2.3. Подход компании Cisco Systems

We use cookies. Read the Privacy and Cookie Policy

2.3. Подход компании Cisco Systems

С точки зрения специалистов Cisco, отсутствие сетевой политики безопасности может привести к серьезным инцидентам в области безопасности. Разработку политики безопасности компании рекомендуется начинать с оценки рисков сети и создания рабочей группы по реагированию на инциденты.

2.3.1. Описание политики безопасности

Создание политик использования. Компания Cisco рекомендует создать политики использования, которые описывают роли и обязанности сотрудников компании для надлежащей защиты конфиденциальной информации. При этом можно начать с разработки главной политики безопасности, в которой четко прописать общие цели и задачи организации режима информационной безопасности компании.

Следующий шаг – создание политики допустимого использования для партнеров, чтобы проинформировать партнеров компании о том, какая информация им доступна. Следует четко описать любые действия, которые будут восприниматься как враждебные, а также возможные способы реагирования при обнаружении таких действий.

В заключение необходимо создать политику допустимого использования для администраторов, чтобы описать процедуры администрирования учетных записей сотрудников и проверки привилегий. При этом если компания имеет определенную политику относительно использования паролей или категорирования информации, то нужно ее здесь упомянуть. Далее необходимо проверить названные политики на непротиворечивость и полноту, а также убедиться в том, что сформулированные требования к администраторам нашли свое отображение в планах по обучению.

Проведение анализа рисков. Назначение анализа рисков состоит в том, чтобы категорировать информационные активы компании, определить наиболее значимые угрозы и уязвимости активов и обоснованно выбрать соответствующие контрмеры безопасности. Подразумевается, что это позволит найти и поддерживать приемлемый баланс между безопасностью и требуемым уровнем доступа к сети. Различают следующие уровни информационных рисков:

•  низкий уровень – информационные системы и данные, будучи скомпрометированными (доступны для изучения неавторизованными лицами, повреждены или утеряны), не приведут к серьезному ущербу, финансовым проблемам или к проблемам с правоохранительными органами;

•  средний уровень – информационные системы и данные, будучи скомпрометированными (доступны для изучения неавторизованными лицами, повреждены или утеряны), приведут к умеренному ущербу или к небольшим проблемам с правоохранительными органами, или к умеренным финансовым проблемам, а также к получению дальнейшего доступа к другим системам. Затронутые системы и информация требуют умеренных усилий по восстановлению;

•  высокий уровень – информационные системы и данные, будучи скомпрометированными (доступны для изучения неавторизованными лицами, повреждены или утеряны), приведут к значительному ущербу или к серьезным проблемам с правоохранительными органами, или к финансовым проблемам, нанесению ущерба здоровью и безопасности сотрудников. Системы и информация требуют существенных усилий по восстановлению.

Рекомендуется определить уровень риска для каждого из перечисленных устройств: сетевые устройства, устройства мониторинга сети, серверы аутентификации (TACACS+ и RADIUS), почтовые серверы, файловые серверы, серверы сетевых приложений (DNS и DHCP), серверы баз данных (Oracle, MS SQL Server), персональные компьютеры и другие устройства.

При этом считается, что сетевое оборудование, такое, как коммутаторы, маршрутизаторы, DNS– и DHCP-серверы в случае компрометации могут быть использованы для дальнейшего проникновения в сеть и поэтому должны относиться к группе среднего или высокого риска. Возможное повреждение этих устройств может привести к прекращению работы всей сети. Такие инциденты наносят серьезный ущерб компании.

После определения уровней риска необходимо определить роли пользователей в этих системах. Рекомендуется выделять следующие пять наиболее общих типов пользователей:

•  администраторы – внутренние пользователи, отвечающие за сетевые ресурсы;

•  привилегированные пользователи – внутренние пользователи с необходимостью большего уровня доступа;

•  рядовые пользователи – внутренние пользователи с обычным уровнем доступа;

•  партнеры – внешние пользователи с необходимостью доступа к некоторым ресурсам;

•  другие – внешние пользователи или клиенты.

Определение уровней риска и типов доступа, требуемых для каждой сети, позволяет сформировать некоторую матрицу безопасности (см. табл. 2.1). Эта матрица безопасности является стартовой точкой для дальнейших шагов по обеспечению безопасности, например таких, как создание соответствующей стратегии по ограничению доступа к сетевым ресурсам. Таблица 2.1. Матрица безопасности Cisco

Определение состава и структуры группы сетевой безопасности. Рекомендуется создать группу сетевой безопасности под руководством менеджера по безопасности с представителями из каждой значимой бизнес-единицы компании (минимум из представителей бизнес-единиц развития, исполнения и производства и/или продаж). Члены группы должны хорошо знать политику безопасности и технические аспекты защищаемых систем и сетей. Часто это требует дополнительного обучения сотрудников названной группы. Группа безопасности должна принимать участие в разработке политики безопасности, организации режима информационной безопасности, а также своевременно реагировать на инциденты в области информационной безопасности компании.

Процесс сопровождения политик безопасности заключается в контроле и, при необходимости, пересмотре политик безопасности компании. Необходим как минимум ежегодный пересмотр политики безопасности и проведение анализа рисков.

На практике группа сетевой безопасности должна проводить анализ рисков, подтверждать запросы на проведение изменений в системе безопасности, проводить мониторинг оповещений о появлении новых уязвимостей с использованием списков рассылок вендоров и независимых аналитических центров, например CERT или SANS, а также поддерживать соответствие требованиям политики безопасности с помощью определенных технических и организационных мер.

Так как нарушения безопасности часто обнаруживаются во время проведения мониторинга сети, то члены группы сетевой безопасности должны участвовать в расследовании инцидентов и предупреждении подобных нарушений в дальнейшем. Каждый член группы безопасности должен обладать хорошими знаниями в области прикладного, системного и сетевого программного и аппаратного обеспечения систем безопасности. При этом рекомендуется определить индивидуальные роли и обязанности каждого члена группы сетевой безопасности.

Данный текст является ознакомительным фрагментом.