Разработка правил информационной безопасности

Скотт Бармен

Writing Information Security Policies
Scott Barman
книга Разработка правил информационной безопасности

Тираж данной книги закончился.
Введение

Правила информационной безопасности играют ключевую роль в обеспечении защиты систем и сети. Продуманные, реализованные и внедренные правила информационной безопасности помогут почувствовать разницу между наметками безопасности и организованной системой безопасности, которая эффективно функционирует. Эта книга поможет понять, какими знаниями нужно обладать для разработки эффективных правил информационной безопасности. Помимо обсуждения процесса разработки и возможных направлений развития политики организации, книга поможет по- новому взглянуть на различные аспекты безопасности и предложит готовые образцы формулировок для документов, расширяя ваш кругозор в области информационной безопасности. Очень немного информации можно найти о том, как должен выглядеть добротный документ, определяющий политику организации, еще меньше книг поможет в конкретной разработке документов. Несмотря на то, что почти в каждом источнике говорится о том, что эффективные правила являются краеугольным камнем любой программы безопасности, более 60% компаний не внедрили их у себя или работают по устаревшим правилам. Эта книга рассчитана на тех, кто хочет разработать эффективные правила безопасности, но пока не знает, как приступить к работе.

208 стр., с ил.; ISBN 5-8459-0323-8, 1-5787-0264-X; формат 70x100/16; мягкий переплетгазетнаясерия Landmark; 2002, 3 кв.; Вильямс.



Понравилась книга? Порекомендуйте её друзьям и коллегам:







Введение

Развитие сети Internet подталкивает организации к расширению своих сетей. Это помогает привлекать новых клиентов и строить взаимоотношения с ними на новой экономической основе, что, в свою очередь, вызывает потребность в новых книгах и руководствах. Кроме того, Internet открывает электронные пути к информационным активам организаций, в том числе и для взломщиков. Открытость Internet делает заботу о безопасности приоритетной задачей.

Успех бизнеса обеспечивается тщательным планированием, особенно в вопросах безопасности. Не думайте, что купив брандмауэры, можно считать, что ваши сети достаточно защищены. Прежде необходимо определить, что именно нужно защитить. Все эти вопросы определяются правилами информационной безопасности. Правила представляют собой набор инструкций, которыми следует руководствоваться при разработке мер и средств защиты информации в организации.

Разработка эффективных правил информационной безопасности также требует соответствующего планирования. В этой книге даются разъяснения всех вопросов, касающихся разработки правил информационной безопасности организации. Кроме того, здесь описаны различные области приложения теоретических положений информационной безопасности и предложены образцы формулировок правил безопасности.

Ссылки на различные источники помогут разработать качественные документы, определяющие политику безопасности организации. Несмотря на то, что все источники говорят о том, что добротно сформулированные правила являются основой разработки эффективной программы защиты информации, более 60% организаций руководствуются устаревшими правилами безопасности или вообще не имеют таковых. Данная книга предназначена для тех, кто хочет разработать эффективные правила безопасности, но не знает, как к этому приступить.

Цель книги - дать образцы правил безопасности, чтобы те, кто будут разрабатывать правила информационной безопасности, могли использовать готовые формулировки.

В конце концов, имея готовые формулировки правил безопасности, будет гораздо легче выполнять работу по обеспечению безопасности сетей.

Кому предназначена эта книга

Профессионалы в области безопасности и сетевого обеспечения являются уникальным сообществом. Они стоят на переднем крае защиты информации, сочетая требования бизнеса и пожелания руководства обеспечить спокойную работу пользователей и клиентов. Для этих людей данная книга дает возможность познакомиться со взглядами руководства на политику безопасности. Понимая цели руководства, администратор сможет разработать систему защиты без лишних переделок и дополнительных консультаций.

Разработчикам правил безопасности, не имеющим технического образования, настоящая книга сможет помочь разработать эффективные правила. В ней разъясняется комплексный подход к пониманию основ безопасности, а также способы согласования их с требованиями бизнеса. Для технически искушенных разработчиков эта книга станет руководством, которое поможет определить требования безопасности и ничего важного не упустить при разработке правил. Примеры формулировок правил помогут сформировать эффективные правила безопасности.

