1.  Введение

   В   этом   документе   даны   инструкции   для  системных  и  сетевых
   администраторов  о  том,  как  решать  проблемы  безопасности       в
   Интернет-сообществе.  Он  построен на основах заложенных в RFC 1244 и
   является коллективной работой нескольких принимавших участие авторов.
   Среди этих авторов:

   Jules P. Aronson ([email protected]), Nevil Brownlee
   ([email protected]), Frank Byrum ([email protected]),
   Joao Nuno Ferreira ([email protected]), Barbara Fraser
   ([email protected]), Steve Glass ([email protected]), Erik Guttman
   ([email protected]), Tom Killalea ([email protected]), Klaus-
   Peter Kossakowski ([email protected]), Lorna Leone
   ([email protected]), Edward.P.Lewis
   ([email protected]), Gary Malkin ([email protected]),
   Russ Mundy ([email protected]), Philip J. Nesser
   ([email protected]), and Michael S. Ramsey
   ([email protected]).

   Кроме  основных  авторов,  несколько  читателей  добавляли  различные
   комментарии. Среди них:

   ([email protected]), Marijke Kaat ([email protected]), Ray Plzak
   ([email protected]) and Han Pronk ([email protected]).

   Особые благодарности Joyce Reynolds, ISI, и Paul Holbrook, CICnet, за
   их проницательность, лидерство при создании первой версии этой книги.
   Рабочая  группа  искренне  надеется, что эта версия окажется не менее
   полезной для сообщества.
   

1.1  Цель этой книги

   Эта  книга  является  руководством  по  внедрению  политик и процедур
   безопасности  для предприятий имеющих системы подключенные к Интернет
   (хотя  информация  может  быть  так  же полезной и для предприятий не
   имеющих  пока выхода в Интернет). Это руководство перечисляет вопросы
   и  факторы,  которые  предприятие должно рассматривать при разработке
   собственных   политик.   Оно  дает  ряд  рекомендаций  и  обзоров  на
   затронутые темы.
   
   Это   руководство  лишь  основа  для  создания  политики  и  процедур
   безопасности.  Чтобы  иметь  эффективный  набор  политик  и  процедур
   предприятие должно принять большое число решений, придти к согласию и
   затем наладить связи и внедрить эти политики.

1.2  На кого рассчитан данный документ

   Данный  документ  рассчитан  на сетевых и системных администраторов и
   людей   ответственных   за  принятие  решений  (обычно  руководителей
   среднего  звена)  предприятий.  Для  краткости  в тексте документы мы
   будем  использовать термин "администраторы" для обозначения сетевых и
   системных администраторов.

   Этот документ не предназначен для программистов или тех, кто пытается
   создать  безопасную  программу  или  систему. Основной упор документа
   сделан на политики и процедуры, которые должны быть реализованы чтобы
   поддерживать  технические  характеристики  безопасности которые могут
   быть реализованы на предприятии.

   К  основной  аудитории  этой  работы относятся предприятия являющиеся
   членами  Интернет-сообщества.  В  то  же  время  этот  документ будет
   полезен  любому предприятию имеющему контакты с другими предприятиями
   и может быть полезен предприятиям имеющим изолированные системы.

1.3  Определения

   Для  целей  данного  руководства  будем  считать,  что  "предприятие"
   означает   организацию,  которая  владеет  компьютерами  или  другими
   сетевыми  ресурсами.  Эти  ресурсы могут включать сетевые компьютеры,
   используемые пользователями, маршрутизаторы, терминальные серверы, ПК
   или  другие  устройства  с доступом через Интернет. Предприятие может
   быть  конечным  потребителем  услуг  Интернет,  или поставщиком услуг
   Интернет. Этот документ более предназначен для конечного пользователя
   услуг  Интернет.  Мы  надеемся,  что  у  предприятия есть возможность
   установить  политики  и процедуры с согласия и при помощи того, кто в
   действительности   владеет  ресурсами.  Мы  будем  предполагать,  что
   предприятия,  являющиеся  подразделениями  более  крупных организацию
   знают,  когда  следует  консультироваться, сотрудничать или принимать
   рекомендации более крупной структуры.

   "Интернет"   это   набор   тысяч   сетей  соединенный  общим  набором
   технический  протоколов, что делает возможным для пользователей любой
   из  сетей связываться или использовать сетевые службы расположенные в
   любой другой сети (FYI4, RFC 1594).

   Термин "администратор" используется для обозначения людей, отвечающих
   за  повседневное  функционирование  системы  и  сетевых ресурсов. Это
   может быть несколько лиц или организация.

   Термин  "администратор  безопасности"  используется  для  обозначения
   людей   отвечающих   за   безопасность  информации  и  информационных
   ресурсов.  В  некоторых  организациях  эти функции могут сочетаться с
   функциями администратора, в других - это отдельная должность.

   Термин  "руководитель"  относится  к  людям  в  организации,  которые
   устанавливают или утверждают политику. Обычно (но не всегда) это люди
   которым принадлежат ресурсы.

