Разработка систем безопасности



Телекоммуникации и удаленный доступ

С каждым годом количество людей, пользующихся средствами телекоммуникации, растет. Независимо от того, служат они одиноким родителям, потерявшим трудоспособность служащим или в качестве случайно подвернувшегося средства, использование телекоммуникаций требует четкой стратегии для гарантии того, что время связи полезно используется, и деятельность служащего так же продуктивна вне офиса, как и во время его работы в офисе.

Иной аспект правил удаленного доступа заключается в том, что они должны обеспечивать доступ в сеть служащим и клиентам, находящимся вне месторасположения их организации. Обычно эти правила определяют доступ к сети извне по телефонным каналам. Но новые технологии могут вынудить вас разработать иные правила, обеспечивающие доступ в сеть с помощью новых средств.

Руководящие принципы эксплуатации оборудования

Некоторые организации не вводят ограничения на оборудование, используемое для телекоммуникаций или удаленного доступа. Правила эксплуатации оборудования требуют от служащих использовать оборудование, предоставленное организацией. В иных случаях организация не устанавливает свои правила в этой области, а предоставляют сетевым администраторам самим определять руководящие принципы в виде рабочих инструкций. Организации, которые поставляют компьютеры и оборудование, должны устанавливать правила, требующие использовать системы в том виде, в каком они поставлены, и запрещающие пользователю вносить изменения в программы или конфигурационные установки.

Руководящие принципы защиты информации при удаленном доступе

Одной из проблем, которые приходится решать при выдаче разрешения служащим работать вне офиса, является защита как самого компьютера, так и данных на дополнительных рабочих узлах. Поэтому, в принципе, не мешало бы разработать правила, определяющие безопасность работы вне офиса. Эти правила могут быть разработаны, исходя из тех же соображений, что и правила для пользователей в офисе.

В некоторых организациях необходимо провести предварительное обследование территорий, где будут расположены удаленные рабочие места. Несмотря на то, что сам автор не сталкивался с подобными правилами, но слышал, что такие требования выставляются со стороны федерального правительства к подрядчикам, чтобы обеспечить выполнение требований национальной безопасности.

Помимо собственно вопросов безопасности существуют проблемы с правами на интеллектуальную собственность, созданную в организации. Для защиты прав организации на эти информационные активы будет неплохо добавить правило владения этой собственностью в программу развития интеллектуальной базы организации?

Ответственность служащих

Если бы мы жили в идеальном мире, то можно бы было верить в то, что все служащие будут выполнять свою работу правильно и честно. Но поскольку мы живем в мире, далеком от совершенства, приходится заботиться о том, чтобы служащие, работая вне офиса, выполняли все правила и инструкции компании. Чтобы это было узаконено, добавьте приблизительно такую формулировку в правила информационной безопасности.

Служащие, которым предоставлен удаленный доступ к сети организации, должны руководствоваться в работе правилами и инструкциями защиты оборудования, данных и сетевого доступа так же, как если бы они работали на основной площадке организации.

Однако, этого может оказаться недостаточно. Работающие вне офиса должны также быть ознакомлены с инструкциями по удаленному контролю, с правилами лицензирования программного обеспечения, с правилами создания резервных копий и прочими инструкциями, действующими в организации. Чтобы усилить формулировку правил, можно добавить следующее.

При работе вне офиса пользователи должны использовать только лицензионное программное обеспечение, исполнять все инструкции по созданию резервных копий, а также руководствоваться в своей работе существующими в организации инструкциями.

Телекоммуникации и средства удаленного доступа

И, наконец, в правилах должно быть отражено, каким образом организация желает защитить свои активы, используемые удаленными пользователями, имеющими доступ к сети организации. Как правило, это правила эксплуатации модемов и телефонных линий, к которым подключены модемы. Однако, с появлением новых технологий в организации может быть разрешен доступ с использованием Internet.

Безопасность связи по телефонным каналам

Когда речь идет об информационной безопасности, модем ничем не отличается от других точек доступа к сети. Модемы являются точками входа в сеть и, несмотря на то, что правилами может быть не разрешено, но входящий звонок может быть набран необязательно законным пользователем, в общей программе безопасности это должно быть обязательно учтено.

В первую очередь необходимо рассмотреть управление телефонными номерами. Как правило, большинство компаний не публикуют номера, закрепленные за модемами. Однако одна из компаний, с которой сотрудничал автор, опубликовала эти номера, поскольку хотела, чтобы в любое время клиенты имели возможность установить контакт с ее представителями. В результате, была опубликована телефонная книга с перечнем "МОДЕМ 1", "МОДЕМ 2" и т.д. Вскоре после публикации на эти модемные линии стало поступать необычное количество звонков. Поэтому, с точки зрения здравого смысла, стоит включить в правила следующую формулировку.

Телефонные номера, используемые для входящих модемных линий, не должны публиковаться ни в каких каталогах, которые могут быть доступны каждому, кто не имеет права доступа.

Другой пункт правил защиты модемов устанавливает требование периодической замены телефонных номеров. Есть компании со строгим доступом и жесткими требованиями службы безопасности менять телефонные номера доступа всякий раз после реорганизации штата служащих или завершения проектов. Однако, проведение такой политики требует очень напряженной работы руководства. Ведь помимо изменения номеров нужно информировать и тех, кому необходимо знать об этих изменениях. Кроме того, надо позаботиться о том, чтобы номера были выбраны из списка незадействованных номеров. Да и материально-техническое обеспечение процедур данного типа может бьпь настолько сложным, что проведение такой политики неприемлемо для большинства предприятий.

В дополнение к стандартным средствам управления доступом, можно рассмотреть возможность расширения системы аутентификации, необходимость в которой появляется при подключении к сети посредством модемов. В качестве примера можно привести использование одноразового пароля или алгоритма защиты с применением ключей для защиты пользователей модемов. Однако, это не единственный способ, позволяющий обеспечить доступ в сеть только разрешенному удаленному пользователю. Прежде, чем зафиксировать это в правилах, необходимо познакомиться с технологиями, которые применяются в вашей организации. Обычно с ними знакомятся в процессе обследования объекта. Даже если еще не установлены расширенные системы аутентификации, в правилах должно быть отражено только то, что уже есть в наличии, или просто нужно составлять формулировки правил доступа в общем виде, оставляя подробности на усмотрение администратора.

Получение доступа к сети посредством модемов, подключенных к телефонным каналам, должно сопровождаться дополнительным этапом аутентификации, чтобы гарантировать законность этого доступа.

Туннелирование через Internet

Несмотря на то, что выбор доступа в сеть с использованием средств зашиты Internet имеет много преимуществ, во многих организациях побаиваются использовать Internet до тех пор, пока протоколы и технические средства не станут достаточно защищенными. Но если использование Internet является частью бизнес-плана вашей организации, то в документы политики следует включить минимальные требования к безопасности подключений. Например, можно потребовать, чтобы информация, пересылаемая между пользователями и сетью, шифровалась. Можно также потребовать аутентификацию пользователей Internet наподобие аутентификации внешних пользователей, получающих доступ по телефонным каналам. Не важно сколько требований будет включено в правила, важно, чтобы они не мешали администраторам изменять инструкции при введении новых технологий безопасного туннелирования через Internet.

Назад Начало Вперед