Руководству данная книга поможет составить общее представление о защите информации и сетей и сформулировать свои требования к разработке эффективных правил безопасности. Каждая глава посвящена отдельным вопросам информационной безопасности, так что разработчики правил смогут определить, на чем нужно сосредоточиться.

Во врезках и образцах правил разъясняется общий курс и терминология, которую должно понимать руководство при проведении политики безопасности.

Организация книги

Эта книга разбита на четыре части. Ниже представлено их содержимое.

Часть I. Начало работы по правилам

В главе 1 "Начало работы по правилам" описывается основная идея правил информационной безопасности и насколько важна их разработка. Правила безопасности подобны плану управления проектом, в котором рассматриваются детали реализации. В главе 1 также обсуждаются обязанности руководства по определению и внедрению правил безопасности, а также обязанности по их разработке. Ко всему необходимо подходить с "должной осмотрительностью". Что же касается инцидентов, то в случае расхождения взглядов на них со стороны администрации и правоохранительных органов отсутствие тщательно задокументированных и внедренных правил может вызвать неприятное судебное разбирательство.

В главе 2 "Определение целей политики" и главе 3 "Обязанности в области информационной безопасности" вводятся основы разработки правил информационной безопасности. В главе 2 говорится о том, что разработчики правил безопасности прежде, чем приступить к их разработке, должны четко определить, что именно необходимо защищать. Кроме того, в этой главе описано, какими должны быть правила безопасности для конкретной системы. В главе 3 определяются роли и обязанности сотрудников в области безопасности организации. Акцент делается на обязанностях руководства и роли тех лиц, которые будут стоять на переднем крае проведения в жизнь политики безопасности. Определение этих групп сотрудников необходимо для успеха программы безопасности.

В конце главы обсуждаются вопросы проведения инструктажа и другие меры поддержки процесса внедрения правил безопасности.

Часть II. Разработка правил безопасности

Смысл правил физической безопасности понятен каждому. Но хорошие правила должны охватывать не только стандартные концепции оружия, охраны и пропускных пунктов. При разработке правил также должно учитываться планирование аварийного резерва оборудования и процедуры его восстановления после аварии. В главе 4 "Физическая безопасность" описаны некоторые из этих вопросов, которые нужно учитывать при разработке правил безопасности.

Главной заботой при обеспечении безопасности организации является предоставление доступа к системам и сетям. Аутентификация является первым защитным барьером любой системы или сети, где пользователь получает разрешение на вход, а пароль играет роль ключа к "входной двери". В главе 5 "Аутентификация и безопасность сетей" обсуждаются различные аспекты аутентификации и средств управления доступом к системам, а также рассматривается, как разрабатывать правила безопасности, учитывающие наличие средств аутентификации и средств защиты, заложенных в архитектуру сети.

При чтении книги можно заметить, что до главы 6 "Правила безопасности Internet" ничего не говорится о защите Internet. Дело в том, что в первую очередь необходимо рассмотреть информационную безопасность вообще. Кроме того, разрабатывать правила безопасности Internet довольно сложно по причине слишком быстро меняющихся технологий в этом деле. В главе 6 рассматриваются правила безопасной работы в Internet, разбив все технологии Internet на логические группы и показав, какое отражение находит каждая технология в разрабатываемых правилах.

В главе 7 "Правила безопасности электронной почты" обсуждаются сложные вопросы защиты электронной почты. Большое количество судебных дел связано с использованием электронной почты в корпоративных объединениях. По причине того, что электронная почта является электронным эквивалентом почтовых отправлений, при разработке правил безопасности требуются особые решения. Организации необходимо рассмотреть множество вопросов при разработке правил безопасности, начиная с инструкций по архивированию и заканчивая процедурами, определяющими содержание сообщений.

Не проходит и недели без слухов о новых вирусах, "червях" и "троянских конях".

Решение этих проблем не только обходится компаниям в немалые деньги, но и чревато снижением объема производства, который может в дальнейшем и не быть компенсирован. Несмотря на то, что эти проблемы в первую очередь влияют на определенный тип систем, не существует операционных систем, которые давали бы полную гарантию защищенности от вирусов. В главе 8 "Вирусы, "черви" и "троянские кони"" обсуждаются проблемы, связанные с вирусами, а также вопросы разработки правил защиты сетей.

