Периодический пересмотр документов правил
Определенных рекомендаций по поводу того, как часто нужно пересматривать правила, не существует. В период сотрудничества автора с различными организациями он советовал, чтобы пересмотр производился с периодичностью от шести месяцев до одного года. Шести месяцев вполне достаточно, чтобы выявить факты, требующие корректировки правил. Однако кое-кто считает, что для этого требуется больший период времени. Если период пересмотра больше года, то могут возникнуть проблемы застоя – постепенное пренебрежение соблюдением правил и, в конце концов, полное их игнорирование.
Определение модели безопасности
Когда администраторы внедряют и контролируют правила, они могут обнаружить, что при одних и тех же обстоятельствах поступают заявки на выполнение операций в обход правил, или во время проверок регистрационных журналов выявляются факты многократных попыток нарушить правила безопасности. Существует много способов выявить и систематизировать факты и составить модель пересмотра правил по разрешенным отказам от правил, по регистрационным журналам и отчетам о нарушениях. В некоторые коммерческие пакеты, такие как системы обнаружения вторжений, включены дополнительные модули статистического анализа, которые могут помочь при решении этих задач. Другие системы типа универсальных вычислительных машин предоставляют эти средства анализа в виде утилит операционных систем.
Однако автоматизированных средств может оказаться недостаточно. Администраторам будет необходимо проводить обследование и руководствоваться интуицией для определения модели пересмотра правил, которые зависят от знания модели функционирования вашей сети. Например, в среде UNIX нередко бывают попытки зарегистрироваться в качестве основного пользователя или "суперпользователя". Несмотря на то, что эти попытки могут осуществляться различными пользователями, оказалось, что они делались с одного терминала или с одной и той же удаленной системы в этой сети. Рассмотрев такую модель можно сделать вывод, что была попытка взлома системы, проведенная с другой, уже взломанной системы. Однако, если удаленная система используется, в основном, разработчиками организации, то они могли бы попытаться провести ее диагностику и устранить проблему.
В результате такого анализа может быть разработано правило, разрешающее присваивать разработчикам право суперпользователя или предоставлять им право суперпользователя при необходимости. Однако, единственный путь прийти к такому решению – сопоставить факты нарушений с принципами работы систем или сети.
В организациях, в которых только начинают разрабатывать свою политику, беспокоятся о том, смогут ли эти правила стать фундаментом для серьезной программы защиты информации. Таким организациям рекомендуется пересматривать правила каждые шесть месяцев в течение нескольких первых лет. Побочный эффект этого процесса заключается в том, что не нужно будет включать эти сроки в правило пересмотра. Изменения в правила могут не вноситься после очередного пересмотра, а будут внесены при следующем пересмотре, если те, кто проводил пересмотр, решат, что правила достаточно стабильны и могут не корректироваться более длительный период. Чтобы утвердить процесс пересмотра, достаточно включить в правила такую упрощенную формулировку.
Правила информационной безопасности должны пересматриваться каждые шесть месяцев.
Как нам всем хорошо известно, сети и компьютеры в руках человека могут вести себя непредсказуемо. Даже самые лучшие разработчики правил могут что-то упустить, потому что невозможно предвидеть все проблемы, которые могут возникнуть в системах. Положения о применении санкций и о разрешенном нарушении правил должны обеспечить защиту сети и в то же время разрешить определенную свободу действий, так как неизбежно, что что-то может случиться, и случается, что не учтено принятыми правилами. Возьмем пример: небольшая организация, которая занимается продажей новейшей популярной продукции, установила партнерские отношения с другой организацией. Согласно договору обе организации будут делиться информацией друг с другом для распространения продукции. В пунктах соглашения указано, что обе организации должны совместно пользоваться информацией посредством виртуальной частной сети (VPN). Однако одна из организаций не предусмотрела возможность использования такой схемы работы и не располагает правилами работы с VPX.
В случае частых изменений производственного процесса некоторые организации оказываются перед необходимостью вводить правило разрешенных нарушений или отклонений (см. главу 3 "Обязанности в области информационной безопасности"). "Разрешенное нарушение" представляет собой соглашение, подписанное ответственным за данные или технологию лицом, в котором говорится, что безопасная работа будет базироваться на отдельных отклонениях от существующих правил, описанных в новом документе. В вышеописанном примере в этом "разрешенном нарушении" может быть указано, что подключение к VPN будет произведено так же, как и подключение к Internet с некоторыми дополнительными ограничениями. Другой способ заключается в разработке правила, в котором будет положение о возможности проведения внерегламентного пересмотра правил, когда необходимо добавить или откорректировать некоторые правила в случае аварийных ситуаций. Формулировка может выглядеть следующим образом.
Руководство должно сформировать временную комиссию для разработки, обновления или пересмотра правил на тот случай, если необходимо внести значительные изменения, не дожидаясь планового пересмотра правил.