p>
- дії з управління необхідно ретельно узгоджувати із загальними вимогами до забезпечення безпеки інфраструктури обробки інформації.
не маловажно частиною даної методики є контроль доступу до системи.
Контроль мережевого доступу
Метою даного контролю є захист мережевих сервісів.
Доступ, як до внутрішніх, так і до зовнішніх мережевих сервісів повинен бути контрольованим. Це необхідно для впевненості в тому, що користувачі, які мають доступ до мереж і мережевих сервісів, що не компрометують їх безпеку, забезпечуючи:
- відповідні інтерфейси між мережею організації та мережами, що належать іншим організаціям, або загальнодоступними мережами;
- відповідні механізми аутентифікації щодо користувачів та обладнання;
- контроль доступу користувачів до інформаційних сервісів.
Політика щодо використання мережевих служб
Несанкціоновані підключення до мережних служб можуть порушувати інформаційну безпеку цілої організації. Користувачам слід забезпечувати безпосередній доступ тільки до тих сервісів, в яких вони були авторизовані. Контроль доступу, зокрема, є необхідним для мережевих підключень для користувачів, що знаходяться в зонах високого ризику, наприклад, у громадських місцях або за межами організації - поза сферою безпосереднього управління і контролю безпеки з боку організації.
Слід передбачати заходи безпеки відносно використання мереж та мережевих сервісів. При цьому повинні бути визначені:
- мережі і мережеві послуги, до яких дозволений доступ;
- процедури авторизації для визначення кому, до яких мереж і мережевих сервісів дозволений доступ;
- заходи і процедури щодо захисту від несанкціонованого підключення до мережевих сервісів.
Необхідно, щоб ці заходи узгоджувалися з вимогами системи щодо контролю доступу.
Контроль мережевих з'єднань
Вимоги політики контролю доступу для спільно використовуваних мереж, особливо тих, які простягаються за кордону організації, можуть зажадати запровадження додаткових заходів щодо управління інформаційною безпекою, щоб обмежувати можливості користувачів по приєднанню. Такі заходи можуть бути реалізовані за допомогою мережевих шлюзів, які фільтрують трафік за допомогою певних таблиць або правил.
Необхідно, щоб застосовувані обмеження грунтувалися на політиці і вимогах доступу до додатків, а також відповідним чином підтримувалися і оновлювалися.
Управління маршрутизацією мережі.
Мережі спільного використання, особливо ті, які простягаються за кордону організації, можуть вимагати реалізації заходів щодо забезпечення інформаційної безпеки, щоб під'єднання комп'ютерів до інформаційних потоків не порушували політику контролю доступу до додатків. Це є особливо важливим для мереж, спільно використовуваних з користувачами третьої сторони (ні співробітниками організації).
Забезпечення інформаційної безпеки при здійсненні маршрутизації грунтується на надійному механізмі контролю адрес джерела і призначення повідомлення. Перетворення мережних адрес також дуже корисно для ізоляції мереж і запобігання поширенню маршрутів від мережі однієї організації в мережу іншої. Цей підхід може бути реалізований як програмним способом, так і апаратно. Необхідно, щоб фахівці, що займаються впровадженням, були обізнані про характеристики використовуваних механізмів.
Контроль доступу до операційної системи
Метою контроль доступу до операційної системи є запобігання неавторизованого доступу до комп'ютерів.
На рівні операційної системи слід використовувати засоби інформаційної безпеки для обмеження доступу до комп'ютерних ресурсів. Ці кошти повинні забезпечувати:
а) ідентифікацію та верифікацію комп'ютера користувача і, якщо необхідно, терміналу та місцезнаходження кожного авторизованого користувача;
б) реєстрацію успішних і невдалих доступів до системи;
в) аутентифікацію відповідного рівня. Якщо використовується система парольного захисту, то вона повинна забезпечувати якісні паролі:
г) обмеження часу під'єднання користувачів, у разі потреби.
У загальному алгоритмі управління багатокомпонентної системою можна виділити п'ять взаємопов'язаних етапів: аналіз емпіричних даних, визначення збитку, визначення ймовірності атаки, визначення ризику і шансу, оцінка ефекту і вибір методології захисту.
Висновок
