Информация. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. В. Ф. Шаньгининформационная безопасность компьютерных систем

может иметь доступ только к финансовым данным этих сотруд­
ников, а рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.
Политика безопасности определяет позицию организации по рациональному использованию компьютеров и сети, а также про­
цедуры по предотвращению и реагированию на инциденты безо­
пасности. В большой корпоративной системе может применяться широкий диапазон разных политик — от бизнес-политик до спе­
цифичных правил доступа к наборам данных. Эти политики пол­
ностью определяются конкретными потребностями организации.
3.1. Основные понятия политики безопасности
Политика безопасности определяет стратегию управления в области информационной безопасности, а также меру внимания и количество ресурсов, которые считает целесообразным выде­
лить руководство.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда проведен анализ рисков и определена стратегия защиты, состав­
ляется программа, реализация которой должна обеспечить ин­
формационную безопасность. Под эту программу выделяются ре­
сурсы, назначаются ответственные, определяется порядок кон­
троля выполнения программы и т. п.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой поли­
тики, поддерживаемого конкретными документами специализи­
рованных политик и процедур безопасности.
Высокоуровневая политика безопасности должна периодиче­
ски пересматриваться, гарантируя тем самым учет текущих по­
требностей организации. Документ политики составляют таким образом, чтобы политика была относительно независимой от конкретных технологий, в этом случае документ не потребуется изменять слишком часто.
Для того чтобы познакомиться с основными понятиями по­
литики безопасности рассмотрим в качестве конкретного при­
мера гипотетическую локальную сеть, принадлежащую некото­
рой организации, и ассоциированную с ней политику безопас­
ности [5, 63].

Политика безопасности обычно оформляется в виде доку­
мента, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ро­
лей и обязанностей, санкции и др.
Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной за­
щите. Эти повышенные меры безопасности и являются темой данного документа, который призван продемонстрировать со­
трудникам организации важность зашиты сетевой среды, опи­
сать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирую­
щей в сети.
Область применения. В сферу действия данной политики по­
падают все аппаратные, программные и информационные ре­
сурсы, входящие в локальную сеть предприятия. Политика ори­
ентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации. Основные цели — обеспечение целост­
ности, доступности и конфиденциальности данных, а также их полноты и актуальности. К частным целям относятся:
• обеспечение уровня безопасности, соответствующего нор­
мативным документам;
• следование экономической целесообразности в выборе за­
щитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);
• обеспечение безопасности в каждой функциональной об­
ласти локальной сети;
• обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
• обеспечение анализа регистрационной информации;
• предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
• выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
• обеспечение соответствия с имеющимися законами и об­
щеорганизационной политикой безопасности.

Распределение ролей и обязанностей. За реализацию сформу­
лированных выше целей отвечают соответствующие должност­
ные лица и пользователи сети.
Руководители подразделений отвечают за доведение положе­
ний политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасно­
сти. Они обязаны:
• обеспечивать защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;
• оперативно и эффективно реагировать на события, таящие угрозу, информировать администраторов сервисов о по­
пытках нарушения защиты;
• использовать проверенные средства аудита и обнаружения подозрительных ситуаций, ежедневно анализировать реги­
страционную информацию, относящуюся к сети в целом и к файловым серверам в особенности;
• не злоупотреблять своими полномочиями, так как пользо­
ватели имеют право на тайну;
• разрабатывать процедуры и подготавливать инструкции для защиты локальной сети от вредоносного программного обеспечения, оказывать помощь в обнаружении и ликвида­
ции вредоносного кода;
• регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
• выполнять все изменения сетевой аппаратно-программной конфигурации;
• гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам, выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
• периодически производить проверку надежности защиты локальной сети, не допускать получения привилегий неав­
торизованными пользователями.
Администраторы сервисов отвечают за конкретные сервисы, и в частности за построение защиты в соответствии с обшей по­
литикой безопасности. Они обязаны:
• управлять правами доступа пользователей к обслуживае­
мым объектам;

