит предупредительный характер. Оперативный анализ регист­рационной информации и некоторые аспекты реагирования на наруше­ния (так называемый активный аудит) служат для обнаружения и отраже­ния атак. Планирование восстановительных работ, очевидно, можно от­нести к последней из трех перечисленных групп.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

• выявление критически важных функций организации, установ­ление приоритетов;

• идентификация ресурсов, необходимых для выполнения кри­тически важных функций;

• определение перечня возможных аварий;

• разработка стратегии восстановительных работ;

• подготовка к реализации выбранной стратегии;

• проверка стратегии.

Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Необходимо выявить критически важные функции, без кото­рых организация теряет свое лицо, и даже среди критичных функций рас­ставить приоритеты, чтобы как можно быстрее и с минимальными затра­тами возобновить работу после аварии.

Идентифицируя ресурсы, необходимые для выполнения критически важных функций, следует помнить, что многие из них имеют некомпью­терный характер. На данном этапе желательно подключать к работе спе­циалистов разного профиля, способных в совокупности охватить все ас­пекты проблемы. Критичные ресурсы обычно относятся к одной из сле­дующих категорий:

• персонал;

• информационная инфраструктура;

• физическая инфраструктура.

Составляя списки ответственных специалистов, следует учитывать, что некоторые из них могут непосредственно пострадать от аварии (на­пример, от пожара), кто-то может находиться в состоянии стресса, часть сотрудников, возможно, будет лишена возможности попасть на работу (например, в случае массовых беспорядков). Желательно иметь некото­рый резерв специалистов или заранее определить каналы, по которым можно на время привлечь дополнительный персонал.

Информационная инфраструктура включает в себя следующие эле­менты:

• компьютеры;

• программы и данные;

• информационные сервисы внешних организаций;

• документацию.

Нужно подготовиться к тому, что на «запасном аэродроме», куда ор­ганизация будет эвакуирована после аварии, аппаратная платформа мо­жет отличаться от исходной. Соответственно, следует продумать меры поддержания совместимости по программам и данным.

Среди внешних информационных сервисов для коммерческих ор­ганизаций, вероятно, важнее всего получить оперативную информацию и связь с государственными службами, курирующими данный сектор экономики.

Документация важна хотя бы потому, что не вся информация, с ко­торой работает организация, представлена в электронном виде. Скорее всего, план восстановительных работ напечатан на бумаге.

К физической инфраструктуре относятся здания, инженерные ком­муникации, средства связи, оргтехника и многое другое. Компьютерная техника не может работать в плохих условиях, без стабильного электропи­тания и т.п.

Анализируя критичные ресурсы, целесообразно учесть временной профиль их использования. Большинство ресурсов требуются постоянно, но в некоторых нужда может возникать только в определенные периоды (например, в конце месяца или года при составлении отчета).

При определении перечня возможных аварий нужно попытаться разработать их сценарии. Как будут развиваться события? Каковы могут оказаться масштабы бедствия? Что произойдет с критичными ресурсами? Например, смогут ли сотрудники попасть на работу? Будут ли выведены из строя компьютеры? Возможны ли случаи саботажа? Будет ли работать связь? Пострадает ли здание организации? Можно ли будет найти и про­читать необходимые бумаги?

Стратегия восстановительных работ должна базироваться на налич­ных ресурсах и быть не слишком накладной для организации. При разра­ботке стратегии целесообразно провести анализ рисков, которым подвер­гаются критичные функции, и попытаться выбрать наиболее экономич­ное решение.

⇐ Предыдущая45678910111213Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: