Внедрение тотальной политики безопасности

Политика безопасности жизненно важна для вашей компании с точки зрения взаимоот- ношений между вами и вашими заказчиками, а также играет ключевую роль при созда- нии собственных средств восстановления информации и ее последующей защиты,

Поскольку защита конфиденциальных данных ваших заказчиков критически важна для онлайнового бизнеса, и вы должны приложить максимум усилий для выявления как можно большего числа брешей в системе защиты. Вы должны также разработать план восстановления системы после атак или возникновения других проблем, которые могут воздействовать на ваш сайт.

Хотя в последующих главах мы обсудим методы анализа политики безопасности более детально, вы должны прямо сейчас, с момента прочтения этого раздела, приступить к обдумыванию свой политики безопасности. В Главе 9, где мы анализировали процесс проектирования, уже обсуждались вопросы документирования разработок сайта. Ваша политика безопасности должна быть включена в состав этой документации как состав- ная часть, причем едва ли не самая важная в пакете документов, которые вы подготавли- ваете для проекта создания сайта.

При создании политики безопасности учтите одно предостережение Бесспор- но, вы должны обсудить со своими заказчиками методы и уровень защиты ин- формации, реализованные на вашем сайте. Однако ваша политика безопасно- сти в целом не должна быть общедоступной. Почему?

Представьте, что вы включили в документ по политике безопасности все, что относится к защите вашего сайта и сервера. Далее вы опубликовали весь документ в Web для все- общего ознакомления. Этот документ, конечно, может впечатлить множество людей своими многочисленными мероприятиями по организации защиты, которые вы реализо- вали в своей политике безопасности. Но он также и навлечет на вас целую ораву креке- ров, которые сбегутся к вам со всей Web, чтобы бросить ваш сайт к своим ногам и огре- сти себе добычу.

Ваша политика безопасности может содержать информацию, которая совершенно не предназначена людям вне вашей группы. Например, вы вряд ли захотите, чтобы крекеры знали в точности, как вы регистрируете попытки крекеров проникнуть в систему. Также вы вряд ли захотите, чтобы крекеры узнали о типе применяемого вами шифрования или где хранятся шифрованные файлы.

Повторяем, ваша политика безопасности жизненно важна, но держите ее описание по- дальше от посторонних глаз, чтобы крекеры не использовали полученные знания против вас самих.

При подготовке своей политики безопасности вы должны принять во внимание сообра- жения, обсуждаемые в нескольких следующих подразделах.

Предсказание возможных атак

  • Во-первых, решите, какого типа атаки реально угрожают вашему сайту,
  • Предположим, что ваш сайт подсоединен к Web, поэтому сайту потенциально угрожают атаки отказа в обслуживании и фальсификации страниц сайта. Что еще может случиться?
  • Какие типы атак реально угрожают вашему серверу? Всей вашей системе?
  • Кто имеет доступ к вашей системе? Какой тип доступа предоставляется пользователям?
  • Какие потайные проходы вы заглушили?
  • Насколько изолирована ваша информация?

Меры зашиты

Далее рассмотрим методы зашиты. Повторяем, что все обсуждаемые далее вопросы бо- лее подробно рассмотрены в следующих нескольких главах, но вы должны прямо сейчас обдумать включение приведенной далее информации в свою политику безопасности:

  • Используете ли вы средство шифрования, наилучшее из всех доступных?
  • Какие протоколы защиты вы используете на своем сайте Web? Какие протоколы зашиты вы используете на своем сервере?
  • Используете ли вы брандмауэр? Если да, то какого типа?
  • Применяете ли вы аутентификацию пользователей? Какого типа?
  • Архивируете ли вы свою информацию? Где хранится ваш архив?
  • Предприняли ли вы меры физической защиты для предотвращения «физических» краж аппаратуры, носителей информации и так далее? Устранили ли вы риск потери информации вследствие стихийных бедствий, отключений электроэнергии, и тому подобных происшествий?
  • Используете ли вы систему выявления вторжений? Какого типа? Как часто эта система выполняет контрольные проверки, и используется ли в системе автоматическое оповещение о выявленном вторжении?
  • Сделали ли вы недоступными опасные команды и инструменты, такие, например, как rm или setuid?
  • Включили ли в свой план защиты пункт, требующий изоляции конфиденциальных данных с целью их защиты от крекеров, желающих разрушить весомую порцию вашей информации?

Планирование восстановления

Как вы собираетесь восстанавливать систему, поврежденную какой-либо атакой или из-за появления какой-то другой проблемы?

• Как долго вы будете восстанавливать разрушенные или потерянные данные? Нужно ли для этого доставлять носитель информации из физически удаленного хранилища, или для этого можно использовать электронные методы доставки?

• Если ваш диск (диски) будет разрушен, как вы сохраните работоспособность вашего сервиса? Что вы собираетесь делать для устранения такого побочного эффекта любой аварии, как отказ в обслуживании? Имеет ли ваша система достаточные резервы, чтобы деловая жизнь вашей компании после аварии продолжалась обычным образом?

• Какие у вас имеются подручные средства для восстановления и повторного запуска системы в обычный режим функционирования?

• Какие у вас имеются подручные средства защиты системы от повторных атак или возникновения каких-то других проблем?

• Какие у вас имеются подручные средства для идентификации злоумышленников, нарушивших нормальное функционирование системы?

• Какой объем информации, относящейся к атакам и другим проблемам, вы собирае- тесь опубликовать?

Используя свои ответы на поставленные выше вопросы, вы, без сомнения, сможете получить массу информации, полезной для включения в свою политику безопасности. Но при этом вы должны принять очень важное решение: какую долю этой информации следует открыть для общего доступа? Не забывайте о юридических аспектах каждой публикации, а также о том, какой вред может принести эта информация вашему бизнесу, Также не забудьте о необходимости скрывать детали своих методов восстановления, защиты и выявления вторжений, поскольку крекеры могут, и будут использовать эти сведения при подборе ключиков к вашей системе в последующих атаках.

Продолжение темы:

Полезная информация