• оперативно и эффективно реагировать на события, таящие угрозу, оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказа­
ния;
• регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
• выделять пользователям входные имена и начальные паро­
ли только после заполнения регистрационных форм;
• ежедневно анализировать регистрационную информацию, относящуюся к сервису, регулярно контролировать сервис на предмет вредоносного программного обеспечения;
• периодически производить проверку надежности защиты сервиса, не допускать получения привилегий неавторизо­
ванными пользователями.
Пользователи работают с локальной сетью в соответствии с политикой безопасности, подчиняются распоряжениям лиц, от­
вечающих за отдельные аспекты безопасности, ставят в извест­
ность руководство обо всех подозрительных ситуациях. Они обя­
заны:
• знать и соблюдать законы, правила, принятые в данной орга­
низации, политику безопасности, процедуры безопасности, использовать доступные защитные механизмы для обеспече­
ния конфиденциальности и целостности своей инфор­
мации;
• использовать механизм защиты файлов и должным обра­
зом задавать права доступа;
• выбирать качественные пароли, регулярно менять их, не за­
писывать пароли на бумаге, не сообщать их другим лицам;
• информировать администраторов или руководство о нару­
шениях безопасности и иных подозрительных ситуациях;
• не использовать слабости в защите сервисов и локальной сети в целом, не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
• всегда сообщать корректную идентификационную и аутен­
тификационную информацию, не пытаться работать от имени других пользователей;
• обеспечивать резервное копирование информации с жест­
кого диска своего компьютера;
• знать принципы работы вредоносного программного обес­
печения, пути его проникновения и распространения, знать и соблюдать процедуры для предупреждения про-
5 - 3 3 4 8

никновения вредоносного кода, его обнаружения и унич­
тожения;
• знать и соблюдать правила поведения в экстренных ситуа­
циях, последовательность действий при ликвидации послед­
ствий аварий.
Санкции. Нарушение политики безопасности может подверг­
нуть локальную сеть и циркулирующую в ней информацию не­
допустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.
Дополнительная информация. Конкретным группам исполни­
телей могут потребоваться для ознакомления дополнительные документы, в частности, документы специализированных поли­
тик и процедур безопасности, а также другие руководящие ука­
зания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специа­
лизированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специали­
зированных политик. Многие из этих документов поддержки могут быть краткими — объемом в одну-две страницы.
Управленческие меры обеспечения информационной
безопасности
Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области ин­
формационной безопасности и обеспечение ее выполнения пу­
тем вьщеления необходимых ресурсов и осуществления регуляр­
ного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплекс­
ный подход организации к защите своих ресурсов и информаци­
онных активов.
С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний [5, 6].
Верхний уровень политики безопасности определяет реше­
ния, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Такие решения могут включать в себя следующие элементы:
• формулировку целей, которые преследует организация в области информационной безопасности, определение об­
щих направлений в достижении этих целей;
• формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
• обеспечение материальной базы для соблюдения законов и правил;
• формулировку управленческих решений по вопросам реа­
лизации программы безопасности, которые должны рас­
сматриваться на уровне организации в целом.
Политика безопасности верхнего уровня формулирует цели ор­
ганизации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если органи­
зация отвечает за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Для органи­
зации, занимающейся продажами, важна актуальность информа­
ции о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциаль­
ности информации, т. е. о ее защите от НСД.
На верхний уровень выносится управление ресурсами безо­
пасности и координация использования этих ресурсов, выделе­
ние специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обес­
печивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко определять сферу своего влияния. В нее могут быть включены не только все ком­
пьютерные системы организации, но и домашние компьютеры сотрудников, если политика регламентирует некоторые аспекты их использования. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должно­
стных лиц по выработке программы безопасности и по проведе­
нию ее в жизнь, т. е. политика может служить основой подотчет­
ности персонала.
Политика верхнего уровня имеет дело с тремя аспектами за­
конопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вто­
рых, следует контролировать действия лиц, ответственных за вы­

