актуальной, отражала текущее, а не прошлое, состояние дел, причем отражала
в непротиворечивом виде.
К хранению некоторых документов
(содержащих, например, анализ системных уязвимостей и угроз) применимы
требования обеспечения конфиденциальности, к другим, таким как план восстановления
после аварий - требования целостности и доступности (в критической ситуации
план необходимо найти и прочитать).
Регламентные работы - очень
серьезная угроза безопасности. Лицо, осуществляющее регламентные работы,
получает исключительный доступ к системе, и на практике очень
трудно
проконтролировать, какие именно действия совершаются. Здесь на первый план
выходит степень доверия к тем, кто выполняет работы.
Реагирование на нарушения
режима безопасности
Программа безопасности, принятая организацией,
должна предусматривать набор оперативных мероприятий, направленных на
обнаружение и нейтрализацию нарушений режима информационной безопасности.
Важно, чтобы в подобных случаях последовательность действий была спланирована заранее,
поскольку меры нужно принимать срочные и скоординированные.
Реакция на нарушения режима
безопасности преследует три главные цели:
·
локализация инцидента и уменьшение наносимого вреда;
·
прослеживание нарушителя;
·
недопущение повторных нарушений.
В организации должен быть человек,
доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте),
отвечающий за реакцию на нарушения. Все должны знать координаты этого человека
и обращаться к нему при первых признаках опасности. В общем, нужно действовать,
как при пожаре: знать, куда звонить, и что делать до приезда пожарной команды.
Важность быстрой и
скоординированной реакции можно продемонстрировать на следующем примере. Пусть
локальная сеть предприятия состоит из двух сегментов, администрируемых разными
людьми. Пусть, далее, в один из сегментов был внесен вирус. Почти наверняка
через несколько минут (или, в крайнем случае, несколько десятков минут) вирус
распространится и на другой сегмент. Значит, меры нужны немедленные. Далее,
вычищать вирус нужно одновременно в обоих сегментах; в противном случае
сегмент, вычищенный первым, заразится от другого, а затем вирус вернется и во
второй сегмент.
Нередко требование локализации
инцидента и уменьшения наносимого вреда вступает в конфликт с желанием
проследить нарушителя. В политике безопасности организации должны быть заранее
расставлены приоритеты. Поскольку, как показывает практика, на успешное
прослеживание не так уж много шансов, на наш взгляд, в первую очередь следует
заботиться об уменьшении ущерба.
Для прослеживания нарушителя нужно
заранее выяснить контактные координаты поставщика сетевых услуг и договориться
с ним о самой возможности и порядке выполнения соответствующих действий. Более
подробно данная тема освещена в статье Н. Браунли и Э. Гатмэна "Как
реагировать на нарушения
Главная / безопасность пк / методы защиты информации 