logo
Predmet

58Защита информации в лвс, средства разграничения доступа пользователей к ресурсам сети.

Угрозой может быть любое лицо, объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда ЛВС. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п. Непосредственный вред, вызванный угрозой, называется воздействием угрозы.

Уязвимыми местами являются слабые места ЛВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к ЛВС.

Служба защиты является совокупностью механизмов защиты, поддерживающих их файлов данных и организационных мер, которые помогают защитить ЛВС от конкретных угроз. Например, служба аутентификации и идентификации помогает защитить ЛВС от неавторизованного доступа к ЛВС , требуя чтобы пользователь идентифицировал себя , а также подтвердил истинность своего идентификатора. Средство защиты надежно настолько, насколько надежны механизмы, процедуры и т.д., которые составляют его.

Защита ЛВС должна учитывать интересы и потребности организации в целом. Эта цель может быть достигнута только тогда, когда в решении задачи участвуют представители соответствующих отделов организации. Как минимум, в организации защиты должны принимать участие:

• Администраторы ЛВС несут ответственность за функционирование ЛВС. Администраторы ЛВС могут обеспечить группу оценку риска информацией о корректных параметрах конфигурации ЛВС, включая аппаратные средства ЭВМ, программное обеспечение, данные, и распределение функций ЛВС по ее компонентам. Администраторы ЛВС могут также указать непосредственные воздействия, которые могут произойти, если угроза будет реализована.

• Руководство организацией отвечает за поддержку политики безопасности ЛВС, обеспечивая финансирование требуемых служб безопасности и разрабатывая руководящие документы, гарантирующие достижение целей политики безопасности. Руководство организацией отвечает за правильную оценку долгосрочных последствий для организации реализации угрозы .

• Сотрудники службы безопасности отвечают за то, что политики безопасности организации разработаны и их придерживаются.

• Владельцы данных и приложений отвечают за гарантии того, что их данные и приложения адекватно защищены и доступны уполномоченным пользователям.

• Пользователи ЛВС отвечают за предоставление точной информации относительно используемых ими приложений, данных и ресурсов ЛВС.

Вышеупомянутый список включает тех лиц, которые участвуют в анализе риска для большинства компьютерных систем и приложений (за исключением администраторов ЛВС, если не имеется никакой сети). Специфика формирования группы оценки риска ЛВС заключается в том , что каждая группа, указанная выше, может включать не одного человека, а такое их число, которое позволяло бы учесть при анализе деятельность всех отделов организации, обслуживаемых ЛВС, все приложения, которое работают в ЛВС, и все разнообразные требования и указания, регламентирующие деятельность организации. Также должны быть учтены требования “владельца ЛВС” помимо учета потребностей всех владельцев данных и приложений.

Конечная цель эффективной полной защиты ЛВС не может быть достигнута, если с самого начала в этой группе не будет иметься сильный лидер. Например, организации, в которых отсутствует сильное централизованное управление ЛВС, могут столкнуться с трудностями при оценке потребностей в защите иерархическим способом, так как каждый местный администратор или владелец приложения будет рассматривать свои потребности как приоритетные по отношению к потребностям других администраторов и владельцев приложений, независимо от того, что показывают результаты анализа риска .

Первоначально, те люди в организации, которые отвечают за выполнение анализа риска, должны сделать некоторые предположения относительно предполагаемой глубины рассмотрения и границ анализа риска. На основе этой информации могут быть определены необходимые участники процесса анализа риска.

ОБЩИЕ ПРАВИЛА (ОП) РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС

ОП1. Каждый персональный компьютер должен иметь “владельца” или “ системного администратора “, который является ответственным за работоспособность и безопасность компьютера, и за соблюдение всех политик и процедур, связанных с использованием данного компьютера. Основной пользователь компьютера может выполнять эту роль. Эти пользователи должны быть обучены и обеспечены соответствующими руководствами так, чтобы они могли корректно соблюдать все политики и процедуры.

ОП2. Чтобы предотвратить неавторизованный доступ к данным ЛВС, программному обеспечению, и другим ресурсам, находящимся на сервере ЛВС, все механизмы защиты сервера ЛВС должны находиться под монопольным управлением местного администратора и местного персонала Администраторов ЛВС.

ОП3. Чтобы предотвратить распространение злонамеренного программного обеспечения и помочь выполнению лицензионных соглашений о программах, пользователи должны гарантировать, что их программное обеспечение должным образом лицензировано и является безопасным.

ОП4. За все изменения(замены) программного обеспечения и создание резервных копий данных на серверах отвечают Администраторы ЛВС.

ОП5. Каждому пользователю должен быть назначен уникальный ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ и начальный пароль (или другая информация для идентификации и аутентификации), только после того, как закончено оформление надлежащей документации. Пользователи не должны совместно использовать назначенные им ИДЕНТИФИКАТОРЫ ПОЛЬЗОВАТЕЛЯ.

ОП6. Пользователи должны аутентифицироваться в ЛВС перед обращением к ресурсам ЛВС.

ОП7. ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ должен удаляться после продолжительного периода неиспользования.

ОП8. Использование аппаратных средств ЛВС типа мониторов / регистраторов трафика и маршрут и заторов должно быть авторизовано и проводиться под контролем Администраторов ЛВС.

ОП9. Акт о Компьютерной безопасности 1987 года (P.L. 100-235)устанавливает, что “ Каждое агентство должно обеспечить обязательное периодическое обучение в области компьютерной безопасности и правил работы на компьютере, и принимать зачеты по правильности работы на компьютере всех служащих, кто участвует в управлении, использовании, или функционировании каждой Федеральной компьютерной системы, которая находится в зоне ответственности этого агентства”.

Служащие, ответственные за управление, функционирование и использование ЛВС XYZ должны пройти курс обучения в области компьютерной безопасности и правил работы на компьютере.

Обучение компьютерной безопасности должно проводиться в рамках существующих программ обучения, таких как программы ввода в строй для новых служащих, и курсов обучения, связанных с использованием информационных технологий.

ОП10. Отчеты о безопасности должны готовиться и рассматриваться ежедневно.