работку программы безопасности. В-третьих, необходимо обес­
печить исполнительскую дисциплину персонала с помощью сис­
темы поощрений и наказаний.
Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируе­
мых организацией. Примеры таких вопросов — отношение к доступу в Internet (проблема сочетания свободы получения ин­
формации с защитой от внешних угроз), использование домаш­
них компьютеров и т. д.
Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:
• описание аспекта — позиция организации может быть сформулирована в достаточно общем виде, а именно как набор целей, которые преследует организация в данном ас­
пекте;
• область применения — следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная по­
литика безопасности;
• роли и обязанности — документ должен содержать инфор­
мацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;
• санкции — политика должна содержать общее описание за­
прещенных действий и наказаний за них;
• точки контакта — должно быть известно, куда следует об­
ращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит должно­
стное лицо.
Нижний уровень политики безопасности относится к кон­
кретным сервисам. Она включает два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматривае­
мая политика должна быть более детальной, т. е. при следовании политике безопасности нижнего уровня необходимо дать ответ, например, на такие вопросы:
• кто имеет право доступа к объектам, поддерживаемым сер­
висом;
• при каких условиях можно читать и модифицировать дан­
ные;
• как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее прави­
ла, чем более четко и формально они изложены, тем проще под­
держивать их выполнение программно-техническими мерами.
Обычно наиболее формально задаются права доступа к объектам.
3.2. Структура политики безопасности организации
Для большинства организаций политика безопасности абсо­
лютно необходима. Она определяет отношение организации к обеспечению безопасности и необходимые действия организа­
ции по защите своих ресурсов и активов. На основе политики безопасности устанавливаются необходимые средства и процеду­
ры безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.
Обычно политика безопасности организации включает:
• базовую политику безопасности;
• специализированные политики безопасности;
• процедуры безопасности.
Основные положения политики безопасности организации описываются в следующих документах:
• обзор политики безопасности — раскрывает цель политики безопасности, описывает структуру политики безопасно­
сти, подробно излагает, кто и за что отвечает, устанавлива­
ет процедуры и предполагаемые временные рамки для вне­
сения изменений. В зависимости от масштаба организации политика безопасности может содержать больше или мень­
ше разделов;
• описание базовой политики безопасности — определяет раз­
решенные и запрещенные действия, а также необходимые средства управления в рамках реализуемой архитектуры безопасности;
• руководство по архитектуре безопасности — описывает реа­
лизацию механизмов безопасности в компонентах архитек­
туры, используемых в сети организации (рис. 3.1).

Рис. 3 .1.
Структура политики безопасности организации
Главным компонентом политики безопасности организации является базовая политика безопасности [9].
3 .2 .1 . Базовая политика безопасности
Базовая политика безопасности устанавливает, как организа­
ция обрабатывает информацию, кто может получить к ней дос­
туп и как это можно сделать.
Нисходящий подход, реализуемый базовой политикой безо­
пасности, дает возможность постепенно и последовательно вы­
полнять работу по созданию системы безопасности, не пытаясь сразу выполнить ее целиком. Базовая политика позволяет в любое время ознакомиться с политикой безопасности в полном объеме и выяснить текущее состояние безопасности в организации.
Структура и состав политики безопасности зависит от разме­
ра и целей компании. Обычно базовая политика безопасности организации поддерживается набором специализированных по­
литик и процедур безопасности.
3 .2 .2 . С пециализированны е политики безопасности
Потенциально существуют десятки специализированных по­
литик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназна­
чаются для каждой организации, другие — специфичны для оп­
ределенных компьютерных окружений.