В главе 9 "Шифрование" обсуждаются вопросы криптографии. По причине того, что при пересылке через Internet информация не защищена, некоторым организациям захочется использовать шифрование для предотвращения перехвата данных посторонними лицами. Шифрование перестало быть уделом шпионов и военных ведомств и превратилось в технологию, необходимую для пересылки электронных активов. Начиная с виртуальных частных сетей и заканчивая электронными посланиями частных лиц, криптография является одним из основных вопросов, решение которого требует специального отражения в правилах безопасности.

В методиках разработки программного обеспечения защита редко рассматривается в качестве компонента проектирования. Довольно часто безопасностью начинают заниматься уже по завершении разработки, что приводит к применению нестандартных и, зачастую, неприемлемых средств обеспечения безопасности. Путем внедрения правил разработки программного обеспечения организации могут избежать его последующей доработки, а также появления "проколов" в защите собственного программного обеспечения. В главе 10 "Правила разработки программного обеспечения" обсуждается процесс разработки программного обеспечения и его влияние на безопасность организации.

Часть III. Сопровождение правил

В главе 11 "Правила надежной работы" обсуждается важность внедрения правил надежной работы (Acceptable Use Policies - AUPs), а также способы включения в этот документ и других правил. AUP представляет собой документ, в котором собраны все правила безопасной работы пользователей. Обычно, это утвержденный документ, в котором описывается ответственность служащих, подрядчиков и поставщиков в отношении обеспечения безопасности при их доступе к сети организации.

После того, как правила написаны, необходимо определить, кто будет их внедрять.

Какие меры нужно принимать при нарушениях правил? Кто будет определять эти меры?

В главе 12 "Согласование и внедрение" обсуждаются эти и другие вопросы, которые читатель должен рассмотреть, прежде чем заняться разработкой правил.

Документы, отражающие политику безопасности организации, не должны быть "мертвыми" документами. Они должны изменяться и развиваться в соответствии с развитием технологий и ростом организации. Необходимо проводить периодический пересмотр правил коллективом, похожим на тот, что разрабатывал их. В главе 13 "Процесс пересмотра правил" обсуждается процесс пересмотра, а также представлены рекомендации по интегрированию этого процесса в технологический процесс компании.

Часть IV. Приложения

В приложениях представлена дополнительная информация, которая поможет при осмыслении информационной безопасности вообще и конкретно при разработке отдельных правил. В приложении А "Глоссарий" разъясняется терминология, используемая в данной книге. В приложении Б "Ресурсы" представлены дополнительные источники информации для тех, кому необходима более подробная информация. Здесь также представлены адреса Web-узлов, на которых обсуждаются общие и специфические вопросы безопасности. И, наконец, в приложении В "Примеры правил" представлены образцы правил безопасности, которые можно использовать в качестве "козы" при разработке собственных правил.

Условные обозначения

В книге используются два условных обозначения.

- Новый термин напечатан курсивом при его первом появлении в книге.

- Примеры формулировок правил напечатаны курсивом для выделения их из основного текста.

Об авторе

Скотт Бармен работает в настоящее время системным аналитиком и экспертом по информационной безопасности в корпорации MITRE (http://www.mitre.org). Последние 20 лет он занимается вопросами информационной безопасности, разрабатывая стратегию развития систем и требования информационной безопасности для коммерческих организаций и государственных учреждений. После появления Internet и до работы в корпорации MITRE он занимался разработкой политики безопасности для многих организаций Вашингтона, в федеральном округе Колумбия. На эту книгу его вдохновила презентация SANS 99 года. Скотт получил образование в университете штата Джорджия и степень магистра в университете Карнеги Меллон (http://www.mism.cmu.edu).

О технических рецензентах

Рецензенты также внесли свой вклад и личный опыт в создание книги Разработка правил информационной безопасности. После написания книги эти профессионалы высочайшего уровня просмотрели все материалы и внесли свои предложения, касающиеся технического содержания, структуры книги и стиля изложения. Их непредвзятая критика помогла сделать книгу Разработка правил информационной безопасности насыщенной высококачественной технической информацией и очень полезной читателю.

