Положение о защите информации: документальное регламентирование правил и запретов для пользователей

В ПРОШЛОМ НОМЕРЕ, В СТАТЬЕ «СЕТЕВАЯ БЮРОКРАТИЯ» МЫ РАССМОТРЕЛИ ОСНОВНЫЕ КОНЦЕПЦИИ, СВЯЗАННЫЕ С ПОДГОТОВКОЙ ВНУТРИКОРПОРАТИВНЫХ ДОКУМЕНТОВ И ПОЛОЖЕНИЙ, РЕГЛАМЕНТИРУЮЩИХ ВЗАИМОДЕЙСТВИЕ ПОЛЬЗОВАТЕЛЕЙ И IT-СПЕЦИАЛИСТОВ. СЕГОДНЯ МЫ ПОГОВОРИМ ОБ ОДНОМ ИЗ ОСНОВНЫХ РЕГЛАМЕНТИРУЮЩИХ ДОКУМЕНТОВ – ПОЛОЖЕНИИ О ЗАЩИТЕ ИНФОРМАЦИИ. ОСНОВНЫМ РАЗДЕЛОМ ДАННОГО ДОКУМЕНТА (С ПРАКТИЧЕСКОЙ ТОЧКИ ЗРЕНИЯ) ЯВЛЯЕТСЯ СВОД ПРАВИЛ И ЗАПРЕТОВ ДЛЯ ПОЛЬЗОВАТЕЛЯ.

Интернет пейджеры, чат-программы, P2P-клиенты

Данные приложения не опасны сами по себе, но потенциально представляют несколько видов угроз для фирмы:

• Могут выступать в виде трудноконтролируемого канала утечки информации;
• Передача файлов через интернет-пейджер часто используется для распространения вредоносного ПО. Нередко подобные программы или ссылки на них рассылаются от имени пользователя зараженного компьютера;
• Непроизводственное расходование интернет-трафика и рабочего времени сотрудников.

Контраргументом со стороны пользователей обычно является удобство интернет-пейджеров для оперативного обсуждения тех или иных проблем. Решение по поводу разрешения или запрета интернет-пейджеров является нелегкой задачей, и давать конкретные рекомендации на этот счет весьма сложно. Моя практика показала, что чаще всего интернет-пейджеры применяются для непроизводственных задач, поэтому, к примеру, в «Смоленскэнерго» они были запрещены, и в положение о защите информации введена следующая формулировка: «пользователю запрещается эксплуатировать приложения, применяющие нестандартную передачу файлов или обмен информацией: т.н. чат-программы и интернет-пейджеры типа ICQ». Легко заметить, что под эту формулировку попадает и использование чат-программ, работающих в пределах сети. Это связано с прецедентами использования чата для предупреждения о деятельности службы безопасности, в частности, о проводимых проверках и инспекциях.

Обмен по электронной почте в обход корпоративного почтового сервера

Если организация использует корпоративный почтовый сервер, то рекомендуется запретить использование электронной почты в обход почтового сервера. Для подобного запрета существует несколько причин:

• На корпоративном почтовом сервере легко осуществить фильтрацию вредоносных программ. Почтовый ящик на некотором сервере в интернете может не иметь антивирусной защиты, как следствие, появляется угроза попадания вируса в ЛВС;
• Обмен электронной почтой через корпоративный сервер фиксируется в протоколах, которые несложно анализировать и обрабатывать. Работу с внешним почтовым ящиком (особенно через WEB-интерфейс) отслеживать намного сложнее.
  
  Следовательно, в положении о защите информации рекомендуется запретить сотрудникам пользоваться размещенными в интернете почтовыми ящиками. После утверждения положения необходимо применить технические меры – в частности, заблокировать поты 25 и 110 TCP на пограничном firewall. Подобная техническая мера дает два дополнительных преимущества:
• Блокируется работа практически всех известных спам-ботов по причине того, что в ходе рассылки спама они пытаются соединяться с серверами по порту 25 напрямую, используя встроенную реализацию SMTP-протокола. Аналогично поступают многие почтовые черви и троянские программы, отправляющие собранную на ПК пользователя информацию по почте.
• Мониторинг попыток обращения ПК пользователей в интернет по порту 25 позволит оперативно обнаруживать на них вредоносные программы.