С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:
• политики, затрагивающие значительное число пользова­
телей;
• политики, связанные с конкретными техническими облас­
тями.
К специализированным политикам, затрагивающим значи­
тельное число пользователей, относятся:
• политика допустимого использования;
• политика удаленного доступа к ресурсам сети;
• политика защиты информации;
• политика защиты паролей и др.
К специализированным политикам, связанным с конкретны­
ми техническими областями, относятся:
• политика конфигурации межсетевых экранов;
• политика по шифрованию и управлению криптоключами;
• политика безопасности виртуальных защищенных сетей
VPN;
• политика по оборудованию беспроводной сети и др.
Рассмотрим подробнее некоторые из ключевых специализи­
рованных политик.
Политика допустимого использования. Ее цель — установление стандартных норм безопасного использования компьютерного оборудования и сервисов в компании, а также соответствующих мер безопасности сотрудников для защиты корпоративных ре­
сурсов и собственной информации. Неправильное использова­
ние компьютерного оборудования и сервисов подвергает компа­
нию рискам, включая вирусные атаки, компрометацию сетевых систем и сервисов. Конкретный тип и количество политик до­
пустимого использования зависят от результатов анализа требо­
ваний бизнеса, оценки рисков и корпоративной культуры в орга­
низации.
Политика допустимого использования применяется к сотруд­
никам, консультантам, временным служащим и другим работни­
кам компании, включая сотрудников сторонних организаций.
Политика допустимого использования предназначена в основ­
ном для конечных пользователей и указывает им, какие действия разрешаются, а какие запрещены. Без зафиксированной в соот­
ветствующем документе политики допустимого использования, штатные сотрудники управления и поддержки сети не имеют формальных оснований для применения санкций к своему или

стороннему сотруднику, который допустил грубое нарушение правил безопасной работы на компьютере или в сети.
Политика допустимого использования устанавливает:
• ответственность пользователей за защиту любой информа­
ции, используемой и/или хранимой их компьютерами;
• правомочность пользователей читать и копировать файлы, которые не являются их собственными, но доступны им;
• уровень допустимого использования электронной почты и
Web-доступа.
Для образовательных и государственных учреждений полити­
ка допустимого использования, по существу, просто обязательна.
Специального формата для политики допустимого использо­
вания не существует: должно быть указано имя сервиса, системы или подсистемы (например политика использования компьюте­
ра, электронной почты, компактных компьютеров и паролей) и описано в самых четких терминах разрешенное и запрещенное поведение, а также последствия нарушения ее правил и санк­
ции, накладываемые на нарушителя.
Разработка политики допустимого использования выполня­
ется квалифицированными специалистами по соответствующему сервису, системе или подсистеме под контролем комиссии (ко­
манды), которой поручена разработка политики безопасности организации.
Политика удаленного доступа. Ее цель — установление стан­
дартных норм безопасного удаленного соединения любого хоста с сетью компании. Стандартные нормы призваны минимизиро­
вать ущерб компании из-за возможного неавторизованного ис­
пользования ресурсов компании. К такому ущербу относятся: утрата интеллектуальной собственности компании, потеря кон­
фиденциальных данных, искажение имиджа компании, повреж­
дения критических внутренних систем компании и т. д.
Эта политика касается всех сотрудников, поставщиков и агентов компании при использовании ими для удаленного со­
единения с сетью компании компьютеров или рабочих станций, являющихся собственностью компании или находящихся в лич­
ной собственности.
Политика удаленного доступа:
• намечает и определяет допустимые методы удаленного со­
единения с внутренней сетью;
• существенна в большой организации, где сети территори­
ально распределены;

• должна охватывать по возможности все распространенные методы удаленного доступа к внутренним ресурсам.
Политика удаленного доступа определяет:
• какие методы разрешаются для удаленного доступа;
• ограничения на данные, к которым можно получить уда­
ленный доступ;
• кто может иметь удаленный доступ.
Защищенный удаленный доступ должен быть строго контро­
лируемым. Применяемая процедура контроля должна гарантиро­
вать, что доступ к надлежащей информации или сервисам полу­
чат только прошедшие проверку люди. Сотрудник компании не должен передавать свой логин и пароль никогда и никому, вклю­
чая членов семьи. Управление удаленным доступом не должно быть сложным и приводить к возникновению ошибок.
Контроль доступа целесообразно выполнять с помощью од­
норазовой парольной аутентификации или с помощью откры­
тых/секретных ключей (см. гл. 7 и 13).
Сотрудники компании с правами удаленного доступа долж­
ны гарантировать, что принадлежащие им или компании персо­
нальный компьютер или рабочая станция, которые удаленно подсоединены к корпоративной сети компании, не будут связа­
ны в это же время с какой-либо другой сетью, за исключением персональных сетей, находящихся под полным контролем поль­
зователя. Кроме того, их соединение удаленного доступа должно иметь такие же характеристики безопасности, как обычное ло­
кальное соединение с компанией.
Все хосты, которые подключены к внутренним сетям компа­
нии с помощью технологий удаленного доступа, должны исполь­
зовать самое современное антивирусное обеспечение. Это требо­
вание относится и к персональным компьютерам компании.
Любой сотрудник компании, уличенный в нарушении дан­
ной политики, может быть подвергнут дисциплинарному взы­
сканию вплоть до увольнения с работы.
3 .2 .3 . П р о ц ед ур ы безопасности
Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасно­
сти только описывают, что должно быть защищено и каковы ос­
новные правила защиты. Процедуры безопасности определяют,

