Програма на Европейския съюз за България проект по програма фар



Изтегляне 1.44 Mb.
страница11/18
Дата27.09.2016
Размер1.44 Mb.
#10794
ТипПрограма
1   ...   7   8   9   10   11   12   13   14   ...   18

7.4Мрежови политики

7.4.1Политика за мрежова сигурност


Политиката за мрежова сигурност трябва да се занимава с уязвимостта и рисковете и най-вече, да държи зловредните потребители далеч, както и да упражнява контрол над потенциални рискови потребители в рамките на правителството. Политиката по мрежова сигурност трябва да очертае правилата за мрежов достъп и употреба и по-нататък да определи по какъв начин политиките ще влизат в сила за индивиди или групи от индивиди в цялото правителство. Тя трябва да определи правилата за:

  • Разрешенията за достъп

  • Навиците за ползване на уеб-пространството

  • Употребата на пароли

  • Кодирането

  • Прикрепените файлове в електронната поща

Когато се структурира политиката по сигурността, ефективна класификационна система може да спомогне да се направят по-опростени политиките по сигурността, както и по-лесни за развитие. Обаче ако трябва да се внедряват в администрация, която употребява разнообразни технологии, развитието на политиките все пак ще изисква много работа. Особено важно е политиките да се структурират и пакетират по такъв начин, че да са колкото е възможно по-леки, без да се изпусне нито един важен момент. Те трябва да бъдат:

  • Леки и да не ползват много различни структури

  • Опростени и практични

  • Лесни за управление, въвеждане и поддръжка

За да покрие тези изисквания политиката трябва да се раздели на няколко по-малки политики, които са организирани на йерархичен принцип. Малките политики са известни като “позиционни документи” и съдържат специфични политики относно специфични проблеми или специфични системи. Поради това, че всеки от тези позиционни документи е фокусиран, може да се поддържа малък и практичен, може да бъде написан от специалист и може лесно да се модифицира или обнови без да има никакъв ефект върху останалата част от политиката.

7.4.2Рамков документ по сигурността


Въпреки че всеки позиционен документ може да е написан от различен автор, обикновено специалист в съответното направление, всички документи трябва да се основават на някакви основни принципи. Тези принципи трябва да се изложат в единичен документ, който е известен като Рамков документ по сигурността. Този документ, заедно с класификационната система, създава рамка от ценности и принципи, на които трябва да се основава всеки друг документ. Това може да се разглежда като обща представа или изглед на политиката като цяло. Рамката по сигурността оформя един вид основна политика по подразбиране, която може да се ползва за справка когато има някакво съмнение или в случаи, когато няма съответен документ по сигурността по отношение на определена система. Тази концепция е представена на Фигура 12:



Фигура 12 – Рамка на сигурността

Рамката на сигурността определя минимален комплект от организационни изисквания по сигурността, който е приложим за всички управленски, външни или консултанти на персонала. Документът определя комплект от концепции и принципи, чиято цел е да се осигури защитата на всички информационни активи, както и на технологиите, използвани за тяхното съхранение и предаване. Не бива да се вземат решения касаещи сигурността на информацията и информационните технологии (ИТ) без внимателно съобразяване и пълно съответствие с концепциите и принципите, определени в Рамковия документ по сигурността.

Рамковият документ по сигурността трябва да покрива най-малко следните важни точки:


  • Стойността на информацията и ангажираността на администрацията по отношение на сигурността на информацията

  • Класификационната система

  • Принципът на отчетността, който ясно заявява, че потребителите и администраторите ще се отчитат за поведение, което влияе върху сигурността на информацията

  • Предназначението на авторитета на Офицера по сигурността и другите хора в администрацията, имащи отношение към сигурността, трябва да е подходящо

  • Принципът за индивидуалната отговорност на всички потребители на системата по отношение на сигурността на информационните ресурси

  • Подходът на администрацията към прегледите на сигурността; например каква ще бъде честотата им, кой ще ги извършва и т.н.

Офицерът по сигурността (ОС) поема най-голяма отговорност за сигурността в администрацията. Негова/нейна работа е да ръководят, съветват и преглеждат политиките и процедурите по сигурността в администрацията. Рамковият документ по сигурността обикновено отпада пред юрисдикцията на Офицера по сигурността, както и управлението и разпространението на различните позиционни документи. В една администрация, Офицерът по сигурността може да има назначен в екипа си Документен управител, някой, чиято специфична отговорност ще бъде осигуряването на всички документи по политиката да бъдат осъвременявани, промените са правилно контролирани и че потребителите имат свободен и лесен достъп до цялата необходима информация по сигурността.

