Разделы политики безопасности

Разделы политики безопасности

Расммотрим основные разделы политики безопасности.

Каждая политика и процедура имеют четко определенную цель, которая ясно описывает, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.

Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяет­ся ко всем компьютерным и сетевым системам. Информационная по­литика применяется ко всем служащим.

В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур. Этот человек должен быть надлежащим образом обучен и знать все требования по­литики.

Информационная политика определяет секретную информацию внутри организации и способы ее защиты. Политика разрабатывается таким образом, чтобы охватить всю существующую информацию. Каждый слу­жащий отвечает за безопасность секретной информации, с которой он сталкивается в работе. Информация может быть представлена на бумаж­ных носителях или в виде файлов на компьютере. Политика должна пре­дусмотреть защиту для всех форм представления информации.[12]

Политика безопасности определяет технические требования к защите компьютерных систем и сетевой аппаратуры, способы настройки систем администратором с точки зрения их безопасности. Эта конфигура­ция будет оказывать влияние на пользователей, и некоторые требова­нии, установленные в политике, связаны со всем коллективом Пользователей. Главная ответственность за развертывание этой полити­ки ложится на системных и сетевых администраторов при поддержке руководства.

Политика безопасности определяет требования, выполнение которых должно быть обеспечено на каждой системе. Однако политика сама по Себе не определяет конкретную конфигурацию различных операцион­ных систем. Это устанавливается в отдельных процедурах по настройке. Такие процедуры могут быть размещены в приложении к политике.

Политика безопасности определяет порядок идентификации пользова­телей: либо стандарт для идентификаторов пользователей, либо раздел к процедуре системного администрирования, в котором определяется этот стандарт.[13]

Очень важно, чтобы был установлен основной механизм для аутенти­фикации пользователей и администраторов. Если это пароли, то в поли­тике определяется минимальная длина пароля, максимальный и мини­мальный возраст пароля и требования к его содержимому.

Политика безопасности устанавливает стандартные требования к управле­нию доступом к электронным файлам, в которых предусматриваются фор­мы управления доступом пользователей по умолчанию, доступные для каж­дого файла в системе. Этот механизм работает в паре с аутентификационным механизмом и гарантирует, что только авторизованные пользователи полу­чают доступ к файлам. Также четко оговариваются пользователи, имеющие доступ к файлам с разрешениями на чтение, запись и исполнение.

Настройки по умолчанию для новых файлов устанавливают разреше­ния, принимаемые при создании нового файла. В этом разделе полити­ки определяются разрешения на чтение, запись и исполнение, которые даются владельцам файлов и прочим пользователям системы.

В политике безопасности должно быть определено размещение программ безопасности, отслеживающих вредоносный код (вирусы, черви, «чер­ные ходы» и «троянские кони»). В качестве мест размещения указывают­ся файловые серверы, рабочие станции и серверы электронной почты.

Политика безопасности должна предусматривать определение требо­ваний для таких защитных программ. В эти требования может входить проверка определенных типов файлов и проверка файлов при откры­тии или согласно расписанию.

В политике также указываются требования к периодическому (напри­мер, ежемесячному) обновлению признаков вредоносного кода для за­щитных программ.

Политика безопасности должна определять приемлемые алгоритмы шифрования для применения внутри организации и ссылаться на инфор­мационную политику для указания соответствующих алгоритмов для за щиты секретной информации. В такой политике совершенно не обяза­тельно указывать какой-либо один конкретный алгоритм. Политика безопасности также определяет процедуры управления ключами.

Политика использования интернета, как правило, включается в главную политику использования компьютеров. Однако в некоторых случаях эта политика представляется в виде отдельной политики в силу своих осо­бенностей. Организации предоставляют своим сотрудникам доступ в интернет, чтобы они выполняли свои обязанности более эффективно и, следовательно, приносили большую прибыль. К сожалению, веб-сайты, посещаемые сотрудниками в интернете, далеко не всегда связаны с их работой.[14]

Процедуры управления пользователями — это процедуры, выполняемые в рамках обеспечения безопасности, которым зачастую не уделяется должного внимания, что представляет собой огромный риск.

