1. 1.1. мета Цей документ створений для того, щоб допомогти організації створити узгоджену політику...
2. 1.3. основи Інтернету
3. 1.4. Навіщо розробляти політику безпеки для роботи в Інтернеті?
4. 1.5. Основні типи політики

1.1. мета

Наше деловое партнерство www.banwar.org

Цей документ створений для того, щоб допомогти організації створити узгоджену політику безпеки для роботи в Інтернеті. Він містить короткий огляд Інтернету та його протоколів. Він розглядає основні види використання Інтернету та їх вплив на політику безпеки. Крім того, в ньому є приклади політик безпеки для середовищ з низьким, середнім і високим рівнем загроз.

Читачі, яким потрібна більш загальна інформація про комп'ютерну безпеку, можуть прочитати NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.

Для кого цей текст?

This document was written for readers involved in policy issues at three distinct levels:

Цей документ був написаний для тих, хто бере участь в розробці політики безпеки на трьох рівнях:

• Особи з верхньої ланки управління організацією, яким потрібно розуміти деякі ризики і наслідки використання Інтернету, щоб вони могли раціонально розподілити ресурси і призначити відповідальних за ті чи інші питання.
• Начальники підрозділів організації, яким потрібно розробляти специфічні політики безпеки
• Адміністратори організації, яким потрібно розуміти, чому їм треба застосовувати ті чи інші програмно-апаратні засоби для захисту, і які причини використання організаційних заходів і правил роботи в Інтернеті, яким їм треба буде навчати користувачів Інтернету в організації.

1.3. основи Інтернету

Інтернет - це всесвітня "мережа мереж", яка використовує для взаємодії стек протоколів TCP / IP (Transmission Control Protocol / Internet Protocol). Інтернет був створений для полегшення взаємодії між організаціями, які виконують урядові замовлення. У 80-і роки до нього підключилися навчальні заклади, урядові агентства, комерційні фірми та міжнародні організації. У 90-і роки Інтернет переживає феноменальне зростання. Зараз до Інтернету приєднані мільйони користувачів, приблизно половина з яких - комерційні користувачі. Зараз Інтернет використовується як основа Національної Інформаційної Інфраструктури США (NII).

1.4. Навіщо розробляти політику безпеки для роботи в Інтернеті?

Хоча підключення до Інтернету і надає величезні вигоди через доступ до колосального обсягу інформації, воно ж є небезпечним для сайтів з низьким рівнем безпеки. Інтернет страждає від серйозних проблем з безпекою, які, якщо їх ігнорувати, можуть призвести до катастрофи для непідготовлених сайтів. Помилки при проектуванні TCP / IP, складність адміністрування хостів, вразливі місця в програмах, і ряд інших чинників в сукупності роблять незахищені сайти вразливими до дій зловмисників.

Організації повинні відповісти на наступні питання, щоб правильно врахувати можливі наслідки підключення до Інтернету в області безпеки:

• Чи можуть хакери зруйнувати внутрішні системи?
• Чи може бути скомпрометована (змінена або прочитана) важлива інформація організації при її передачі по Інтернету?
• Чи можна перешкодити роботі організації?

Все це - важливі питання. Існує багато технічних рішень для боротьби з основними проблемами безпеки Інтернету. Проте, всі вони мають свою ціну. Багато рішень обмежують функціональність заради збільшення безпеки. Інші вимагають йти на значні компроміси щодо легкості використання Інтернету. Треті вимагають вкладення значних ресурсів - робочого часу для впровадження і підтримки безпеки і грошей для покупки і супроводу обладнання та програм.

Мета політики безпеки для Інтернету - прийняти рішення про те, як організація збирається захищатися. Політика зазвичай складається з двох частин - загальних принципів і конкретних правил роботи (які еквівалентні специфічній політиці, описаної нижче). Загальні принципи визначають підхід до безпеки в Інтернеті. Правила ж визначають що дозволено, а що - заборонено. Правила можуть доповнюватися конкретними процедурами і різними посібниками.

Правда, існує і третій тип політики, який зустрічається в літературі з безпеки в Інтернеті. Це - технічний підхід. У цій публікації під технічним підходом будемо розуміти аналіз, який допомагає виконувати принципи і правила політики. Він, в основному, дуже технічний і складний для розуміння керівництвом організації. Тому він не може використовуватися так само широко, як політика. Проте, він обов'язковий при описі можливих рішень, що визначають компроміси, які є необхідним елементом при описі політики.

