Руководство по безопасности в Lotus Notes
[+]
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 637 / 33 | Оценка: 4.83 / 5.00 | Длительность: 42:11:00
Тема: Безопасность
Специальности: Администратор информационных систем, Специалист по безопасности
Теги: access management, CRL, ECL, ldap, LMS, NSF, OID, SOCKS, ssl, SSO, аутентификация, базы данных, безопасность, интернет, каталоги, клиенты, мандат, отличительное имя, прокси, прокси-серверы, протоколы, серверы, шифрование
Лекция 2:

Методологии построения систем безопасности
A
|
версия для печати
< Лекция 1 || Лекция 2: 123456789 || Лекция 3 >
2. Выполнить анализ риска

Для анализа риска используется следующая формула:

Риск = Последствия + Угрозы + Вероятность.

Последствия – это то, что произойдет с бизнесом в случае успешной атаки, частично или полностью. Угрозы – это люди и события, которые могут повредить бизнесу. Вероятность – это численное выражение возможности всему этому произойти. Комбинация вышеприведенных трех элементов определяет, насколько велик риск, с которым бизнес сталкивается изо дня в день.

В процессе анализа на риск пять шагов:

  1. Определить активы бизнеса.
  2. Определить угрозы бизнесу.
  3. Оценить вероятность возникновения угрозы.
  4. Проанализировать приемлемые способы контроля и определить накладные расходы для их реализации.
  5. Реализовать подходящие контрмеры.

Некоторые обзоры безопасности рассматривают анализ угроз как составную часть анализа на риск. В настоящей методологии анализ угроз является отдельным полем деятельности, поскольку угрозы обычно недооцениваются и понимаются не целиком и полностью.

3. Выполнить анализ угроз

В процессе анализа угроз выделяют два отдельных шага:

  1. Определить "дырки" (или уязвимости).
  2. Определить способы контроля (или контрмеры).

На первом шаге необходимо задать несколько простых, но эффективных вопросов: что представляют собой уязвимые места? где эти места расположены? какова вероятность воздействия на них? и каковы могут быть последствия для ИТ-инфраструктуры и бизнеса?

На втором шаге задаются такие вопросы: какие способы контроля подходят для выявленных "дыр"? сколько эти способы контроля будут стоить? и подходят ли эти способы контроля (в плане затрачиваемых усилий и средств)?

4. Разбить информацию по категориям

Не вся информация должна защищаться одинаково. Общедоступная информация вообще не нуждается в защите, в то время как "сверхсекретная" информация (такая, разглашение которой посторонним может привести к гибели бизнеса или, еще хуже, к гибели людей) требует наивысшей защиты и внимания. Большинство же информации попадает куда-то между этими двумя противоположностями. На этой фазе определяется, куда следует классифицировать каждый кусок информации внутри этих противоположностей и какие меры безопасности применить к каждой информационной категории.

5. Определить политики и процедуры

Здесь для бизнеса создается политика безопасности. Политика безопасности содержит все относящиеся к безопасности политики и процедуры в организации.

В большинстве организаций если политика безопасности и существует, то она, как правило, создавалась из уже существовавших не ИТ-политик и процедур, которые были определены еще для самого бизнеса, а затем на них наложена информация об ИТ-инфраструктуре, о ее работе и инструментах безопасности. Именно таким неполноценным подходом объясняется, почему безопасность этих организаций оставляет желать лучшего.

В методологии ISSL политика безопасности основана на той работе, которая была проведена на предыдущих шагах. Если предыдущие шаги были сделаны не должным образом, очевидно, политика безопасности тоже будет далеко не самой лучшей. Даже если все предыдущие шаги были проделаны должным образом и было уделено достаточное внимание деталям, на этом шаге должны быть заданы дополнительные вопросы, а именно: какие системы будут охвачены и на кого это повлияет? как будет реализована система безопасности и как она будет поддерживаться? что будет защищено, как и при помощи каких инструментов? кто будет обучен вести себя так, чтобы удовлетворять требованиям безопасности?

И конечно, политика безопасности должна полностью одобряться и поддерживаться высшим руководством организации. В политике безопасности должно быть подробно изложено, кто отвечает за безопасность внутри организации, как распределены роли и ответственность сверху вниз, начиная с руководителей организации, затем к менеджеру по безопасности, затем к руководителям различных направлений в организации, затем к разработчикам, инженерам и администраторам ИТ-инфраструктуры и заканчивая отдельными пользователями, которые обычно и являются в плане безопасности главными нарушителями спокойствия.

2.5.3 Фаза 2. Построение

Деятельность этой фазы включает фактическую реализацию на практике инфраструктуры безопасности. Все изучения, оценки и классификации уже сделаны. Политика безопасности построена и утверждена руководством. Время действий. Фазу построения реализуют следующие шаги.

6. Определить контрмеры

Просто говоря, контрмеры – это инструменты и продукты, а также службы системы безопасности. В категории инструментов и продуктов находятся инструменты инфраструктуры открытого ключа (PKI), инструменты управления каталогами, вируссканеры, инструменты защищенного обмена сообщениями и шлюза службы защищенного обмена сообщениями. В зоне служб находятся службы аудиторов безопасности, этические хакеры, конструкторы систем и инструментов безопасности, так же как и целый набор различных служб управления безопасностью компании, которые помогают управлять уже установленной инфраструктурой и обрабатывать любые происходящие неприятности.