7.4.3Позиционни документи


Позиционните документи са написани по повод специфичен аспект от Политиката по сигурността, като например сигурността на определена технология или сигурността в определена ситуация. Например, може да съществува позиционен документ, който покрива конфигурацията по сигурността на сървърите от семейство “Windows 2003 servers”, които са свързани с интернет, както и друг позиционен документ, описващ процеса, който трябва да се следва в случай на пробив в мерките за сигурност (обикновено известно като “инцидент със сигурността”).

Позиционните документи третират проблемите със сигурността по начин, който е последователен, практичен и лесен за разбиране. Те трябва също така да третират проблеми, директно свързани с администрацията. Поради това, че тези документи са тясно фокусирани, има възможност да бъдат кратки и тематични. Лесно се модифицират и могат да се пишат от хора, експерти в съответната област.


7.4.4Собственик на политиката


Собственикът на политиката е лицето, което е отговорно за поддръжката и целостта на определен документ за политиката. По този документ не могат да се правят никакви промени без изричното съгласие на Собственика на политиката. Името на собственика на политиката трябва да е ясно показано в документа, а документът трябва да има дата, поставена от собственика и да е подписан от собственика. Наличието на Собственик на политиката осигурява последователност на политиката, както и отчетност на валидността и ефикасността на определен аспект от политиката.

7.4.5Списъци с данни по сигурността


Всяка ИТ система трябва да има списъци с данни по сигурността. Списъкът с данни съдържа специфични настройки и параметри, които осигуряват сигурността на системата. Докато Рамковият документ по сигурността и разнообразните позиционни документи се отнасят към политиката по принцип, списъците с данни представляват подробностите, които трябва да се приложат за всяка система. Всяка система или хост трябва да имат списък с данни, който се управлява от собственика на системата и е предмет на принципите на този документ и на Системния документ.

Отговорност на собствениците на информацията и технологиите, както и на потребителите е, да получат съответните документи от Офицера по сигурността и да се уверят, че стандартите определени в тези документи са правилно приложени върху системата, която се контролира.


7.4.6Технически ръководства


Техническите ръководства са друг комплект полезни документи, въпреки че те не са точно политики. Те регулират въвеждането, работата, конфигурацията и администрирането на определени системи. Те могат да се закупят в готов вид или администрацията може да наеме експерти за написването им. Могат да се съхраняват заедно с политиките и да предоставят справки за позиционните документи. Например, вместо да се използва позиционен документ, за да се опише точно как AIX20-базирани Apache Web Servers или Oracle DB Server трябва да се конфигурират, администрацията може да напише или дори да закупи ръководство, което покрива точно тази задача. И отново, това спомага за модулната природа на политиките по сигурността и ги прави както по-лесни за употреба, така и по-лесни за управление.

7.4.7Собственик на системата


Собственик на системата е лицето, отговорно за техническата поддръжка на определена ИТ система. Негова отговорност е да осигури че спецификацията в Рамковия документ по сигурността и съответните позиционни документи, са приложени и поддържани. Освен това, отговорност на собственика на системата е решението относно класификацията на системата и дали тя ще се различава от тази по подразбиране. Името на Системния собственик се дава в списъците с данни за всяка система и трябва ясно да е показано, за да може лесно да бъде видяно във всички случаи, когато определен потребител има достъп до системата или когато е около или близо до системата.

7.4.8Съдържание на политиката


Политиките трябва да са основани на реалните изисквания, установени посредством оценка на риска, която трябва да се извърши от администрацията. Позиционните документи трябва да включват:

  • Обхват – какъв проблем, организационна единица или система покрива документът

  • Валидност – всяка политика трябва да има ограничен живот и да се преразглежда редовно

  • Собственост – име и данни за контакт със собственика на документа, както беше описано по-рано

  • Отговорности – кое лице за кой детайл от сигурността на системата или за решение на кой проблем е отговорно. Това е важно за влизане в сила на отчетността

  • Спомагателна документация – справка към други документи, по-високо или по-ниско в структурата на системата, като например Рамковия документ по сигурността или специфично Техническо ръководство

  • Позиционно изявление – какво реално трябва да се каже и регулира относно определен проблем

  • Преглед – дали, кога и как ще се извършват прегледи по сигурността на системата

  • Съвместимост – изявление относно последствията в случай на несъответствие с политиката

Следващият въпрос възниква около въпросите, които трябва да се покриват от Позиционните документи относно Националната мрежова инфраструктура. Много от въпросите, дадени по-долу се застъпват с аспекти на Националната Мрежова инфраструктура, но въпреки това, ние горещо препоръчваме българското е-управление да предприеме обширен подход по отношение определяне на съдържанието на политиките.

