Разработка политики безопасности организации в свете новейшей нормативной базы

Архитектура Параметры расширения

Расширение Параметры редактора локальной групповой политики является частью средств диспетчера конфигурации безопасности, как показано на следующей схеме.

Архитектура Параметры безопасности

Средства настройки и анализа параметров безопаснос

Средства настройки и анализа параметров безопасности включают движок конфигурации безопасности, который предоставляет локальный компьютер (не доменный член) и конфигурацию на основе групповой политики и анализ политик параметров безопасности. Движок конфигурации безопасности также поддерживает создание файлов политики безопасности. Основными функциями двигателя конфигурации безопасности являются scecli.dll и scesrv.dll.

В следующем списке описываются основные функции двигателя конфигурации безопасности и других Параметры связанных компонентов.

  • scesrv.dll

    Этот .dll находится в services.exe и выполняется в локальном контексте системы. scesrv.dll обеспечивает основные функции диспетчера конфигурации безопасности, такие как импорт, настройка, анализ и распространение политики.

    Scesrv.dll выполняет конфигурацию и анализ различных параметров системы безопасности, вызывая соответствующие API системы, включая LSA, SAM и реестр.

    Scesrv.dll предоставляет API, такие как импорт, экспорт, настройка и анализ. Он проверяет, что запрос выполнен по LRPC (Windows XP) и не удается вызвать, если это не так.

    Связь между частями расширения Параметры безопасности происходит с помощью следующих методов:

    • Вызовы компонентной объектной модели (COM)
    • Локальный вызов удаленной процедуры (LRPC)
    • Протокол доступа к облегченным каталогам (LDAP)
    • Интерфейсы служб Active Directory (ADSI)
    • Блок сообщений сервера (SMB)
    • API Win32
    • Windows Вызовы инструментов управления (WMI)

    На контроллерах домена scesrv.dll уведомления об изменениях, внесенных в SAM и LSA, которые необходимо синхронизировать между контроллерами домена. Scesrv.dll эти изменения включаются в GPO политики контроллера домена по умолчанию с помощью APIscecli.dll изменения шаблонов. Scesrv.dll также выполняет операции настройки и анализа.

  • Scecli.dll

    Это клиентский интерфейс или оболочка для scesrv.dll. scecli.dll загружается в Wsecedit.dll для поддержки оснастки MMC. Он используется установкой для настройки системной безопасности и безопасности файлов, ключей реестра и служб, установленных файлами API установки .inf.

    Командная версия конфигурации безопасности и анализ пользовательских интерфейсов secedit.exe использует scecli.dll.

    Scecli.dll реализует клиентскую расширения для групповой политики.

    Scesrv.dll использует scecli.dll для скачивания применимых файлов групповой политики из SYSVOL для применения параметров безопасности групповой политики на локальном устройстве.

    Scecli.dll записи применения политики безопасности в WMI (RSoP).

    Scesrv.dll политики использует scecli.dll для обновления GPO политики контроллера домена по умолчанию при внесении изменений в SAM и LSA.

  • Wsecedit.dll

    Расширение Параметры редактора объектов групповой политики. Этот инструмент используется для настройки параметров безопасности в объекте групповой политики для сайта, домена или организационного подразделения. Вы также можете использовать Параметры безопасности для импорта шаблонов безопасности в GPO.

  • Secedit.sdb

    Это постоянная база данных системы, используемая для распространения политики, включая таблицу настойчивых параметров для целей отката.

  • Базы данных пользователей

    База данных пользователей — это любая база данных, помимо системной базы данных, созданной администраторами для настройки или анализа безопасности.

  • . Шаблоны Inf

    Это текстовые файлы, содержащие декларативные параметры безопасности. Они загружаются в базу данных перед настройкой или анализом. Политики безопасности групповой политики хранятся в файлах .inf в папке SYSVOL контроллеров домена, где они загружаются (с помощью копии файлов) и сливаются в базу данных системы во время распространения политики.

Видео

Методы оценки [ ]

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия ?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Предполагаемые ущербы [ ]

Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :

Величина ущерба Описание
Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме
1 Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2 Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
3 Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4 Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы.
5 Фирма прекращает существование

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :

Вероятность Средняя частота появления
Данный вид атаки отсутствует
1 реже, чем раз в год
2 около 1 раза в год
3 около 1 раза в месяц
4 около 1 раза в неделю
5 практически ежедневно

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Разработка эффективной системы информационной безопасности

Для создания эффективной системы информационной безопасности должны быть разработаны:

  • концепция информационной безопасности (определяет в целом политику, ее принципы и цели);
  • стандарты (правила и принципы защиты информации по каждому конкретному направлению);
  • процедура (описание конкретных действий для защиты информации при работе с ней: персональных данных, порядка доступа к информационным носителям, системам и ресурсам);
  • инструкции (подробное описание того, что и как делать для организации информационной защиты и обеспечения имеющихся стандартов).

Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.

Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.

Что должно содержаться в корпоративной политике безопасности

Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.

В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.

Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.

Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.

Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии:

  • «Исследование снизу вверх». Этот метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника
  • «Исследование сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности)

Теги