Процедура системного администрирования определяет, каким образом осуществляется совместная работа отдела безопасности и системных администраторов с целью обеспечения безопасности систем. Данный документ состоит из нескольких специальных процедур, определяющих, каким образом и как часто должны выполняться задачи системного ад­министрирования, связанные с безопасностью.

Политика резервного копирования определяет, каким образом осуществляется резервное копирование данных. Политика резервного копирования должна определять частоту резерв­ного копирования данных. Как правило, конфигурация предусматривает проведение полного резервного копирования данных один раз в неделю с дополнительным резервным копированием, проводимым в остальные дни. Дополнительное резервное копирование сохраняет только файлы, изменившиеся с момента последнего резервирования, что сокращает время процедуры и обеспечивает меньший объем пространства на резервном носителе.[15]

Политика безопасности. Краткий обзор защитных политик. (часть первая)

Эта статья — первая из цикла, посвященного обсуждению того, как информационная политика безопасности может использоваться для защиты ценных информационных активов организации. В нашем мире, где, по существу, происходит информационная и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в скорости появления с соответствующими заплатами, где постоянно растущее число различных операционных систем и приложений к ним вскорости превысит все уменьшающееся из-за этого количество волос на голове системного администратора (которые, надеюсь, еще не стали седыми), политика дает нам возможность изменить темп этой гонки, заставить игру идти по нашим собственным правилам.

Вступление

Эта статья — первая из цикла, посвященного обсуждению того, как информационная политика безопасности может использоваться для защиты ценных информационных активов организации. В нашем мире, где, по существу, происходит информационная и технологическая гонка, где эксплоиты к самому последнему IIS соревнуются в скорости появления с соответствующими заплатами, где постоянно растущее число различных операционных систем и приложений к ним вскорости превысит все уменьшающееся из-за этого количество волос на голове системного администратора (которые, надеюсь, еще не стали седыми), политика дает нам возможность изменить темп этой гонки, заставить игру идти по нашим собственным правилам. Политика безопасности позволяет организациям установить методы и процедуры для своего конкретного случая, что уменьшает вероятность нападения или другого инцидента и минимизирует ущерб, который такой инцидент, если он все же произойдет, мог бы причинять.

Много людей рассматривают политику, как вкусный, но необязательный десерт, который может быть по желанию добавлен к основным блюдам – межсетевым защитам, вирусным сканерам и VPN, слегка сдобренным IDS. Это неправильно. В этой статье я попытаюсь объяснить, почему, на мой взгляд, именно политика должна служить основой всесторонней стратегии информационной безопасности, и как политика может быть эффективной, практической частью ваших цифровых защитных систем.

Что такое — политика?

Самое близкое по смыслу определение слова ‘политика’, которое можно найти в словаре — это: «план или курс действий, как для правительств, политических партий, или структур бизнеса, предназначенный, чтобы определить или повлиять на решения, действия и другие вопросы» (American Heritage Dictionary of the English language)

В терминах же компьютерной безопасности политику можно определить как изданный документ (или свод документов), в котором рассмотрены вопросы философии, организации, стратегии, методов в отношении конфиденциальности, целостности и пригодности информации и информационных систем.

Таким образом, политика — набор механизмов, посредством которых ваши цели информационной безопасности могут быть определены и достигнуты. Давайте, кратко исследуем каждую из этих концепций. Для начала, рассмотрим цели информационной безопасности:

Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.

Целостность — поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

Эти цели характерны для любой системы безопасности.

Теперь обсудим механизмы, через которые эти цели могут быть достигнуты, а именно:

Философия

Это — подход к организации информационной безопасности, структура, руководящие принципы информационной стратегии безопасности. Философии безопасности можно представить, как большой купол, под которым находятся все другие механизмы безопасности. Философия должна объяснять во всех будущих ситуациях, почему вы делали именно то, что вы делали.

Стратегия

Стратегия – это план или проект в философии безопасности. Детализация этого плана показывает, как организация намеревается достигнуть целей, поставленных (явно или неявно) в пределах структуры философии.