  • Физическа сигурност

  • Мрежова сигурност

  • Контрол за достъп

  • Удостоверяване на автентичността

  • Криптиране (кодиране)

  • Ключово управление

  • Съвместимост

  • Ревизия и преглед

  • Съзнаване на сигурността

  • Отговор при инциденти и план при непредвидени бедствия

  • Политика за приемлива употреба

  • Софтуерна сигурност

7.4.9Оценка на политиките


Когато администрацията вече има комплект от политики по сигурността, ще бъде необходимо да се определи ефикасността на политиките в рамките на административния контекст. Правилният начин да се направи това е чрез друго упражнение по оценка на риска, като по този начин се завършва цикъла по сигурността. Възможно е обаче политиките да се оценят правилно без да има нужда да се преминава през целия процес за оценка на риска. Следва списък от прости въпроси, които могат да се използват от персонала по сигурността за оценка на ефективността на дадена политика по отношение на администрацията.

  • Политиката има ли ясно определен обхват? Ясно ли е към кои системи и хора е приложима тази политика?

  • Подробни ли са термините в политиката относно обхвата, който тя ще третира? Всички системи и проблеми ли са достатъчно покрити от политиката?

  • Политиката ясно ли определя отговорностите? Ясно ли е за потребителите, управлението и различните администратори какви са точно отговорностите на тази политика? Ясно ли е кой е отговорен за различните аспекти на сигурността?

  • Политиката може ли да влезе в сила? Възможно ли е тя да се приложи по конкретен начин, така че съвместимостта да може да се наблюдава и измерва?

  • Политиката може ли да се приспособява? Възможно ли е политиката да се променя лесно, за да третира нови рискове и нови технологии?

  • Има ли политиката желаните ефекти?

  • Политиката широко известна ли е и разбира ли се в рамките на администрация? Политиката добре ли е разпространена, съществува ли осъзнаване на политиката и разбрано ли е съдържанието й?

  • Политиката съвместима ли е със закона и със задълженията на 3-ти страни? Администрацията изпълнява ли задълженията си, изисквани от закона?

7.4.10Примерна политика за сканиране за вируси


Всички изпълними и други файлове трябва да се сканират от одобрено антивирусно решение преди да бъдат отворени на технологичен актив или преди да бъдат предадени към други мрежи посредством метод за трансфер на файлове или като прикрепени файлове в електронна поща, както е приложими. В допълнение, целият антивирусен софтуер трябва да се обновява и да се използва активно.

  • Антивирусни решения трябва да бъдат инсталирани на работните станции, сървърите и порталните устройства, които са уязвими към вируси, червеи, троянски коне или други видове заплахи.

  • Антивирусните решения трябва да се обновяват ежедневно или да получават обновявания при поискване.

  • Антивирусните решения трябва да третират изпълними и други файлове, представени в сървърите и работните станции от носители на информация, включващи, но не само USB флаш памети, компакт-дискове, двд и други външни устройства.

  • Антивирусните устройства и/или приложения трябва да се поддържат осъвременени, активно работещи и способни да генерират ревизионни отчети.

7.4.11Примерна политика за пароли


В много системи паролите са първата и единствена защитна линия. Отгатването на пароли е много разпространен и често успешен начин за атака, чрез който потребител може да получи достъп до определена система без разрешение. Отгатване на основата на съдържание се използва в допълнение към автоматичните методи (като така наречените “разбивачи на пароли”).

  • Минимална дължина на паролата – дължината на паролата винаги трябва да се проверява автоматично по времето, когато потребителите измислят или избират парола. Всички пароли трябва да имат най-малко осем (8) знака. Паролите с по-малко символи са по-лесни за разгадаване отколкото паролите с най-малко шест символа. Политиката се прилага към пароли, избрани от потребителя, както и към пароли, генерирани от системата. При повечето платформи, работен системен софтуер или свързан софтуер за контрол може да се използва софтуер по сигурността, който автоматично да използва политиката.

  • Необходими са пароли, трудни за разгадаване – всички пароли за компютри и мрежи, избрани от потребителите трябва да бъдат трудни за разгадаване. Речникови думи, варианти и деривати на идентификацията на потребителя, както и обикновени поредици от символи, като например "12345678" не трябва да се използват. По същия начин, лични подробности, като например името на съпруга/съпругата, номер на разрешително, номер на социална осигуровка и рожден ден не трябва да се използват, освен ако не са придружени с допълнителни несвързани с тях символи. Паролите, избрани от потребителите не трябва също така да бъдат част от речта. Например точни наименования, географски местоположения, обичайни акроними или жаргон не трябва да се използват.

  • Цикличните пароли са забранени – потребителите не бива да конструират пароли, които се състоят от определен брой символи, които не се променят, комбинирани с определен брой символи, чиято промяна е предсказуема. В тези забранени пароли, символите, които се променят обикновено са на основата на месеца, отдела, проекта или нещо друго, което лесно може да се разгадае. Например, потребителите нямат право да използват пароли като "XXX34JAN" през януари, "XXX34FEB" през февруари и т.н.

