4. Публикация iiрд

Как только ПРД организации определены и описаны, должен начаться энергичный процесс их оглашения, чтобы быть уверенным в том, что их положения стали повсюду известны и обсуждаются. Не достаточно просто вывесить ПРД на доске объявлений. Нужно позволить в течение некоторого времени давать свои комментарии до того, как ПРД начнут действовать, чтобы быть уверенным в том, что все заинтересованные пользователи имели возможность выразить свое мнение и пожелание. В идеале ПРД должны обеспечить золотую середину между защищенностью и производительностью.

Нужно провести несколько собраний, чтобы узнать обо всех замечаниях, а также удостовериться, что ПРД правильно поняты (те, кто отвечает за публикацию ПРД, могут быть хорошими специалистами, но не уметь писать документы). На этих собраниях должно присутствовать как верхнее звено руководства организацией, так и простые служащие. Защита - коллективное дело.

Кроме публикации ПРД перед их внедрением организации важно поддерживать информированность служащих о ПРД. Текущим пользователям нужно периодически напоминать их положение. Новым пользователям стоит узнавать о ПРД при ознакомлении с организацией. Было бы желательно, чтобы перед тем, как использовать службы организации, пользователи давали бы подписку о том, что они ознакомлены с ПРД и осознали их. Если впоследствии к этим пользователям необходимо будет применить санкции с точки зрения закона, эта подписка может сыграть важную роль.

5. Действия службы безопасности объекта при выявлении нарушений правил разграничения доступа

Понятно, что когда определен любой тип официальных ПРД, независимо от того, связаны они с компьютерной безопасностью или нет, рано или поздно они будут нарушены. Нарушение может произойти из-за небрежности людей, случайной ошибки, ложной информации о текущих ПРД, или их непонимания. Также вполне возможно, что человек (группа ли людей) специально совершает действия, являющиеся прямым нарушением ПРД. То есть, может произойти событие, связанное с безопасностью информации АС.

При выявлении нарушения ПРД действия, которые совершаются сразу же, должны быть определены заранее, для того чтобы быть уверенным в том, что будет сделано все необходимое. Нужно провести расследование, чтобы выявить то, как и почему произошло нарушение. Потом стоит выполнить ряд корректирующих действий. Что и в каком объеме нужно будет сделать, зависит от типа нарушения, от того что произошло.

Нарушения ПРД могут происходить самыми разными пользователями. Некоторые из них могут быть местными ("своими") пользователями, а другие - людьми со стороны ("чужими"). Организация может найти полезным определение того, кого считать "своим" и "чужим" на основании административных или политических границ. Эти границы косвенно определят, что нужно сделать для исправления ситуации, от выговора до оплаты штрафа. Поэтому необходимо не только определить принятые шаги на основе типа нарушения, но также иметь четко определенные последовательности действий для каждого типа пользователя. Это может казаться слишком сложным, но лучше сделать это предварительно, чем спешно после нарушения.

Стоит запомнить один момент относительно ПРД - правильное обучение является наилучшей защитой. Когда "чужие" легально используют АС, необходимо проверять, что они ознакомлены с ПРД, которые для нее установлены. Эта информация может понадобится в будущем, когда нужно будет применить уголовные санкции.

Для пользователей, которые используют ЗОТ нелегально, проблема собственно говоря остается той же: пользователь какого типа нарушил ПРД, почему и как он это сделал? В зависимости от результатов расследованная можно просто закрыть пролом в защите и занести его в копилку. Или, если в результате нарушения организация понесла большие убытки, можно сделать что-либо более жесткое.

В случае, когда "свой пользователь" нарушил ПРД другой организации, руководство организации должно иметь четко определенный набор административных действий, которые применяются к этому пользователю. Организация также должна быть готова к защите самой себя от возможных действий этой другой организации. Такие ситуации приводят к проблемам, которые должны быть отображены при разработке ПРД.

ПРД должны включать процедуры для взаимодействия с внешними организациями. Они содержат в себе милицию (управление внутренних дел и другие государственные органы), другие организации, специальные организации по противодействию промышленному шпионажу и агентства печати. Эти процедуры должны определять, кто имеет право связываться с ними, как это нужно делать. Предварительно нужно продумать ответы на следующие вопросы:

• Когда нужно связываться с органами внутренних дел и специальных организаций?

