Страница 25 из 60
– управление сетевой безопасностью;
– передача информации.
9.1. Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки информации.
Управление сетевой безопасностью определяют следующие составляющие:
– сетевые меры защиты;
– безопасность сетевых сервисов;
– разделение в сетях.
Сетевые меры защиты
Меры и средства
Сети должны управляться и контролироваться для защиты информации в системах и приложениях.
Рекомендации по реализации
Следует внедрить меры защиты для обеспечения безопасности информации в сетях и защиты подключенных сервисов от несанкционированного доступа. В частности, необходимо рассмотреть следующие вопросы:
– следует установить обязанности и процедуры управления сетевым оборудованием;
– следует разделить, при необходимости, ответственность за сетевые операции и компьютерные операции;
– специальные меры защиты следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям или беспроводным сетям, а также для поддержки подключенных систем и приложений, доступности сетевых сервисов и подключенных компьютеров;
– соответствующее протоколирование и мониторинг должны применяться для записи и определения действий, связанных или имеющих значение для ИБ;
– управляющие действия должны тщательно координироваться для оптимизации сервиса и согласованного внедрения мер защиты в инфраструктуру обработки информации;
– системы должны проходить в сети аутентификацию;
– подключения системы к сети должны ограничиваться.
Безопасность сетевых сервисов
Меры и средства
Механизмы безопасности, уровни сервиса и управленческие требования должны быть определены и включены в соответствующие соглашения.
Рекомендации по реализации
Следует определить и регулярно мониторить способность провайдера сетевого сервиса безопасно управлять согласованными сервисами, а также согласовать право на аудит.
Следует определить меры безопасности, необходимые для особых сервисов, таких как особенности безопасности, уровни сервиса и управленческие требования. Организация должна удостовериться, что провайдеры сетевого сервиса выполнили эти меры.
Сетевые сервисы включают обеспечение подключений, личные сетевые сервисы и сети платных услуг (англ. value added network, VON) и управленческие решения по сетевой безопасности, такие как сетевые экраны и системы обнаружения вторжения. Диапазон таких сервисов простирается от простого неуправляемого траффика до комплексных платных услуг.
Особенностями безопасности сетевых сервисов могут быть:
– технология безопасности сетевых сервисов, такая как аутентификация, шифрование, контроль сетевого подключения;
– технические параметры безопасного подключения к сетевым сервисам в соответствии с правилами безопасности и сетевого подключения;
– при необходимости, процедуры использования сетевого сервиса, ограничивающие доступ к сетевым сервисам и приложениям.
Разделение в сетях
Меры и средства
Группы информационных услуг, пользователей и ИС должны быть разделены в сетях.
Рекомендации по реализации
Одним из методов управления безопасностью больших сетей является их разделение на разные сетевые домены. Домены выбираются на базе доверенных уровней (например, домен публичного доступа, домен рабочего стола, домен сервера), среди объектов организации (например, кадры, финансы, маркетинг) и каких-то комбинаций (например, домен сервера, подключающийся к многим объектам организации). Для разделения также можно использовать разные физические сети и разные логические сети (например, виртуальные частные сети – англ. Virtual Private Network, VPN).
Периметр каждого домена следует хорошо определить. Доступ между сетевыми доменами допускается при условии наличия контроля периметра в виде «шлюза» (например, сетевой экран, фильтрующий маршрутизатор). Критерий разделение сетей внутри доменов и доступа через «шлюзы» должен базироваться на оценке требований безопасности каждого домена. Оценка должна проводиться в соответствии с правилами разграничения доступа, требованиями доступа, ценностью и классификацией информации и учитывать относительную стоимость и влияние на производительность применяемой технологии «шлюза».
Беспроводная сеть требует специального обращения из-за сложности определения ее периметра. Для чувствительных сред весь беспроводной доступ следует рассматривать как внешние подключения и отделить этот доступ от внутренних сетей «шлюзом», который в соответствии с политикой контроля сети будет предоставлять беспроводной доступ к внутренним сетям.
Аутентификации, шифрования и современных технологий контроля пользовательского уровня сетевого доступа, стандартов беспроводной сети может быть достаточно для осуществления прямого подключения к внутренней сети организации.
Сети часто выходят за пределы организации и как форма бизнес-сотрудничества требуют взаимосвязи и обмена устройствами сети и обработки информации. Такое распространение может повысить риск несанкционированного доступа к ИС организации, использующим сеть и требующим защиты от пользователей другой сети из-за чувствительности или критичности.
9.2. Передача информации
Цель: Поддерживать безопасность информации, передаваемой внутри организации и в любую стороннюю организацию.
Передачу информации определяют следующие составляющие:
– политика передачи информации;
– соглашения о передаче информации;
– электронный обмен информацией;
– соглашение о неразглашении.
Политики передачи информации
Меры и средства
Должны быть разработаны формальные политики, процедуры и меры безопасности для защиты передачи информации по всем типам средств связи.
Рекомендации по реализации
При использовании средств связи для передачи информации процедуры и меры безопасности должны содержать следущие элементы:
– процедуры защиты передаваемой информации от перехвата, копирования, модификации, ложной маршрутизации и разрушения:
– процедуры обнаружения вредоносного ПО, которое может передаваться при использовании электронных коммуникаций, и процедуры защиты от него;
– процедуры защиты передаваемой чувствительной электронной информации в форме прикрепленного файла;
– политику или руководящие принципы приемлемого использования средств связи;
– обязанности персонала, подрядчика или других пользователей не должны компрометировать организацию, например, дискредитация, запугивание, самозванство, пересылка письма «счастья», несанкционированная покупка и т.п.;
– использование средств криптографии, например, для защиты конфиденциальности, целостности и аутентичности информации;
– руководящие принципы сохранения и уничтожения всей бизнес-переписки, включая сообщения, в соответствии с национальным и региональным законодательством и нормативами;
– контроль и ограничения использования средств коммуникаций, например, автоматической пересылки электронной почты на внешние адреса;
– напоминание сотрудникам о принятии мер предосторожности, чтобы не раскрыть конфиденциальную информацию;
– неоставление сообщений, содержащих конфиденциальную информацию, на автоответчиках, поскольку они могут быть воспроизведены неуполномоченными лицами, храниться в общих системах или некорректно храниться из-за попадания не туда;
– напоминание сотрудникам о проблемах использования факсимильных аппаратов или сервисов, а именно:
• несанкционированный доступ к хранилищам встроенного сообщения для получения сообщения;
• умышленное и неумышленное программирование машин для отправки сообщения на специальные номера;
• отправка документов и сообщений на неправильный номер из-за попадания не туда или неправильно записанных номеров.