USB-устройства

Бурное развитие рынка flash-накопителей, а также появление фотоаппаратов, сотовых телефонов и прочих устройств с USB-интерфейсом ставит перед службой безопасности сложную задачу – допускать или запрещать подключение подобного оборудования к ПК пользователей. Аргументы за запрет:

• Неконтролируемая утечка информации;
• Возможность установки постороннего программного обеспечения и проникновения вредоносных программ;
• Подключение оборудования, которое может угрожать безопасности сети; Классический пример – подключение мобильного телефона для выхода в интернет в обход корпоративного firewall и иных средств защиты.

Контраргументы:

• USB-накопитель де-факто становится аналогом дискеты;
• Применение USB-накопителей позволяет пользователю сохранять на нем копии важных документов.

Общий вывод таков – если на компьютере пользователя располагаются документы, являющиеся коммерческой тайной, то блокировка USB (и, соответственно, удаление дисководов, пишущих DVD-приводов и иных средств записи информации) является вполне оправданной мерой. Однако при этом следует учесть два важных фактора:

• В случае запрета на подключение внешних носителей информации необходимо блокировать не только USB, но и параллельный порт (применяемый для подключения устройств типа ZIP), последовательные порты (передача файлов через терминальные программы на другой компьютер);
• Необходимо опечатать корпус компьютера, чтобы исключить демонтирование жесткого диска или подключение дисковода/CD-RW привода.

В случае применения подобных мер в положение о защите информации рекомендуется включить пункт с формулировкой «запрещается нарушение пломб на корпусе компьютера и ином оборудовании, самостоятельное изменение аппаратной конфигурации компьютера».

Антивирусные программы

Важным моментом в положении о защите информации является пункт об антивирусной защите. Типовая формулировка имеет вид: «Запрещается эксплуатация компьютера, не оснащенного пакетом антивирусных и других защитных программ (агентов мониторинга и т.п.), который устанавливается и распространяется ИТ-отделом по указанию специалистов Службы безопасности. Пользователю запрещается создание любых помех в работе данного программного обеспечения, его самовольное отключение или конфигурирование». Легко заметить, что формулировка универсальна и в ней не указано конкретное программное обеспечение – как следствие, положение о защите информации не придется модифицировать в случае замены ПО.

Сетевые настройки

Сетевые настройки обычно задаются администратором сети, однако, моя практика показывает, что грамотные «продвинутые» пользователи нередко пытаются вмешаться в них или несанкционированно подключить к сети посторонний компьютер. Типовая формулировка положения имеет вид:

«Запрещается самостоятельное подключение компьютера к сети или изменение сетевых настроек подключенного к сети компьютера: имя компьютера, IP-адрес, MAC-адрес, параметры протоколов и т.п.».

Наличие данного пункта очень полезно для наказания местных «хакеров». Типовой пример инцидента: пользователь Х, зная сетевые параметры пользователя К, приносит домашний ноутбук, устанавливает на нем сетевой адрес и прочие настройки, и подключает его к сети (естественно, подключение ведется при выключенном компьютере пользователя К). Обычно подобные действия выполняются для несанкционированного подключения к интернету или иным ресурсам.

Типовые инциденты в локальной сети и их анализ

Рассмотрим ряд типовых инцидентов, характерных для корпоративных ЛВС. Важным моментом является то, что в большинстве рассмотренных инцидентов активным участником (и, соответственно, виновником) является так называемый «продвинутый» пользователь, имеющий привилегии для самостоятельной установки ПО на своем компьютере. Нередко в этой роли выступают молодые программисты или студенты-практиканты, получающие доступ к ЛВС на время практики. Описание данных инцидентов может помочь в ходе разработки собственного положения о защите информации в качестве аргументов, объясняющих появление того или иного запрета или правила. Кроме того, можно порекомендовать администраторам сети и специалистам по защите информации завести журнал инцидентов и фиксировать каждое нарушение с привязкой к пользователю. Подобная статистика позволяет не только выявить злостных нарушителей, но и послужить аргументом для руководства в случае закупки программных и аппаратных средств обеспечения безопасности.