1.4  Кроме того

   Рабочая  группа  "Руководства  по  безопасности  предприятия"  так же
   работает  над  пользовательским  руководством  по  безопасности     в
   Интернет.    Оно   обеспечит   практические   рекомендации   конечным
   пользователям  чтобы  помочь  им  защитить  их  информацию и ресурсы,
   которыми они пользуются.

1.5  Основной подход

   Это  руководство  создано,  чтобы  дать  основные  рекомендации     в
   разработке плана безопасности для вашей организации. Один из принятых
   подходов  предложен  Fites, et. al. [Fites 1989] и включает следующие
   шаги:

   (1)  Определить что вы пытаетесь защитить
   (2)  Определить от чего вы пытаетесь защититься
   (3)  Определить насколько вероятна угроза
   (4)  Предпринять  меры,  наиболее  эффективно  (в  плане  стоимости)
        защищающие ваши ресурсы.
   (5)  Пересматривать  весь  процесс постоянно и производить дополнения
        каждый раз, когда найдены недостатки.

   Большая часть документа относиться к пункту 4, но без остальных шагов
   невозможно  обойтись,  если  вашему предприятию требуется эффективный
   план.  Старой  истиной безопасности является то, что стоимость защиты
   от  угрозы  должна  быть  меньше,  чем стоимость восстановления, если
   угроза действительно срабатывает. Стоимость в данном контексте должна
   включать  в  себя  выраженные  в  реальных  деньгах потери репутации,
   доверия и другие менее значимые потери. Без достаточного знания того,
   что  именно  вы  защищаете и насколько реальны угрозы, следовать этим
   правилам достаточно непросто.


1.6  Оценка угроз

1.6.1  Общее обсуждение

   Одна   из  наиболее  важных  причин  создания  политики  компьютерной
   безопасности  это  уверенность  в  том,  что  вложения в безопасность
   принесут  экономически  эффективную  выгоду.  Хотя это может казаться
   очевидным,  можно  ошибаться в том, где требуются вложения. Например,
   большое  внимание  общественности  уделяется  внешним  вторжениям   в
   компьютерные  системы;  но  большая  часть руководств по компьютерной
   безопасности указывает на то, что действительные потери от внутренних
   факторов гораздо выше.

   Анализ  угрозы  включает  определение  что,  от  кого и как требуется
   защищать.  Это  процесс  проверки всех возможных угроз и затем оценки
   этих  угроз  по  уровню  важности.  Этот  процесс  включает  принятия
   эффективных  решений  относительно  того, что вы хотите защищать. Как
   указано выше, вы не должны тратить много, чтобы защитить то, что само
   по себе стоит дешевле.

   Законченный  процесс  анализа  угроз  находится  за пределами данного
   документа.  [Fites  1989]  и  [Pfleeger  1989]  дают  введение в этот
   раздел.  В то же время существует два элемента анализа угроз, которые
   будут кратко раскрыты в следующих двух разделах:


   (1) Определение ресурсов
   (2) Определение угроз

   Для   каждого   ресурса  основной  целью  безопасности  является  его
   доступность,  конфиденциальность  и целостность. Каждая угроза должна
   быть рассмотрена как угроза затрагивающая эти области.


1.6.2  Определение ресурсов

   Один  из  шагов  анализа  угрозы  это  определение всего, что требует
   защиты.   Некоторые   вещи   являются  очевидными,  например  дорогая
   информация,  интеллектуальная собственность и различное оборудование;
   но  другие  часто  упускаются  -  например  сами  люди,  использующие
   систему.  Неотъемлемой деталью является перечисление всего, что может
   быть затронуто проблемой безопасности.

   Один  из  списков  категорий предложен Pfleeger [Pfleeger 1989]; этот
   список разработан на основе него:

   (1)  Оборудование: Процессоры, платы, клавиатуры, терминалы, рабочие
        станции,  персональные компьютеры, принтеры, диски, линии связи,
        терминальные серверы, маршрутизаторы.
   (2)  Программы:   исходные   тексты,   объектные   модули,  утилиты,
        диагностические       программы,      операционные      системы,
        коммуникационные программы.
   (3)  Данные:  во  время  выполнения,  хранимые  в  системе,  хранимые
        отдельно, резервные копии, журналы аудита, базы данных, во время
        перемещения в среде передачи данных.
   (4)  Люди: пользователи, администраторы, техники.
   (5)  Документация: по программам, оборудованию, системам, локальным
        процедурам администрирования.
   (6)  Расходные  материалы:  бумага,  лотки,  картриджы, магнитные
        носители.

1.6.3  Определение угроз

   После  определения  требующих  защиты ресурсов, необходимо определить
   угрозы  этим  ресурсам.  Угрозы  должны  быть  рассмотрены на предмет
   возможных  потерь.  Это  помогает  продумать,  какие ресурсы от каких
   угроз  вы  пытаетесь  защитить.  Ниже  приведены классические угрозы,
   которые  должны  быть  рассмотрены.  Для вашей организации могут быть
   выявлены   более  конкретные  угрозы,  которые  так  же  должны  быть
   определены и рассмотрены.

   (1) Несанкционированный доступ к ресурсам и/или информации
   (2) Нежелательное и/или несанкционированное раскрытие информации
   (3)  Отказ в обслуживании