В этой фазе происходит сборка и встраивание в инфраструктуру запланированных к использованию инструментов и продуктов. Это как раз та область, в которой зачастую используются услуги специалистов; если необходимые умения наличествуют в пределах самой организации, это делается собственным ИТ-персоналом. То, как будет осуществляться управление и наблюдение за готовой системой, является важным вопросом, который также рассматривается во время этой фазы.

7. Выполнение политики безопасности и ее документирование

Это то место, где осуществляется фактическая реализация инструментов системы безопасности, а также создается вся относящаяся к проекту документация.

Этот шаг может быть разбит на 4 ключевые фазы:

  1. определение целей и задач самого проекта, куда входят финальный дизайн системы безопасности, его реализация и конфигурация;
  2. область применимости системы безопасности к окружению, в которую входят испытания производительности и наблюдение за защищенным окружением;
  3. планы для апробации новой инфраструктуры, которые включают как минимум одну опытную партию (если не больше, в зависимости от сложности и размаха инфраструктуры безопасности), которая поможет протестировать все предположения, сделанные на предыдущих фазах;
  4. апробация инфраструктуры, которая включает определение требований к обучению и поддержку конечного пользователя.
2.5.4 Фаза 3. Управление

В эту фазу входят послеустановочные аспекты инфраструктуры безопасности, в частности управление ею, отслеживание возможных нарушений в системе безопасности и обработка различных инцидентов, связанных с безопасностью.

8. Обучение пользователей

Обученный пользователь в общем и целом – защищенный пользователь. Обученный пользователь просто уже не попадется так легко на атаки типа "социальной инженерии". Обученный пользователь будет применять правильно сформированные пароли и будет следовать правилам политики безопасности, поскольку теперь ее содержимое будет для него понятно и причины следовать ей будут иметь смысл. Обученный пользователь будет понимать, что действующая политика не пытается ограничить возможности работать и выполнять свои обязанности, а старается уменьшить риск возникновения инцидентов безопасности, которые точно могут помешать пользователю осуществлять свои функции и, более того, с большой вероятностью воспрепятствовать компании в целом работать должным образом.

Фаза обучения разделена на два различных шага: обучение обучающего и обучение пользователей. Обучение обучающего, несомненно, является первым шагом, поскольку вы должны быть уверены, что есть кто-то, кто сможет пользователям все разъяснить. Так как инфраструктура безопасности будет уникальной для каждой организации, для обучающего должен быть разработан индивидуальный курс обучения, который разъяснит этому человеку инфраструктуру безопасности, инструменты, используемые для защиты инфраструктуры, область применения и ограничения этих инструментов и всей инфраструктуры безопасности в целом и, возможно, что более важно, как обучающему следует объяснять все пользователям.

Далее, обучению пользователей следует быть достаточно простым, хотя обучающий должен будет подумать, чтобы некоторые основы были разъяснены в обязательном порядке, такие, как что представляют собой угрозы, что такое атаки (социальная инженерия, например), что представляют собой политики и процедуры и почему необходимо им следовать. Если все сделано как надо, обучение гарантирует то, что пользователи будут счастливы с новой инфраструктурой безопасности и будут знать достаточно, чтобы помочь содержать свое окружение в безопасности, – в противоположность тому, чтобы быть на самой вершине списка составляющих риска для безопасности.

9. Проверка соответствия

Соответствие может быть определено как готовность следовать правилам и предписаниям. Для того чтобы обеспечить соответствие, политике безопасности следует быть обязательной, так же как обязательными являются и правила ведения бизнеса. Также политике безопасности следует обрисовать, в рамках проверки соответствия, как будут применяться правила и, наконец, какие меры должны быть применены для обеспечения соответствия.

Проверка соответствия определенно вскроет некоторые ситуации, в которых требования соответствия выполняться не будут. В таком случае политике безопасности следует подробно описать те меры, которые будут приняты в случае нарушений соответствия, вроде строгости санкций, шагов, которым надо следовать для восстановления соответствия. И наконец, политике следует обеспечить некий механизм обратной связи для предотвращения повторного происшествия.

10. Обратная связь результатов

Поскольку безопасность – это процесс, а не просто продукт, должно быть понятно, что она основана на технологии, процессах и людях; что она эволюционирует с течением времени вместе с бизнесом; что она развивается также с течением времени вместе с технологией и, наконец, что она эволюционирует во времени вместе с изменяющимися рисками, опасностями и угрозами. Таким образом, как упоминалось в самом начале, она должна быть цикличной по своей природе.

Для того чтобы гарантировать то, что этот цикл сможет повторить себя и предложить лучший вариант инфраструктуры безопасности на каждом новом цикле, требуется механизм обратной связи. Этот механизм обратной связи важен постольку, поскольку он гарантирует, что безопасность реализована должным образом по всей организации, что она работает так, как планировалось при разработке, что она работает для пользователей, а не в обход их, и наконец, самое важное, он гарантирует, что безопасность в организации развивается так, как надо.

2.6 Резюме

В этой лекции мы рассмотрели различные методологии для разработки, размещения и управления безопасностью в любой организации.

Мы затронули следующие темы:

  • представление об угрозах, риске и снижении степени риска;
  • человеческий фактор и его большое влияние на безопасность;
  • ряд методологий: ISO 17799, Общие Критерии, Метод IBM построения решений для обеспечения безопасности (MASS);
  • методология, используемая IBM's Software Services for Lotus.

Остальная часть курса построена именно на этих методологиях.

Дальше >>
< Лекция 1 || Лекция 2: 123456789 || Лекция 3 >

Вопросы и ответы

вопросов: 0