Давид Нейлан (David Neilan) работает в компьютерной и сетевой индустрии уже более 10 лет, причем последние шесть лет занимается сетями и Internet, а также информационной безопасностью. С 1991 по 1995 гг. Давид работал в компании Intergraph, где занимался сетями и графическими системами. С 1995 по 1998 гг. он работал в Digital Equipment, занимаясь брандмауэрами DEC и безопасностью сетей. С 1998 по 2000 гг. Давид работал в Online Business System, занимаясь защитой локальных и глобальных сетей, а также Internet. В настоящее время у Давида свой бизнес - компания Security Technologies (технологии безопасности). Он сотрудничает с местными компаниями и занимается обеспечением безопасности их сетей; разрабатывает сетевую инфраструктуру для обеспечения безопасности сопряжения локальных и глобальных сетей различных компаний, использующих продукцию Microsoft 2000 и Cisco, а также Internet для создания виртуальных частных сетей. Давид также занимается бетатестированием операционных систем корпорации Microsoft, начиная с Windows For Workgroups, WFW 3.11. Кроме того, он занимается техническим редактированием многих книг, посвященных продукции корпорации Microsoft, сетям и информационной безопасности.

Ларри Паккоун (Larry Paccone) является главным системным аналитиком безопасности компаний Logicon и TASC. В качестве ведущего технического специалиста и руководителя проектов работает в области обеспечения безопасности Internet, сетей и систем уже более восьми лет. Он был техническим руководителем нескольких проектов защиты сетей в государственной научно-исследовательской лаборатории защиты систем и сетей. До этого Ларри пять лет работал в научно-исследовательской корпорации (The Analytical Sciences Corporation - TASC) в качестве государственного аналитика безопасности, занимаясь анализом структур обычных (не ядерных) вооруженных сил. Он имеет степень магистра естественных наук в области информационных систем, магистра гуманитарных наук в области международных отношений, а также бакалавра гуманитарных наук в области политологии. Он имеет восемь профессиональных сертификатов по безопасности сетей и систем, Internet, объединенных сетей, маршрутизации и коммутации Cisco, а также Windows NT.

Благодарности

Эта книга не была бы написана без помощи множества людей. Хотелось бы выразить благодарность Эллу Вальвано (Al Valvano) за то, что он рассказал мне о презентации SANS99, а также давал ценные советы в процессе написания книги.

Хочется особо поблагодарить технических редакторов Давида Нейлана, Доджа Мумфорда (Dodge Mumford) и Ларри Паккоуна, которые сделали очень интересные комментарии и замечания о книге. Хотя я и не со всеми замечаниями согласен, но весьма высоко ценю их вклад в работу.

Джефф Райли (Jeff Riley) и Лаура Лаволл (Laura Loveall) приняли весьма активное участие в процессе написания книги. Джефф неоднократно доводил меня до "белого каления", а Лауру, мне кажется, я доводил до того же состояния, но, тем не менее, я очень благодарен обоим за проявленное терпение. Спасибо вам!

17 апреля 2001 года моя жена Элиза умерла от рака. Я очень благодарен тем людям, которые помогли мне пережить эту ужасную трагедию. Прежде всего, я благодарен моим коллегам из корпорации MITRE за их поддержку в те тяжелые времена. MITRE является замечательной организацией, заслуживающей наивысших похвал.

Я очень благодарен Андрэ и Джами Розенбергам, а также Фелиции и Габриэлу Бершадским, моим самым близким друзьям, за то, что они помогли мне выйти из глубокой депрессии. Ребята, благодаря вам, я сделал это!

Я знаю, что мои родители очень беспокоились обо мне. Могу себе представить их чувства в то время. Моя мать, Лори, очень помогла мне тогда. После выхода этой книги, я надеюсь, мама будет гордиться мной. А своего отца, Марвина, я люблю больше всех на свете. Несмотря на свою язвительность, он весьма помог мне. Спасибо вам!

Я хотел бы сказать о своей вечной любви к Элизе. Она являлась моим первым коррек-тором, и все те 10 лет, которые мы провели вместе, она вдохновляла меня. Мы очень любили друг друга. Перед ее смертью я пообещал ей закончить книгу. Любимая, я выполнил свое обещание!


Copyright © 1992-2015 Издательская группа "Диалектика-Вильямс"

Rambler  Top100