Правила

Правила – они и в Африке правила. Они объясняют, что нам следует делать, а чего не следует делать никогда в нашей политике информационной безопасности.

Методы

Методы определяют, как организована наша политика. Они — практический гид того, что и как делать в каждом конкретном случае.

Преимущества политики: какую выгоду предлагает политика?

В предыдущем разделе мы кратко рассмотрели, что такое политика, и более подробно, что такое политика информационной безопасности. Но даже из этого краткого описания уже должно быть ясно, что, когда мы имеем в виду политику, мы подразумеваем серьезный бизнес. В сфере информационных технологий это обычно означает необходимость серьезных инвестиции – денежных, временных, человеческих ресурсов. В этой области невозможно скупиться на затраты, если мы планируем их возместить, эффективная политика никогда не бывает быстрой для установки. Здесь возникает вопрос, который для себя решают все, кто решил создать качественную политику информационной защиты: «Что она даст такого, чего бы не было у меня, ну скажем для примера, в Snort 1.7 для Bastion Linux?»

Вот — некоторые примеры того, что может быть достигнуто политикой защиты

Босс может сам контролировать это

Традиционно, если в организации нет четкой политики информационной безопасности, вся ответственность, как за принятие решений по безопасности, так и за все сбои и инциденты лежит на системных администраторах. Во многих организациях они не могут нормально уйти в отпуск или на больничный, потому, что оставшиеся сотрудники будут просто не в состоянии решить множество постоянно возникающих вопросов и проблем. С другой стороны, в большинстве стран принято, что всю ответственность за защиту активов компании несет руководство, а не какой-то никому не известный системный администратор. Директор или руководитель отдела, как правило, не является специалистом в области компьютерной безопасности и его попытки вмешиваться в техническую сторону вопроса будут всегда приводить к неприятным последствиям. Если же в организации разработана политика информационной безопасности, в которой четко прописаны обязанности и уровень доступа самых разных сотрудников, то руководство может легко, и что главное, с пользой для общего дела, контролировать выполнение этих правил. Вовлечение руководства компании в дело информационной безопасности приносит огромную вспомогательную выгоду — оно значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании.

Обеспечение подтверждения должного усердия в вопросе безопасности

В некоторых отраслях промышленности ваша компания может иметь юридические обязательства относительно целостности и конфиденциальности некоторой информации. В большинстве случаев единственный путь, по которому вы можете доказать должное усердие в этом отношении — издание политики безопасности. Поскольку политика отражает философию и стратегию управления, это – четкое и бесспорное доказательство намерений компании относительно качества информационной безопасности. Что интересно, ваших партнеров, как правило, интересуют именно эти «намерения», а не технические средства, которыми они могут быть достигнуты.

Иллюстрация обязательств по организации безопасности

Поскольку политика, как правило, публикуется, она может служить дополнительным доводом для потенциальных клиентов / инвесторов, специалисты другой компании могут сами оценить уровень компетентности ваших специалистов. Все большее число крупных российских, а тем более, иностранных, компаний требуют доказательства обеспечения достаточного уровня надежности и безопасности, в том числе и информационной, своих инвестиций и ресурсов. Без наличия в вашей организации профессиональной политики безопасности с вами в большинстве случаев просто не будут иметь никаких контактов.

Практические выгоды от политики безопасности

Кто-то может возразить, что приведенные выше параметры обеспечивают скорее маркетинговые и организационные преимущества. Хорошо, специально для них ниже рассмотрим практические выгоды.

Она формируют эталонный тест измерения прогресса в вопросах безопасности

Политика отражает философию и стратегию управления в отношении информационной безопасности. Также это — совершенный стандарт, которым может быть измерена целесообразность и окупаемость затрат на компьютерную защиту. Например, если вы хотите узнать, окупится ли установка, скажем, суперсовременной интеллектуальной межсетевой защиты марки «Ответь хакеру тем же», проверенное космонавтами на МКС, и стоимостью с небольшой Карибский островок, достаточно проверить, какой ущерб и затраты предусмотрены в политике.