  • Паролите трябва да съдържат както азбучни, така и символи, непринадлежащи към азбуката – всички пароли, които се избират от потребителите трябва да съдържат най-малко един азбучен символ и най-малко един символ извън азбуката. Символите извън азбуката включват цифри (0-9) и препинателни знаци. Употребата на контролни символи и други символи, които не подлежат на разпечатване не се препоръчват, тъй като те могат по невнимание да причинят проблеми в мрежовото предаване или неумишлено да отворят определени системни приложения.

  • Показване и разпечатване на пароли – показването и разпечатването на пароли трябва да е маскирано, замъглено или по друг начин възпрепятствано така че неупълномощените страни да не могат да ги видят и впоследствие да ги възстановят.

  • Възприемане на първоначална парола – първоначалната парола, издадена от администратор по сигурността трябва да е валидна само за първата онлайн сесия на съответния потребител. По това време потребителят трябва да бъде заставен да смени паролата преди да може да извърши каквато и да е друга работа.

  • Ограничение на последователните неуспешни опити за въвеждане на парола – за предотвратяване на атаки с цел отгатване на пароли, броят последователни неуспешни опити за въвеждане на парола трябва да е стриктно ограничен. След не повече от шест (6) последователни неуспешни опита за въвеждане на парола, съответното потребителско име трябва да: (а) бъде временно спряно до повторно активиране от системен администратор или (б) временно спряно за не по-малко от три минути или (в) ако се използва телефонен достъп или друга външна мрежа –връзката да бъде прекъсната.

  • Смяна на паролите по подразбиране на доставчиците – всички пароли по подразбиране, които се предоставят от доставчици, трябва да бъдат сменени преди компютърът или комуникационната система да се използва за работа.

  • Подозирано разкритие изисква смяна на паролата – всички пароли трябва веднага да бъдат сменени, ако има съмнения, че са били разкрити или е ясно, че са били разкрити на неупълномощени страни.

  • Паролите се сменят след компрометиране на компютърната система – ако дадена компютърна система използва пароли като основен контролен механизъм, всички пароли трябва веднага да бъдат сменени при откриване на доказателства за компрометиране на системата. По това време всички потребители трябва да бъдат инструктирани да сменят паролите на своите машини, при положение че паролите на тези машини се използват и на компрометираната машина.

  • Записване на пароли и оставянето им там, където могат да бъдат видени от други – паролите не бива да се записват и оставят на място, където неупълномощени лица могат да ги открият.

  • Забрана за споделяне на пароли – паролите никога не трябва да се споделят или разкриват пред никого, освен пред упълномощен потребител, освен ако изрично не е наредено друго от Офицера по сигурността. Офицерът по сигурността трябва да има предвид, че изключенията излагат упълномощения потребител на отговорност за действията на друга страна с придобитата парола. Освен това, Офицерът по сигурността трябва ясно да обясни на потребителите със споделени пароли, че те са отговорни за действията предприети от лицето, разполагащо с тяхната парола. Начинът, по който потребителят може да избегне подобна отговорност, е да пази паролите си в тайна.

  • Кога и по какъв начин паролите могат да се разкриват от системните администратори – администраторите по сигурността могат да разкриват пароли само в случаи, когато се назначава ново потребителско име, ако потребител е забравил или поставил паролата си на неподходящо място или когато потребителят по един или друг начин е блокирал потребителското си име. Администраторите по сигурността не могат да разкриват пароли, освен ако съответният потребител бъде лично идентифициран или чрез обратно обаждане до известен телефонен номер.

Каталог: upload -> docs
docs -> Задание за техническа поддръжка на информационни дейности, свързани с държавните зрелостни изпити (дзи) – учебна година 2012/2013
docs -> Наредба №2 от 10. 01. 2003 г за измерване на кораби, плаващи по вътрешните водни пътища
docs -> Наредба №15 от 28 септември 2004 Г. За предаване и приемане на отпадъци резултат от корабоплавателна дейност, и на остатъци от корабни товари
docs -> Общи положения
docs -> І. Административна услуга: Издаване на удостоверение за експлоатационна годност (уег) на пристанище или пристанищен терминал ІІ. Основание
docs -> I. Общи разпоредби Ч
docs -> Закон за изменение и допълнение на Закона за морските пространства, вътрешните водни пътища и пристанищата на Република България
docs -> Закон за предотвратяване и установяване на конфликт на интереси
docs -> Наредба за системите за движение, докладване и управление на трафика и информационно обслужване на корабоплаването в морските пространства на република българия

Изтегляне 1.44 Mb.

Сподели с приятели:
1   ...   7   8   9   10   11   12   13   14   ...   18



©obuch.info 2024
отнасят до администрацията
    Начална страница
Автореферат
Анализ
Бизнес-план
Биография
Глава
Диплом
Доклад
Задача
Закон
Занятие
Заседание