Роли и ответственности в безопасности сети

Число устанавливаемых ролей зависит от количества реализуемых процессов безопасности в организации. Во многих организациях можно найти одни и те же типы ролей. Рассмотрим перечень обычно устанавливаемых ролей:

О провайдер сервисов - менеджер группы и/или организации, который предоставляет сервисы обработки информации. Обычно эта организация отвечает за обеспечение безопасности компьютерной среды;

О менеджер данных - менеджер, отвечающий за управление безопасностью распределяемых данных. В круг ответственности менеджера данных входят:

  • - оценка уровня конфиденциальности данных с целью их классификации;
  • - установление определенного уровня защиты (в соответствии с этой классификацией);
  • - разрешение или запрет на доступ к данным под его личную ответственность;

О аудитор - это лицо, ответственное за:

  • - исполнение политик безопасности;
  • - исполнение процессов безопасности;
  • - периодическое выполнение контрольной оценки безопасности;
  • - задание требований для приложений/инструментов/ре- шений в целях обеспечения требуемой безопасности;

О администратор безопасности - это лицо, ответственное за настройку и управление системных средств управления безопасностью. В круг ответственности администратора безопасности входят следующие обязанности:

  • - обеспечение настройки безопасности системы в соответствии со стандартами и правилами, то есть администратор безопасности отвечает за установку системных политик, включая парольную политику, политику аудита, политику входа в систему и стандартный доступ к типам ресурсов;
  • - управление атрибутами доступа пользователей путем замены паролей, определения новых и удаления старых идентификаторов пользователей;
  • - выполнение периодических проверок с целью контроля состояния безопасности компьютерной среды;

О пользователь данными - в обязанности пользователя данными входят:

  • - исполнение инструкций безопасности. Например, пароль должен быть нетривиальным и удовлетворять утвержденным синтаксическим правилам. Это нужно применять в любой системе, независимо от существующего управления безопасностью;
  • - использование своих полномочий доступа и системных полномочий только для разрешенного администрацией применения.

Каждый пользователь компьютерной среды является пользователем данными.

Аудит и оповещение. Под термином «аудит» подразумевается способность регистрировать все важные, с точки зрения безопасности, действия, выполненные в компьютерной среде. Под термином «оповещение» понимают способность оповещать об этих действиях в читабельной форме.

Для безопасности очень важна хорошая схема аудита; она должна всегда давать ясную картину состояния безопасности. Более того, схема аудита является мощным пассивным агентом безопасности. В разделе 2.2 отмечалось, что солидная доля угроз безопасности обусловлена обиженными или нечестными сотрудниками. Эффективное отслеживание активности угроз этого типа с помощью аудита является сильным сдерживающим средством.

При формировании политики аудита нужно учитывать два аспекта:

1. Необходимо решить, какие события особенно важны для безопасности. Регистрация всех событий подряд - не лучший выбор, а просто бесполезное расходование дискового пространства, такая регистрация может вызвать много проблем при генерации отчета.

Вот рекомендация минимального перечня событий для регистрации:

  • - все нарушения безопасности, такие как:
    • • неавторизованный доступ к системе;
    • • неправильный пароль;
    • • аннулированный пароль;
    • • неавторизованный доступ к ресурсу;
  • - все попытки доступа к чувствительным/важным областям систем;
  • - все выдаваемые команды безопасности, использующие административные полномочия;
  • - все попытки доступа к ресурсам операционных систем, за исключением доступа по умолчанию.
  • 2. Необходимо решить, как долго должны храниться записи регистрации, и составить соответствующий план хранения.

Управление тревожной сигнализацией

Для обеспечения безопасности важно иметь возможность немедленного реагирования, когда предполагается, что компьютерная среда подвергается опасности атаки на систему в попытке получить неавторизованный доступ. Цель состоит в том, чтобы определить в реальном времени, когда возникнет опасность, и выдать сигнал тревоги.

Приведем пример последовательности процессов для обнаружения проблемы и выдачи сигнала тревоги:

О каждое нарушение безопасности должно генерировать системное событие;

О одно системное событие не является неизбежно достаточным, чтобы утверждать, что это опасность; в таком случае подобные события должны накапливаться;

О совокупность подобных событий должна затем сравниваться с заранее установленной пороговой величиной;

О если результат этой совокупности превышает пороговую величину, выдается сигнал тревоги.

В результате выполнения этих процессов можно игнорировать неправильный ввод кем-то пароля утром во вторник, но следует обратить внимание, когда кто-то вводит много неправильных паролей, связанных со многими пользовательскими идентификаторами, в воскресенье вечером.

Для управления тревожной сигнализацией важны правильное определение ролей и ответственностей и назначение этих ролей и ответственностей соответствующим менеджерам. Система тревожной сигнализации должна не только анализировать тревожную ситуацию и своевременно выдать тревожный сигнал либо инициировать некоторый автоматический процесс, но и оповестить ответственных должностных лиц, способных оперативно принять необходимые меры.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >