Политика безопасности

Важность и сложность проблемы обеспечения информации требует выработки политики информационной безопасности, которая подразумевает ответы на следующие вопросы:

1) Какую информацию защищать

2) Какой ущерб понесёт предприятие при раскрытии или потере тех или иных данных.

3) Что является возможным источником угрозы

4) Какого рода атаки могут быть предприняты

5) Какие средства использовать для каждого вида информации

Специалисты, ответственные за безопасность системы формируя политику безопасности должны учитывать базовые принципы.

Одним из таких принципов является предоставление каждому сотруднику того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения им его должностных обязанностей.

Использование комплексного подхода к обеспечению безопасности.

Используя многоуровневую систему защиты важно обеспечивать баланс надёжности всех уровней. Если в сети сообщения шифруются, но ключи легко доступны, то эффект от шифрования – нулевой. Если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельных файлов, но имеется возможность получить жёсткий диск и установить его на другой машине, то все достоинства защиты файловой системы сводятся на нет.

Использование средств, которые при отказе переходят в режим максимальной защиты. Например, автоматический пропускной пункт в какое- либо помещение ломается. Тогда он должен фиксироваться в таком положение, чтобы не один человек не мог пройти на защищённую территорию.

Принцип единого контрольно-пропускного пункта. Не одна система не гарантирует защиты на 100%. Весь входящий во внутреннюю сеть и выходящий во внешнюю трафик должен проходить через единственный узел в сети. Например, через межсетевой экран – firewall. Только это позволяет в достаточной степени контролировать трафик.

Принцип баланса возможного ущерба от реализации угрозы и затрат на её предотвращение. Система безопасности является компромиссом между возможными рисками и затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, который может понести предприятие в результате нарушения защиты и соотнести её с величиной затрат, требуемых на обеспечение безопасности этих данных. В некоторых случаях можно отказаться от дорогостоящего фаервола в пользу стандартных средств фильтрации обычного маршрутизатора, главное, чтобы принятое решение было обоснованно экономически.

При определении политики безопасности для сети, имеющей выход в Internet, специалисты рекомендуют разделить задачу на две части:

1) Выработать политику доступа к сетевым службам Интернета

2) Выработать политику доступа к ресурсам внутренней сети.

Политика доступа к сетевым службам Интернета включает следующие пункты:

1) Определение списка служб Internet, к которым должен быть ограниченный доступ

2) Определение ограничений на методы доступа (например, на использование протоколов)

3) Принятие решения о том, разрешён ли доступ пользователей во внутреннюю сеть

Политика доступа к ресурсам внутренней сети может быть выражена в одном из двух принципов:

1) Запрещать всё, что не разрешено в явной форме

2) Разрешать всё, что не запрещено в явной форме

В соответствии с выбранным принципом, определяются правила обработки внешнего трафика, межсетевыми экранами или маршрутизаторами. Реализация защиты на основе первого принципа даёт более высокую степень безопасности, однако при этом могут возникать большие неудобства у пользователей. А кроме того такой способ защиты обойдётся дороже.

При реализации второго принципа сеть окажется менее защищённой, однако пользователям будет удобно и потребуется меньше затрат.