• Если инициатором такого контакта является другая организация, уполномочен ли системный администратор принимать участие в такого рода контактах?

• Кто может выступать перед прессой?

• Можно ли разглашать какие-либо данные? Какого рода?

Детальная информация о том, с кем связываться, должна

быть общедоступна вместе с четко определенными процедурами, которых нужно придерживаться в случае возникновения соответствующей ситуации.

Кроме утверждений относительно политики разрабатываемый документ должен включать процедуры улаживания события. Должны существовать процедуры, которые применяются ко всем видам нарушения ПРД.

Всякий раз, когда в организации происходит событие, которое может скомпрометировать компьютерную безопасность, на стратегию соответствующих действий могут повлиять два противоположных фактора.

Если руководство организации считает, что она сильно уязвимая, то может применять стратегию "Защищай и Работай". Основной целью такого подхода является защита и сохранение служб организации и как можно более быстрое их возобновление после нарушений для пользователей. Будет осуществляться активное противодействие злоумышленникам, защита от последующих попыток их доступа и немедленное возобновление после разрушений Этот процесс может включать отключения служб, прекращения доступа к сети, или другие жесткие мероприятия. Недостатком является то, что если злоумышленника не удалось остановить, он может проникнуть в АС другим путем или атаковать другую организацию.

Альтернативный подход "Проследи и Накажи" исповедует другую философию и цель. Основной целью является позволить злоумышленникам продолжать свою деятельность в организации до тех пор, пока организация не сможет установить, кто это такой. Этот подход практикуется полицией. Недостатком его является то, что в этом случае нет возможности защитить организацию от возможных судебных процессов с пользователями из-за разрушения их данных.

Криминальная ответственность - не единственное возможное наказание после определения злоумышленников. Если виновником является служащий или студент, организация может использовать административные наказания. В ПРД стоит указать возможные варианты наказаний и который из них выбрать после задержки преступника.

Руководство организации должно выявить особую осторожность при выборе подхода, который будет использоваться для решения данной проблемы, и выбрать его до того, как произойдет нарушение.

Используемая стратегия может зависеть от ситуации. Или может быть принята глобальная политика, регламентирующая один подход во всех случаях жизни. Стоит тщательным образом взвесить все за и против и донести принятую политику пользователям, чтобы они знали насколько они уязвимы, независимо от того, какой подход используется.

Дальше приводятся условия, чтобы помочь организации определить, какую стратегию избрать: "Защищай и Работай" или "Проследи и Накажи".

"Защищай и Работай"

1. Если ценности не очень хорошо защищены .

2. Если продолжение работы злоумышленника может привести к большому финансовому риску ^

3. Если нет возможности наказать нарушителя в уголовном порядке-

4. Если местонахождение пользователей сложно определить.

5. Если пользователи неопытные и их работа уязвима ,

6. Если организация уязвимая относительно судебных процессов с пользователями, например, если ее ресурсы небольшие.

"Проследи и Накажи"

1. Если ценности и системы хорошо защищены.

2. Если существуют добрые архивные копии.

3. Если риск для ценностей превосходит возможными разрушениями в результате будущих проникновений.

4. Если это крупная атака, которая возникает с большой частотой и интенсивностью.

5. Если организация привлекательна для злоумышленников, и вследствие этого регулярно атакуется ими.

6. Если организация согласна поддавать ценности финансовому риску в результате продолжающегося проникновения.

7. Если доступ злоумышленника контролируется.

8. Если средства наблюдения так хорошо разработаны, что делают наблюдение безопасным. \

9. Если программисты организации настолько хорошо разбираются в операционной системе, утилитах и системах, что наблюдение становится безопасным.

10. Если имеется согласие части руководства организации на судебное преследование нарушителя.

11. Если системные администраторы хорошо знают, что является доказательствами для суда.

12. Если имеется контакт со знающими сотрудниками внутренних дел.

13. Если имеется человек в организации, который разбирается в связанных с этим вопросах законности.

14. Если организация готова к судебным процессам с пользователями, если их данные или системы будут скомпрометированы в процессе слежки за злоумышленником.

Для Украины наиболее пригодным выбором в большинстве случаев, вероятно, будет стратегия "Защищай и Работай".

Вопросы для самопроверки и подготовки к модульному

контролю

Первый модуль Вопросы первого модуля относятся к главам 2,3 и 4.