Инцидент: Сотрудник X загружает из интернета и устанавливает утилиту для многопоточной закачки нескольких файлов из Сети. Желая побыстрее загрузить большое количество различных файлов, он создает список из десятков объектов и запускает их закачку в многопоточном режиме. В результате канал и прокси-сервер сильно загружены, и другие пользователи начинают жаловаться администраторам на низкую скорость работы Сети. Анализ протоколов позволяет выяснить причину и виновника данной ситуации.
Анализ: В данном случае в действиях сотрудника злого умысла нет, поскольку пользователь не подозревает о последствиях своих действий. Запрет на многопоточную закачку решает данную проблему, или, по крайней мере, дает повод наказать нарушителя, если он не подчинится требованиям службы безопасности.

Инцидент: Сотрудник X устанавливает бета-версию утилиты для многопоточной закачки файлов из интернета. В работе программы возникает сбой, и она начинает выдавать повторяющиеся запросы со скоростью порядка 700 в секунду. Это приводит к ситуации DoS на корпоративном прокси-сервере, он создает протоколы огромного размера, происходит значительный перерасход трафика.
Анализ: Как и в предыдущем случае, злого умысла сотрудника в данной ситуации нет, и наличие в положении о защите информации запрета на многопоточную закачку предупреждает подобные ситуации.

Инцидент: Сотрудник X инсталлирует сканер сетевой безопасности и применяет его для исследования соседних ПК или серверов. В реальном случае, который я расследовал, применялся XSpider, установленный одним из недавно принятых на работу программистов. После установки он включил все опции проверки на максимум и в качестве объекта сканирования избрал корпоративный сервер, отвечающий, в частности, за поддержание внутреннего интранет-сайта и обмен информацией с филиалами. В результате на сервере сработали средства обнаружения атак, и его работа замедлилась.
Анализ: Служебное расследование данного инцидента показало, что сотрудник выполнил эту операцию без злого умысла – ему просто хотелось изучить XSpider на практике, и он не задумывался о возможных последствиях. Однако данный случай не является показательным именно по причине отсутствия злого умысла – подобное сканирование может производиться с целью поиска уязвимостей и их последующей эксплуатации, и, как следствие, подобные действия должны немедленно детектироваться и пресекаться службой безопасности и администраторами сети. Соответственно, в положении о защите информации необходимо запретить пользователю все формы активного исследования сети, изучения ее топологии, а также проведение пробных атак и иных тестов для оценки защищенности одного или нескольких ПК.

Инцидент: Сотрудник X загружает из интернета утилиту для поиска в сети прокси-серверов и с ее помощью сканирует ЛВС. Опасности для сети это не представляет, однако исследование сети сотрудником, по роду деятельности не связанным с администрированием сети, выглядит крайне подозрительно.
Анализ: В данном случае возникает вопрос – для чего сотруднику потребовалась информация о том, существуют ли в сети прокси-серверы и доступны ли они для неавторизованной работы? Если в положении о защите информации присутствует пункт о запрете сканирования сети, значит, есть основание для пресечения подобных действий, проведения служебного расследования и наказания сотрудника.

Инцидент: В ходе плановой проверки на компьютере сотрудника X обнаружен снифер. Сотрудник утверждает, что применял его для повышения квалификации и самообразования, хотя при этом сотрудник X по служебным обязанностям никак не связан с программированием или администрированием сети.
Анализ: Перехват пакетов позволяет решать ряд задач, которые представляют угрозу для сети – например, сотрудник может перехватывать данные компьютеров своего отдела, отправляемые на серверы, что, в частности, позволяет получить их пароли или осуществлять скрытный сбор информации. В практике автора встречались случаи, когда сотрудники применяли специализированные сниферы, предназначенные для перехватов паролей и электронной почты. Запрет на их использование дает повод для служебного расследования и пресечения подобных действий.

Инцидент: В ходе сканирования сети на компьютере сотрудника X обнаружен прокси-сервер, допускающий неавторизованный доступ в интернет под учетной записью пользователя X.
Анализ: Подобная ситуация распространена в локальных сетях, где доступ в интернет предоставляется не всем сотрудникам. В этой ситуации нередко прокси устанавливает не сам сотрудник, а кто-то из его коллег. Типовая ситуация – выход в интернет разрешен только с ПК начальника отдела. Один из подчиненных скрыто устанавливает на его компьютер прокси-сервер и другие сотрудники начинают безконтрольно пользоваться интернетом. Нередко они загружают из Сети вредоносное ПО, и прокси-сервер обнаруживается в ходе служебного расследования.

