Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия"

Регламентация использования ресурсов

При разработке политики безопасности ряд вопросов требует обязательных ответов:

• Кто имеет право пользоваться ресурсами?
• Как правильно использовать ресурсы?
• Кто наделен правом давать привилегии и разрешать использование?
• Кто может иметь административные привилегии?
• Каковы права и обязанности пользователей?
• Каковы права и обязанности системных администраторов по отношению к обычным пользователям?
• Как работать с конфиденциальной информацией?

После определения круга лиц, имеющих доступ к системным ресурсам, необходимо описать правильные и неправильные способы их применения. Для разных категорий пользователей (студентов, внешних пользователей, штатных сотрудников и т.д.) эти способы могут различаться. Следует явно указать, что допустимо, а что - нет.

Пользователи должны знать: они несут ответственность за свои действия независимо от применяемых защитных средств, использовать чужие счета и обходить механизмы безопасности запрещено.

Для регламентации доступа к ресурсам нужно ответить на следующие вопросы:

• Разрешается ли использование чужих счетов?
• Можно ли отгадывать чужие пароли?
• Допускается ли разрушение сервисов?
• Должны ли пользователи предполагать, что если файл доступен на чтение всем, то они имеют право его читать?
• Вправе ли пользователи модифицировать чужие файлы, если по каким-либо причинам у них есть доступ на запись?
• Обязаны ли пользователи разделять счета?

В большинстве случаев ответы на подобные вопросы будут отрицательными.

В политике могут найти отражение авторские и лицензионные права на программное обеспечение. Лицензионное соглашение с поставщиком налагает на организацию определенные обязательства; чтобы не нарушить их, необходимо приложить некоторые усилия.

Тщательно сформулированная политика в области правильного использования ресурсов очень важна: если явно не сказано, что запрещено, не удастся доказать, что нежелательные действия пользователя - это нарушения.

Бывают исключительные случаи, когда в исследовательских целях пользователи или администраторы пытаются "взломать" защиту сервиса или лицензионной программы. Политика должна давать ответ на вопрос, разрешены ли подобные исследования в организации и каковы могут быть их рамки.

Применительно к исключительным случаям следует дать ответы на такие вопросы:

• Разрешены ли вообще подобные исследования?
• Что именно разрешено: попытки проникновения, выращивание червей и вирусов и т.п.?
• Каким образом должны контролироваться подобные исследования (например, изолировать их в рамках отдельного сегмента сети)?
• Как защищены пользователи (в том числе внешние) от подобных исследований?
• Как получать разрешение на проведение исследований?

В случае, если разрешение получено, следует отделить тестируемые сегменты от основной сети предприятия: бесспорно, черви и вирусы нельзя выпускать в производственную сеть.

Политика безопасности должна давать ответ на вопрос, кто распоряжается правами доступа к сервисам. Кроме того, необходимо точно знать, какие именно права этим людям позволено распределять.

Существует много возможных схем управления распределением прав доступа к сервисам. При выборе подходящей целесообразно принять во внимание следующие моменты:

• Как будут распределяться права доступа - централизованно или из нескольких мест?
• Какие методы предполагается использовать для заведения счетов и запрещения доступа?

Наделение пользователей правами доступа - одна из самых уязвимых процедур. Прежде всего следует позаботиться, чтобы начальный пароль не был легко угадываемым, не являлся функцией от имени пользователя или его полного имени. Не стоит автоматически генерировать начальные пароли, если результат легко предсказуем.

Нельзя разрешать пользователям до бесконечности полагаться на начальный пароль. По возможности следует создавать условия для обязательной его замены при первом входе в систему.

Одно из решений, которое должно быть тщательно взвешено, относится к выбору лиц, имеющих доступ к административным привилегиям и паролям. Очевидно, подобный доступ полагается системным администраторам, но неизбежны ситуации, когда за привилегиями будут обращаться другие пользователи, что с самого начала следует предусмотреть в политике безопасности.

Сотрудники, имеющие специальные привилегии, должны быть подотчетны некоторому должностному лицу.

Политика безопасности должна содержать положения о правах и обязанностях пользователей применительно к использованию компьютерных систем и сервисов предприятия. Должно быть явно оговорено, что все сотрудники обязаны понимать и выполнять правила безопасной эксплуатации систем. Ниже приведен перечень тем, которые целесообразно осветить в данном разделе политики безопасности:

• Каковы общие рамки использования ресурсов? Существуют ли ограничения на ресурсы и каковы они?
• Что является злоупотреблением с точки зрения производительности системы?
• Как "секретные" пользователи должны охранять свои пароли?
• Насколько часто пользователи должны менять пароли? Каковы другие аналогичные ограничения и требования?
• Как обеспечивается резервное копирование - централизованно или индивидуально?
• Какой должна быть реакция на случаи просмотра конфиденциальной информации?
• Соблюдается ли конфиденциальность почты?
• Какова политика в отношении неправильно адресованной почты, отправлений по спискам рассылки или в адрес телеконференций?
• Должен соблюдаться баланс между правом пользователей на тайну и обязанностью системного администратора собирать достаточно информации для разрешения проблем и расследования случаев нарушения режима безопасности. Политика должна определять границы, в пределах которых системный администратор вправе исследовать пользовательские файлы с целью разрешения проблем и для иных нужд, и конкретизировать права пользователей. При необходимости можно сформулировать положение относительно обязанности администратора соблюдать конфиденциальность информации, полученной при оговоренных выше обстоятельствах.

Следует сообщить пользователям, какие сервисы (при наличии таковых) пригодны для хранения конфиденциальной информации. Должны рассматриваться различные способы хранения данных (на диске, файловом сервере и т.д.).