Стандарты информационной безопасности

       

Реагирование на нарушения политики безопасности (административный уровень)


Очевидно, что любая официальная политика, вне зависимости от ее отношения к информационной безопасности, время от времени нарушается. Нарушение может стать следствием пользовательской небрежности, случайной ошибки, отсутствия должной информации о текущей политике или ее непонимания. Возможно также, что некое лицо или группа лиц сознательно совершают действия, прямо противоречащие утвержденной политике безопасности.

Необходимо заранее определить характер действий, предпринимаемых в случае обнаружения нарушений политики, чтобы они были быстрыми и правильными, а также организовать расследование и выяснить, как и почему нарушение стало возможным. После этого нужно внести коррективы в систему защиты.

Политику безопасности могут нарушать самые разные лица. Некоторые из них являются сотрудниками предприятия, другие нападают извне. Полезно определить сами понятия "свои" и "чужие", исходя из административных, правовых или политических положений.

Правильно организованное обучение - лучшая защита. Надо поставить дело так, чтобы не только внутренние, но и внешние легальные пользователи знали положения политики безопасности.

Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным пользователям, нарушающим политику безопасности другой организации, и, кроме того, позаботиться о защите от ответных действий с ее стороны.

Для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие учреждения, команды "быстрого реагирования", средства массовой информации, политика безопасности предприятия должна содержать специальные процедуры, регламентирующие, кто имеет право на такие контакты и как именно они совершаются. Среди прочих нужно дать ответы на следующие вопросы:

  • Кому поручено разговаривать с прессой?
  • Когда следует обращаться в правоохранительные органы?
  • Какого рода сведения об инцидентах могут выходить за пределы организации?
  • Помимо политических положений, необходимо продумать и написать процедуры, исполняемые в случае обнаружения нарушений режима безопасности.


Когда на организацию совершается нападение, грозящее нарушением информационной безопасности, стратегия ответных действий может строиться под влиянием двух противоположных подходов.

Если руководство опасается уязвимости предприятия, оно может предпочесть стратегию "защититься и продолжить". Главная ее цель - защита информационных ресурсов и максимально быстрое восстановление нормальной работы пользователей. Действиям нарушителя оказывается максимальное противодействие, дальнейший доступ предотвращается, после чего немедленно начинается процесс оценки повреждения и восстановления. Возможно, придется выключить компьютерную систему, закрыть доступ в сеть или предпринять иные жесткие меры. Оборотная сторона медали состоит в том, что пока злоумышленник не выявлен, он может вновь напасть на эту же или другую организацию прежним или новым способом.

Другой подход, "выследить и осудить", опирается на иные философию и систему целей: злоумышленнику продолжать свои действия, пока организация не сможет установить его личность. Такой подход приветствуют правоохранительные органы. К сожалению, они не смогут освободить организацию от ответственности, если пользователи обратятся в суд с иском по поводу ущерба, нанесенного их программам и данным.

Следующий контрольный перечень помогает сделать выбор между стратегиями "защититься и продолжить" и "выследить и осудить".

Перечень обстоятельств, обусловливающих стратегию "защититься и продолжить":

  • активы организации недостаточно защищены;
  • продолжающееся вторжение сопряжено с большим финансовым риском;
  • нет возможности или намерения осудить злоумышленника ;
  • неизвестен круг пользователей;
  • пользователи неопытны, а их работа уязвима;
  • пользователи могут привлечь организацию к суду за нанесенный ущерб.


Когда предпочтительна стратегия "выследить и осудить":

  • активы и системы хорошо защищены;
  • имеются качественные резервные копии;
  • угроза активам организации меньше потенциального ущерба от будущих повторных вторжений;
  • имеет место скоординированная атака, повторяющаяся с большой частотой и настойчивостью;
  • организация "притягивает" злоумышленников и, следовательно, подвергается частым атакам.
  • организация готова идти на риск, позволяя продолжить вторжение;
  • действия злоумышленника можно контролировать;
  • доступны развитые средства отслеживания, поэтому преследование нарушителя имеет шансы на успех;
  • обслуживающий персонал обладает достаточной квалификацией для успешного отслеживания;
  • руководство организации желает осудить злоумышленника;
  • имеется тесный контакт с правоохранительными органами;
  • среди сотрудников есть человек, хорошо знающий соответствующие законы;
  • организация готова к искам собственных пользователей по поводу программ и данных, скомпрометированных во время выслеживания злоумышленника.



Содержание раздела