Инцидент: Пользователь X устанавливает на свой компьютер специализированное ПО для работы с базой данных, предназначенное для администраторов и разработчиков. Изучив используемые на компьютерах других пользователей задачи и особенности их работы, он получает логин и пароль доступа к базе. Применяя установленные им средства администрирования, он подключается к базе данных и перекачивает информацию на свой компьютер.
Анализ: С одной стороны, пользователь подобными действиями не наносит ущерба базе данных – подключение к базе производится с правами пользователя, соответственно, привилегии минимальны. С другой стороны, это позволяет осуществить несанкционированную перегрузку данных из базы на клиентский компьютер. Защититься от подобных действий достаточно сложно – потребуется применение трехуровневой архитектуры приложений или специализированных средств защиты базы. Подобные действия должны однозначно пресекаться со стороны администраторов с обязательным наказанием пользователя вплоть до его увольнения и заведения уголовного дела.

Инцидент: Анализ протоколов показал, что пользователь X работал в ЛВС поздно вечером. Но на самом деле в это время сотрудник отсутствовал на рабочем месте.
Анализ: Оказалось, что сотрудник подключил к своему рабочему компьютеру модем и установил на своем ПК приложение для удаленного администрирования, что позволило ему подключаться к рабочей станции из дома. Данная ситуация представляет существенную опасность для ЛВС, и администраторы должны принять меры для обнаружения несанкционированной установки подобного оборудования.

Инцидент: В вечернее время были зафиксированы многочисленные попытки подключения к модемному пулу с различных телефонных номеров с использованием учетной записи пользователя X. Учетная запись позволяла пользователю работать в интернете и пользоваться электронной почтой.
Анализ: Служебное расследование показало, что дети сотрудника при помощи специализированных программ перехватили пароль, используемый при удаленном соединении, и затем поделились полученными параметрами с одноклассниками. Подобные действия в принципе попадают под статью УК РФ, но в данном случае ущерб не был нанесен, поэтому дело ограничилось блокировкой учетной записи пользователя. Однако данный случай очень показателен – подобная ситуация может возникнуть, если сотрудник подключатся к ЛВС с домашнего компьютера. Следовательно, по мере возможности администраторам следует избегать возможности удаленного подключения пользователей к сети, что нужно отразить в регламентирующих документах.

Инцидент: Сотрудник X проявляет повышенный интерес к информации, размещенной в открытых папках других ПК. Помимо исследования данных папок вручную, он устанавливает специальные программы типа LanSurfer и производит масштабное исследование всех открытых ресурсов.
Анализ: В ходе служебного расследования установлено, что сотрудник искал музыку и фильмы, однако подобная деятельность может быть нацелена на поиск конфиденциальной информации. Блокировать подобные действия можно положением о защите информации с одной стороны и техническими мероприятиями с другой. В частности, есть смысл запретить пользователям открывать папки для общего доступа, заменив их папками на сервере (соответственно, есть смысл сделать некий «обменник» и папки, доступные определенным группам пользователей) и обменом документами через системы документооборота или электронную почту. Кроме того, очень полезно организовать в сети компьютеры-ловушки с папками, открытыми для общего доступа. Исследование протоколов доступа к данным в этих папках позволяет службе безопасности своевременно вычислить сотрудников, проявляющих избыточный интерес к чужим данным.

Инцидент: Желая поздравить знакомых и сослуживцев с Новым Годом, сотрудница X подготовила список на несколько тысяч е-mail адресов. Затем с ее компьютера по этим адресам была инициирована рассылка письма с вложенным флеш-мультфильмом размером 1.5 Мб, что привело к перегрузке почтового сервера.
Анализ: Как и в большинстве рассмотренных случаев, злой умысел в действиях сотрудницы X отсутствовал. Интересно, что подготовка списков и рассылка велась вручную, без применения технических средств. Для исключения подобной ситуации необходимы правила использования электронной почты, которые необходимо довести до всех сотрудников с разъяснениями и примерами.

