
Политика информационной безопасности включает способы достижения целей информационной безопасности, принятых по всему миру:
- Конфиденциальность — только уполномоченное лицо должно иметь доступ к информации
- Целостность — информация должна сохраняться в должной форме
- Доступность — информация должна быть доступна всякий раз, когда она требуется уполномоченному лицу
В идеале, в первый день на новом рабочем месте вас должна «встретить» уже существующая политика информационной безопасности, которая включает список активов компании, методы оценки риска, типы информации, уровни доступа и т. д. Но что, если вы должны создать политику сетевой безопасности в крупной компании, не имея при этом основной документации, инструкций, списков или карт сетевых активов? Тогда вам, возможно, придётся поработать больше, чем вы ожидали.
Прежде чем приступить к работе над политикой сетевой безопасности, рекомендуем обеспечить координацию вашей работы с главным сотрудником по вопросам информационной безопасности и акционерами компании. Без координации ваша работа может быть обречена на провал, даже если предложенная вами окончательная версия выглядит великолепно.
Первым шагом для обеспечения чего-либо является знание того, что вы намерены обеспечить. Да, вы хотите защитить сетевые активы компании, но какими должны быть компоненты такой сети? Какие сверхмалые ресурсы и частицы делают сеть СЕТЬЮ?
Ознакомление с деятельностью компании
В зависимости от компании первая, и самая сложная часть понимания сетевой структуры может быть связана с сетевыми администраторами. Для того, чтобы исследовать компоненты сети, вам необходимо иметь хорошее взаимопонимание с сетевыми администраторами и теми сотрудниками, которые принимают участие в мониторинге сети.
Рекомендации:
- Не бойтесь задавать вопросы, даже те, которые, как вы думаете, заставят вас выглядеть непрофессиональными. Задавайте любые вопросы, ответы на которые могут дать вам полное понимание вопроса или знание о новом активе, о котором вы не знали раньше.
- Помните, что у вас нет иного способа получить знания о сетевых активах компании, в которой вы только начали работать.
- Рукопожатие перед общением по электронной почте. Самое главное — лично представиться другим сотрудникам, от которых вам нужно будет получить информацию. Дружеское рукопожатие сделает ваш путь к общению по электронной почте более простым и, следовательно, более удобным.
- Всегда помните, что вам платят за знание активов компании.
- Поддерживайте общение на официальном уровне — отправляйте письма соответствующим сотрудникам и добавьте своего начальника, в большинстве случаев CISO (главного сотрудника по вопросам информационной безопасности), в CC (список получателей), если это разрешено политикой компаний.
В идеальной ситуации в какой-то момент, и чем раньше, тем лучше, у вас будет список всех сетевых активов (маршрутизаторов, коммутаторов, серверов и т. д.), с возможными угрозами на основе конфигурации и уровней риска, которые вам придётся определять самостоятельно.
Оценка риска
Наиболее подходящий метод оценки риска – это использование показателей ожидаемых ежегодных убытков (ALE), ожидаемого единичного случая убытка (SLE) и ежегодной частоты возникновения события (ARO).
- ALE –ожидаемая сумма убытков в течение года
- SLE – сумма, которую вы ожидаете потерять за один раз
- ARO — частота, с которой событие может произойти в течение года
Формула SLE × ARO = ALE
Позвольте объяснить данный метод на примере:
Вы разрабатываете политику сетевой безопасности для крупной компании. Сетевой актив вашей компании, например, сервер, генерирует доход 25 000 долларов в час. Вероятность сбоя в работе для этого веб-сервера в течение года составляет 25% (вероятность может быть рассчитана на основе среднего числа подобных событий, имевших место в последние годы). Сбой в работе может привести к трёхчасовому простою и стоить 5000 долларов в расчёте на компоненты, используемые для устранения проблемы. Итак, чему будет равна ALE?
SLE составляет 80 000 $ (25 000 $ x 3 часа + 5000 $), а ARO — 0,25. Тогда ALE составляет 20 000 $ (80 000 $ x 0,25). Принимая во внимание то, что ваша компания должна ожидать 20 000 $ убытков в год.