Точно так же, для того чтобы определить, эффективно ли расходует бюджет организации новый менеджер IT безопасности, руководителю организации достаточно сравнить предлагаемые выгоды с данными, прописанными в политике безопасности. И еще, если политика правильно сформулирована и связана с трудовыми контрактами служащих, то любые нарушения, типа установки игрушек на рабочем месте или порно-серфинга в сети, могут быть наказаны согласно ранее оговоренным пунктам, подписанным служащими. Даже просто наличие подобного документа в компании значительно улучшает информационную безопасность и улучшает производительность труда сотрудников.

Она помогает гарантировать усердие и последовательность во всех филиалах

Самая большая проблема, с которой сталкиваются руководители службы информационной безопасности крупных корпораций – не новые типы вирусов, не неизвестные эксплоиты и даже не программы взлома и перехвата паролей. Нет, со всем этим можно бороться. Труднее всего гарантировать, что системный администратор в отдаленном филиале фирмы где-нибудь в Крыжополе вовремя появится на своем рабочем месте и установит свежие заплаты, допустим к IIS, а не пойдет на пляж или не засидится дома за телевизором во время матча чемпионата мира по футболу. А ведь от этого может зависеть не только безопасность офиса в Крыжополе, но и безопасность всей корпорации в целом. Хорошо осуществленная политика помогает гарантировать выполнение инструкций, путем создания единой директивы и ясного назначения обязанностей и, что одинаково важно, описания ответственности за последствия неудачи и неисполнение обязанностей.

Она служит гидом для информационной безопасности

Хорошо разработанная политика может стать Библией администратора. Печально, но далеко не каждый сотрудник, чей компьютер подключен в вашу корпоративную сеть, понимает угрозу TCP sequence number guessing атаки на OpenBSD. К счастью, ваша политика безопасности IP сети будет гарантировать, что машины всегда установлены в той части сети, которая предлагает уровень безопасности, соответствующей роли машины и предоставляемой информации.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Пример разработки политики безопасности организации

Что нужно для создания политики безопасности

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

• Уточнение важности информационных и технологических активов предприятия;
• определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
• Определение рисков на угрозы активам;
• Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
• Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
• Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

• указывать на причины и цели создания политики безопасности;
• осматривать, какие границы и ресурсы охватываются политикой безопасности;
• определить ответственных по политике безопасности;
• определить условие не выполнение и так званное наказание
• политики безопасности должны быть реальными и осуществимыми;
• политики безопасности должны быть доступными, краткими и однозначными для понимания;
• должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

• создание адекватной команды для создание политики;
• решить вопросы об возникающих особенностях при разработки.
• решить вопросы об области действии и цели создании политики;
• решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на локальные атаки. Сделав основные шаги нужно проанализировать есть ли выход локальной сети(seti_PDH или seti_dwdm) в интернет. Ведь при выходе сети в интернет возникает вопрос о проблемах защиты информации в сетях. Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и оценки рисков.Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

На этом этапе реализуются следующие шаги:

• анализ угроз информационной безопасности которые непосредственно обозначены для объекта защиты;
• оценка и идентификация цены информационных и технологических активов;
• осмотр вероятности реализации угроз на практике;
• осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

• Вход, допустим это пользователь делает запрос на создания нового пароля;
• механизм, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора;
• Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
• Выход, это результат процесса. Получение пароля.

Компоненты архитектуры безопасности

Физическая безопасность, важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

• открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
• контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
• особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и тд). также должен быть обозначен метод обнаружения ошибок при передачи информации. Также нужно учитывать algoritm_pokryivayusccego_dereva.

Ресурсы делят на две категории, которые подвержены угрозам:

• Ресурсы ОС;
• Ресурсы пользователя.
• Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру спутниковые системы;

Определение полномочий администратору, должны быть четко обозначены и также все их действие должны логироватся и мониториться. Также есть администраторы которые следят за контролем удаленного доступа к ресурсам.