Регламентирование использования программного обеспечения, взаимодействующего с сетью

На основании рассмотренных выше инцидентов можно сформулировать типовую заготовку для раздела положения о защите информации с набором запретов:

Пользователю запрещается:

• установка программного обеспечения, взаимодействующего с локальной компьютерной сетью, сетью Интернет и электронной почтой, в том числе:
  - клиентского программного обеспечения, предназначенного для организации доступа к серверам баз данных;
  - средств администрирования серверов баз данных, WEB-серверов или средств маршрутизации;
  - программных или аппаратных систем маршрутизации пакетов, в том числе рroxy-серверов;
  - программных межсетевых экранов (FireWall);
  - серверов WINS и DHCP;
• организация на базе рабочего компьютера серверов удаленного доступа, установка дополнительного оборудования (модемы, сотовые телефоны, сетевые карты и т.п.) для доступа к другим сетям или компьютерам;
• открытие сетевого доступа к любым ресурсам операционной системы и установленного программного обеспечения;
• установка и использование программного обеспечения, осуществляющего:
  - реализацию активных клиентских мест интерактивных служб Интернет: информационных сайтов, служб новостей и погоды и т.п.;
  - обмен с использованием нестандартных высокоуровневых протоколов, не прошедших согласование и не зарегистрированных в базе данных протоколов, разрешенных к использованию;
  - мониторинг локальной сети или ее отдельных сегментов, анализ топологии компьютерной сети;
  - сканирование портов TCP/IP и воздействие на них, перехват и генерацию пакетов;
  - тестирование защищенности серверов и персональных компьютеров от хакерских атак и вирусов;
  - сканирование локальной сети с целью поиска открытых ресурсов;
  - атаку удаленного компьютера или сервера посредством передачи нестандартных пакетов, перебора паролей и т.п.;
  - нестандартную передачу файлов или обмен информацией: т.н. чат-программы и Интернет-пейджеры типа ICQ и т.п.;
  - многопоточную закачку информации из сети Интернет;
• Посещение конференций и сайтов непроизводственного назначения, в частности, хакерского, террористического, порнографического и игрового содержания, а также служб знакомств.

Данный список запретов пополнялся в течение нескольких лет, по мере накопления статистики инцидентов. Помимо указанных правил в рамках положения о защите информации или в виде отдельного документа необходимо описать правила работы с электронной почтой. В этих правилах необходимо оговорить ряд моментов, в частности:

• Содержание переписки. В правилах необходимо четко прописать, что электронную почту разрешается применять исключительно для решения производственных задач;
• Максимальный объем письма. Настоятельно рекомендуется задать некий лимит, например, 5-10 Мб на одно письмо и в настройках почтового сервера ввести соответствующее правило. Это важный момент – в практике автора встречались случаи, когда пользователь пытался отправить несжатый DBF-файл размером 600 Мб или 30-60 фотографий, по 4 Мб каждая;
• «Святые письма» и поздравления. Первые необходимо запретить (объяснив пользователю, что это такое), а по поводу поздравлений необходимо просто описать в правилах, что бывает, когда более тысячи пользователей почтового сервера в один день пытаются разослать по 100-200 писем с вложенными картинками.

Заключение

В данной статье мы рассмотрели типовые инциденты, на практике зафиксированные в корпоративной сети. На основании их анализа предложены заготовки, которые можно использовать в ходе разработки собственного положения о защите информации.

Обсуждение статьи

Логин: Пароль: Регистрации на сервере не требуется. Если у вас есть форумный логин, вы можете использовать его. Если нету, то вы можете зарегистрироваться на forum.itspecial.ru Обсуждение этой статьи на forum.itspecial.ru Для отправки сообщения введите код, указанный на картинке Заголовок Сообщение Guest guest@gameland.ru Отправлено: 11.10.2010 5:05:01 RE: Положение о защите информации: документальное регламентирование правил и запретов для пользователей Pure White GHD Benefit ghd ghd Mini Styler Kiss GHD Pink GHD Pure Black GHD Rare GHD cheap ghds Cheap ghd straighteners Ghd ghd straighteners Benefit ghd ghd Mini Styler Pink GHD Pure Black GHD Pure White GHD Rare GHD cheap ghds Cheap ghd straighteners Страницы: << 1 >>

Теги: документация, защита

Keywords: zPOSTz zSECURITYz z10035z
Для Авторов: edit delete