Политики безопасности компании при работе в Интернет
Шрифт:
Рис. 3.27. Перспективы и тенденции развития стандартов безопасности
В противоположность германскому стандарту BSI, предоставляющему возможность использовать конкретные «частные» политики безопасности, стандарты ISO 15408, ISO 17799 и CobiT позволяют рассмотреть только наиболее общие политики информационной безопасности, характерные для процессов защиты информации в целом. При этом все названные подходы обладают определенными ограничениями. Ограничением германского стандарта BSI является невозможность распространить рекомендации этого стандарта на политики безопасности в российских компаниях, инфраструктура которых отличается от ранее рассмотренных примеров корпоративных систем защиты информации и соответствующих политик безопасности. Ограничением стандартов ISO 17799 и CobiT является трудность перехода от общих политик безопасности к частным политикам информационной безопасности в российских
Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации, можно эффективно разработать и внедрить политики безопасности в конкретных отечественных организациях и на предприятиях. И первые положительные примеры не заставили себя долго ждать. Так, например, Банком России с целью повышения уровня информационной безопасности как самого банка, так и организаций банковской системы Российской Федерации в соответствии с Федеральным законом № 184-ФЗ «О техническом регулировании» Распоряжением от 18 ноября 2004 года № Р-609 с 1 декабря 2004 года введен в действие стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее – «стандарт»).
Стандарт был разработан коллективом, в который вошли представители Банка России, Ассоциации российских банков, Ассоциации региональных банков, Национальной валютной ассоциации, Института банковского дела Ассоциации российских банков, Акционерного коммерческого Сберегательного банка Российской Федерации, Альфа-банка, Россельхозбанка, банка «Петрокоммерц», банка «Российский кредит», Московской межбанковской валютной биржи, НПФ «Кристалл», Государственного научно-исследовательского института проблем защиты информации Федеральной службы по техническому и экспортному контролю, аудиторской компании KPMG.
Основные цели и задачи разработки стандарта заключались в следующем:
• повышение доверия к банковской системе Российской Федерации;
• повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе – стабильности функционирования банковской системы России в целом;
• достижение адекватности мер по устранению реальных угроз информационной безопасности;
• предотвращение и/или снижение ущерба от инцидентов информационной безопасности;
• установление единых требований по обеспечению информационной безопасности для организаций банковской системы Российской Федерации;
• повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы Российской Федерации.По мнению экспертов, стандарт содержит наиболее важные рекомендации по разработке основополагающих документов по проблеме информационной безопасности, необходимые требования по безопасности информационных и телекоммуникационных технологий. При этом в соответствии с Федеральным законом № 184-ФЗ «О техническом регулировании» стандарт отнесен к категории «стандарт организации», и его положения не носят обязательного характера и рекомендованы к применению кредитными организациями на добровольной основе. Стандарт является открытым документом, предполагающим его регулярную корректировку в соответствии с динамикой изменения угроз информационной безопасности. Новую (уточненную) редакцию стандарта предполагается подготовить к концу 2005 года. Работы по дальнейшему сопровождению и доработке стандарта ведутся специально созданным Подкомитетом 3 «Защита информации в кредитно-финансовой сфере» Технического комитета 362 «Защита информации» Федерального агентства по техническому регулированию и метрологии [12] .
Глава 4 РЕАЛИЗАЦИЯ ПОЛИТИК БЕЗОПАСНОСТИ
В предыдущих главах мы с вами рассмотрели основные понятия и определения политик безопасности. Познакомились с опытом разработки политик безопасности и различными подходами ведущих компаний-производителей в отрасли информационных технологий и информационной безопасности. Подробно рассмотрели этапы жизненного цикла разработки политик безопасности компании. Как реализовать разработанные политики безопасности компании на практике? Как правильно
4.1. Задание общих правил безопасности
Пусть объектом защиты является информационная система компании ЗАО «XXI век» (далее – «компания»). Название объекта защиты вымышленное, возможные совпадения случайны и носят непреднамеренный характер.