Щоб політика для Інтернету була ефективною, розробники політики повинні розуміти сенс компромісів, на які їм треба буде піти. Ця політика також не повинна суперечити іншим керівним документам організації. Дана публікація намагається дати технічним фахівцям інформацію, яку їм треба буде пояснити розробникам політики для Інтернету. Вона містить ескізний проект політики, на основі якого потім можна буде прийняти конкретні технічні рішення.

Інтернет - це важливий ресурс, який змінив стиль діяльності багатьох людей і організацій. Проте, Інтернет страждає від серйозних і широко поширених проблем з безпекою. Багато організацій було атаковано або зондувати зловмисниками, в результаті чого вони понесли великі фінансові втрати і втратили свій престиж. У деяких випадках організації були змушені тимчасово відключитися від Інтернету і витратили значні кошти на усунення проблем з конфігураціями хостів та мереж. Сайти, які необізнані або ігнорують ці проблеми, піддають себе ризику мережевої атаки зловмисниками. Навіть ті сайти, які впровадили у себе заходи щодо забезпечення безпеки, піддаються тим же небезпекам через появу нових уразливих місць в мережевих програмах і наполегливості деяких зловмисників.

Фундаментальна проблема полягає в тому, що Інтернет при проектуванні і не замислювався як захищена мережа. Деякими його проблемами в поточній версії TCP / IP є:

• Легкість перехоплення даних і фальсифікації адрес машин в мережі - основна частина трафіку Інтернету - це нешифровані дані. E-mail, паролі і файли можуть бути перехоплені, використовуючи легко доступні програми.
• Уразливість засобів TCP / IP - ряд засобів TCP / IP був спроектований бути захищеними і може бути скомпрометований кваліфікованими зловмисниками; засоби, що використовуються для тестування особливо уразливі.
• Відсутність політики - багато сайтів через незнання сконфігуровані таким чином, що надають широкий доступ до себе з боку Інтернету, не враховуючи можливість зловживання цим доступом; багато сайтів дозволяють роботу більшого числа сервісів TCP / IP, ніж їм потрібно для роботи і не намагаються обмежити доступ до інформації про своїх комп'ютерах, яка може допомогти зловмисникам.
• Складність конфігурації - засоби управління доступом хоста складні; часто складно правильно конфігурувати і перевірити ефективність установок. Засоби, які помилково неправильно сконфігуровані, можуть привести до неавторизованого доступу.

1.5. Основні типи політики

Термін Політика комп'ютерної безпеки має різний зміст для різних людей. Це може бути директива одного з керівників організації по організації програми комп'ютерної безпеки., Що встановлює її мети і призначає відповідальних за її виконання. Або це може бути рішення начальника відділу щодо безпеки електронної пошти або факсу. Або це можуть бути правила забезпечення безпеки для конкретної системи (це такі типи політик, про які експерти в комп'ютерній безпеці говорять, що вони реалізуються програмно-апаратними засобами і організаційними заходами). У цьому документі під політикою комп'ютерної безпеки будемо розуміти документ, в якому описані рішення щодо безпеки. Під це визначення підпадають всі типи політики, описані нижче.

При прийнятті рішень адміністратори стикаються з проблемою здійснення вибору на основі врахування принципів діяльності організації, співвідношення важливості цілей, і наявності ресурсів. Ці рішення включають визначення того, як будуть захищатися технічні й інформаційні ресурси, а також як повинні поводитися службовці в тих чи інших ситуаціях.

Необхідною елементом політики є прийняття рішення щодо даного питання. Воно поставить напрямок діяльності організації. Для того щоб політика була успішною, важливо, щоб було обгрунтовано вибрано один напрямок з декількох можливих.

Чи знаєте Ви,

що будь-яка розумна людина скаже, що не може бути посмішки без кота і диму без вогню, щось там, в космосі, мабуть, тепле, яке випромінює ЕМ-хвилі, який відповідає температурі 2.7ºК. Дійсно, спостерігається космічне мікрохвильове випромінювання (CMB) є теплове випромінювання частинок ефіру, що мають температуру 2.7ºK. Ще на початку ХХ століття великі хіміки і фізики Д. І. Менделєєв і Вальтер Нернст передбачили, що таке випромінювання (температура) має виявлятися в космосі. У 1933 році проф. Еріх регенера з Штуттгарта за допомогою стратосферних зондів виміряв цю температуру . Його вимірювання дали 2.8ºK - практично точне сучасне значення. Детальніше читайте в FAQ по ефірної фізиці .