Разработка политики
Цель
Первая часть разработки политики — это определение цели вашей политики. В этом разделе вам нужно будет определить общую стратегию компании в отношении сетевой безопасности, другими словами, установить заинтересованность акционеров в том, чтобы сетевые активы были защищены, а риски снижены в целях сохранения конфиденциальности, целостности и доступности сетевых активов. Вам следует детально определить, что означает доступность в отношении сетевых активов. Также рекомендуется определить минимальные требования к безопасности, которые будут применяться для каждого сетевого ресурса (шифрование соединения, запрет на несанкционированный доступ).
Область применения
Определите, кто будет использовать вашу политику, и какова сфера деятельности компании, которая будет регулироваться вашим документом. Обычно в область применения входят сотрудники, подрядчики, временные работники, сетевые устройства и виды связи.
Методы оценки риска
В этой части вам просто нужно скопировать документ об оценке риска в политику сетевой безопасности. Не забудьте сохранить скопированный материал в простой и понятной форме, нет никакой необходимости составлять большой текст с большим количеством строк или колонок. Проще – значит лучше.
Политика
Главная часть вашего документа. В этой части должны быть указаны подробные сведения о безопасности сети. Подробные сведения могут включать следующую информацию:
- Какие методы авторизации пользователя приемлемы в сети? TACACS + или RADIUS?
- Сервер Syslog всегда должен быть архивирован.
- Все сообщения должны быть зашифрованы, укажите способ шифровки.
- Сеть должна быть защищена брандмауэром и сетевыми модулями. Укажите тип брандмауэра.
- Кто является основным производителем сетевого оборудования? CISCO или Huawei? В каком сегменте сети и почему?
- Кто имеет корневой доступ или секретный доступ к маршрутизаторам и коммутаторам?
- Какие сервисы сети никогда не будут использоваться? Скажите «НЕТ» телнету и включите SSHv2, однако имейте в виду, что SSHv1 и SSHv2 не используются в комплексе. Используйте один из них.
- Все сетевые устройства должны использовать логин-баннеры. Проконсультируйтесь с юристом и подготовьте единый и понятный сетевой баннер, указав, что несанкционированный доступ к вашему оборудованию запрещён.
- Как создаются списки доступа, кто их контролирует.
- Управление IDS и IPS
Это основные вопросы, которые вам придётся освещать в данном разделе, но, конечно, в него можно включить гораздо больше информации в зависимости от инфраструктуры и требований вашей компании.
Реализация политики
Для того чтобы сделать политику полезной, её необходимо реализовать. В этом разделе определите, как вы будете применять свою политику. Начните с сетевых администраторов, попросите их настроить сетевые активы в соответствии с вашей политикой и договоритесь о датах. Определите, какой отчёт должны предоставлять участвующие стороны: на еженедельной, ежедневной или ежемесячной основе, укажите, что в нём они будут описывать, какие части политики реализованы.
Мониторинг и аудиты
Для обеспечения того, чтобы политика работала так, как вы планировали, необходимо осуществлять контроль и проводить аудиторские проверки каждые 6 месяцев. Способы проведения аудитов полностью зависят от вас и вашей компании, однако рекомендуется проверять сетевые активы на правильную конфигурацию и регулярно заполнять специальный документ, в котором следует указывать плюсы и минусы данной конфигурации. Следует помнить, что в политику безопасности потребуется регулярно вносить поправки, и «Политика сетевой безопасности для версии 1.0» может быть не окончательным вариантом.
Связанные стандарты и политика
Этот раздел важен для вашей аудитории. Она должны знать, какие другие документы считаются важными для вашей политики. Здесь вы должны указать документы, связанные с политикой информационной безопасности, маршрутизатором CISCO и стандарт безопасности подключения, политику брандмауэра, политику сервера, политику реагирования на инциденты и т. д.
Контрольный перечень компонентов сетевой безопасности:
- Оценка рисков — активы, риски и угрозы.
- Политика безопасности
- Пересмотр политики безопасности