Состав и структура политик безопасности. Общая политика безопасности компании разработана и утверждена руководством организации. В этой политике определены принципы, порядок и правила предоставления доступа к информационным ресурсам компании, а также степень ответственности в случае нарушения правил безопасности. Также существует ряд других политик безопасности, в частности политика допустимого использования, определяющая доступ к сервисам. При приеме на работу каждый новый сотрудник должен подписать соглашение о том, что с политиками безопасности компании ознакомлен и обязуется их выполнять. Партнеры, поставщики и клиенты банка при получении доступа к конфиденциальной информации компании подписывают Соглашение о неразглашении конфиденциальной информации. Политики безопасности компании регулярно пересматриваются (не реже одного раза в год).
Характеристика инфраструктуры компании. Взаимодействие с партнерами, клиентами и поставщиками осуществляется с использованием сервисов Интернета. Для этих целей разработан ряд Web-приложений. Архитектура приложений использует три уровня для реализации разделения ресурсов:
уровень представления – выполняется на Microsoft IIS 5.0 на Microsoft Windows 2000 Server Service Pack 4 со всеми необходимыми обновлениями. Вся бизнес-логика выполняется на серверах второго уровня архитектуры;
• промежуточный уровень – содержит все бизнес-компоненты и также выполняется на Microsoft Windows 2000 Server Service Pack 4. К этому уровню нет доступа из Интернета. Страницы Active Server Pages на серверах уровня представления активируют компоненты СОМ+ и позволяют выполнить бизнес-логику. Компоненты запускаются под непривилегированной учетной записью с необходимым минимумом привилегий;
• уровень баз данных – состоит из базы данных и защищенного хранилища данных. Microsoft SQL Server 2000 Service Pack 3 используется как сервер управления базой данных и выполняется на двухузловом кластере Microsoft Windows 2000 Advanced Server Service Pack 4 Cluster для обеспечения отказоустойчивости. Только серверы промежуточного уровня имеют доступ к этим серверам. Серверы расположены в изолированном сегменте сети, разделенном межсетевыми экранами.
Правила использования сервисов Интернета. Согласно принятой в компании политики безопасности для сотрудников определены следующие правила использования сервисов Интернета:
• разрешается исходящий Web-трафик – HTTP, SSL и FTP для различных групп сотрудников. Доступ в Интернет контролируется и регистрируется, доступ к некоторым категориям Web-pecypcoB блокируется в соответствии с политикой использования ресурсов Интернета;
• запрещается применять средства обмена мгновенными сообщениями (например, ICQ) и одноранговые файлообменные системы (например, Napster). Также запрещено получать и отправлять электронную почту с использованием внешних почтовых серверов, не принадлежащих компании (например, www.mail.ruV.
• разрешается использование внешних DNS-имен, разрешение на использование дополнительных сервисов зависит от политики использования ресурсов Интернета.Правила доступа в сеть компании. Для сотрудников, работающих вне офиса компании, определяются следующие правила доступа в сеть компании:
• доступ к внутреннему почтовому серверу Outlook Web Access осуществляется через HTTPS. Обмен файлами реализуется с использованием Microsoft SharePoint Portal Server 2003 через HTTP/HTTPS. Это позволяет не настраивать межсетевой экран для трафика SMB/CISF, что упрощает конфигурацию межсетевого экрана;
• доступ администраторов организуется через VPN к сегменту управления, для удаленного администрирования серверов используется Microsoft Terminal Services.Правила обеспечения физической безопасности. Для должного обеспечения физической безопасности все оборудование компании расположено в защищенных помещениях с резервными источниками питания, оборудованных системами пожаротушения и кондиционерами. Доступ в помещения осуществляется с использованием биометрической системы контроля доступа сотрудников. Действует правило обязательного сопровождения гостей компании во время деловых визитов. Над каждым рядом стоек находится видеокамера с датчиком движения, ведется запись всех действий сотрудников и приглашенных лиц компании.
4.2. Архитектура корпоративной системы защиты информации
Основной задачей при создании защищенной инфраструктуры компании (см. рис. 4.1) является реализация надежного контроля доступа на уровне приложений и сети в целом. При этом логический контроль доступа на уровне сети осуществляется путем сегментации сетей и разграничения трафика с помощью межсетевых экранов. Созданы две раздельные подсети – одна для доступа извне к Web-приложениям и вторая для доступа сотрудников в Интернет. Этим обеспечивается полное разделение входящего из Интернета и исходящего в Интернет трафика. Многоуровневый подход с несколькими межсетевыми экранами обеспечивает фильтрацию всего нежелательного трафика.