как защитить ресурсы и каковы механизмы исполнения полити­
ки, т. е. как реализовывать политики безопасности.
По существу процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач.
Часто процедура является тем инструментом, с помощью кото­
рого политика преобразуется в реальное действие. Например, политика паролей формулирует правила конструирования паро­
лей, правила о том, как защитить пароль и как часто его заме­
нять. Процедура управления паролями описывает процесс созда­
ния новых паролей, их распределения, а также процесс гаранти­
рованной смены паролей на критичных устройствах.
Процедуры безопасности детально определяют действия, ко­
торые нужно предпринять при реагировании на конкретные со­
бытия; обеспечивают быстрое реагирование в критической си­
туации; помогают устранить проблему единой точки отказа в ра­
боте, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.
Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В каче­
стве примеров можно указать процедуры для резервного копиро­
вания и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования логина и пароля пользователя, применяе­
мые сразу, как только данный пользователь увольняется из орга­
низации.
Рассмотрим несколько важных процедур безопасности, кото­
рые необходимы почти каждой организации.
Процедура реагирования на события является необходимым средством безопасности для большинства организаций. Органи­
зация особенно уязвима, когда обнаруживается вторжение в ее сеть или когда она сталкивается со стихийным бедствием.
Процедуру реагирования на события иногда называют проце­
дурой обработки событий или процедурой реагирования на инци­
денты. Практически невозможно указать отклики на все собы­
тия нарушений безопасности, но нужно стремиться охватить ос­
новные типы нарушений, которые могут произойти. Например: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, НСД и др.
Данная процедура определяет:
• обязанности членов команды реагирования;
• какую информацию регистрировать и прослеживать;

• как обрабатывать исследование отклонений от нормы и атаки вторжения;
• кого и когда уведомлять;
• кто может выпускать в свет информацию и какова проце­
дура выпуска информации;
• как должен выполняться последующий анализ и кто будет в этом участвовать.
В команду реагирования могут быть включены должностные лица компании, менеджер маркетинга (для связи с прессой), системный и сетевой администраторы и представитель соответ­
ствующих правоохранительных органов. Процедура должна ука­
зать, когда и в каком порядке они вызываются.
Процедура управления конфигурацией обычно определяется на корпоративном уровне или уровне подразделения. Эта процедура должна определить процесс документирования и запроса измене­
ний конфигурации на всех уровнях принятия решений. В прин­
ципе должна существовать центральная группа, которая рассмат­
ривает все запросы на изменения конфигурации и принимает не­
обходимые решения.
Процедура управления конфигурацией определяет:
• кто имеет полномочия выполнить изменения конфигура­
ции аппаратного и программного обеспечения;
• как тестируется и инсталлируется новое аппаратное и про­
граммное обеспечение;
• как документируются изменения в аппаратном и програм­
мном обеспечении;
• кто должен быть проинформирован, когда случаются изме­
нения в аппаратном и программном обеспечении.
Процесс управления конфигурацией важен, так как доку­
ментирует сделанные изменения и обеспечивает возможность аудита; документирует возможный простой системы; дает способ координировать изменения так, чтобы одно изменение не поме­
шало другому.