• должны определить полномочия для каждой системы и платформы;
• проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

• каждое нарушение безопасности должно давать сигнал события;
• Одно событие не есть поводом для утверждения, они должны накапливаться;
• должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

• Анализ информационных предприятия, который могут нанести максимальный ущерб.
• Создание политики безопасности, которая внедряет методы защиты которые входят в рамки задач предприятия.
• Разработать планы действий при ЧС для уменьшения ущерба.
• Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Специалисты IBM рекомендуют реализовать следующие аспекты для эффективной безопасности предприятия:

• Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
• Осмотр бизнес-стратегии предприятия.
• Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рекомендуемая структура руководящих документов для реализации информационной безопасности показана на рис.4.

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

• анализа информационных угроз и методов их уменьшения
• создание норм и правил безопасности разных уровней предприятия
• уточнение методов защиты, которые будут реализованы на предприятии
• конкретное определение процедур безопасности
• анализ ожиданий относительно результатов от сотрудников и компании в целом
• реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Срок действия — с 1 января по 31 декабря … года.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз, сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

• управление бизнесом
• отдел защиты информации
• техническое управление
• департамент управления рисками
• отдел системного/сетевого администрирования
• юридический отдел
• департамент системных операций
• отдел кадров
• служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

• назначения ценности информационных активов
• управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
• управление информационной безопасностью
• обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

• Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
• Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
• Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
• Комплексность — должны учитываться все направления безопасности.
• Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
• Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
• Своевременность — все противодействия угрозам должны быть своевременны.
• Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
• Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
• Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Основные виды политики безопасности

Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной сети политике безопасности. Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в сети. Политика безопасности регламентирует эффективную работу средств защиты. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.

Политика безопасности реализуется посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств.

Политика безопасности определяется способом управления доступом, определяющим порядок доступа к объектам системы. Различают два основных вида политики безопасности: избирательную и полномочную.

1. Избирательнаяполитика безопасности основана на избирательном способе управления доступом. Избирательное (или дискреционное) управление доступом характеризуется заданным администратором множеством разрешенных отношений доступа (например, в виде троек ). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа.

Матрица доступа представляет собой матрицу, в которой столбец соответствует объекту системы, а строка – субъекту. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и т.п. Матрица доступа является самым простым подходом к моделированию систем управления доступом. Она является основой для более сложных моделей.

Избирательная политика безопасности широко применяется в коммерческих сетях, так как ее реализация соответствует требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость.

2. Полномочнаяполитикабезопасности основана на полномочном (мандатном) способе управления доступом. Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное управление доступом подразумевает, что:

a. все субъекты и объекты системы однозначно идентифицированы;

b. каждому объекту системы присвоена метка конфиденциальности информации, определяющая ценность содержащейся в нем информации;

c. каждому субъекту системы присвоен определенный уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.

Чем важнее объект, тем выше его метка конфиденциальности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности.

Основным назначением полномочной политики безопасности является регулирование доступа субъектов системы к объектам с различными уровнями конфиденциальности, предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние.

Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект. Для получения информации о каком-либо объекте системы совсем необязательно искать пути несанкционированного доступа к нему. Необходимую информацию можно получить, наблюдая за обработкой требуемого объекта, т.е. используя каналы утечки информации. В системе всегда существуют информационные потоки. Поэтому администратору необходимо определить, какие информационные потоки в системе являются «легальными», т.е. не ведут к утечке информации, а какие – ведут к утечке. Поэтому возникает необходимость разработки правил, регламентирующих управление информационными потоками в системе. Обычно управление информационными потоками применяется в рамках избирательной или полномочной политики, дополняя их и способствуя повышению надежности системы защиты.

Избирательное и полномочное управление доступом, а также управление информационными потоками являются тем фундаментом, на котором строится вся система защиты.

Настраиваем локальную политику безопасности в Windows 7

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».

Далее откройте раздел «Система и безопасности».

Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

Затем щелкните «OK».

Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.

В данном каталоге располагается три папки.

В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

Читайте также: Родительский контроль в Windows 7
Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.

Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.

После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

Затем щелкните «OK».

Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7
Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».

Далее щелкните по папке «Конфигурация Windows».

Теперь щелкните по элементу «Параметры безопасности».

Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.

Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.

Отблагодарите автора, поделитесь статьей в социальных сетях.