разработка предложений по правовой поддержке юридической значимости электронных документов.
1. Опишите угрозы безопасности для персонального компьютера руководителя районного узла электросвязи, подключенного в локальную вычислительную сеть
Угрозой может быть любое лицо, объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда ЛВС (локальная вычислительная сеть). Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п. Непосредственный вред, вызванный угрозой, называется воздействием угрозы.
Уязвимыми местами являются слабые места ЛВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к ЛВС.
2. Разработайте политику безопасности
Информация, используемая в ЛВС РУЭС, является критической для выполнения организацией своих задач. Размер и сложность ЛВС в пределах увеличилась и теперь она обрабатывает критическую информацию. Из-за этого должны быть реализованы определенные меры и процедуры безопасности для защиты информации, обрабатываемой в ЛВС. ЛВС обеспечивает разделение информации и программ между большим числом пользователей. Эта среда увеличивает риск безопасности и требует более сильных механизмов защиты, чем те, что были бы необходимы при работе на отдельно стоящих ПК. Эти усиленные требования к защите в вычислительной среде РУЭСа послужили причиной появления этой политики, которая касается использования ЛВС.
Эта политика имеет две цели. Первая - подчеркнуть для всех служащих важность безопасности в среде ЛВС и явно указать их роли при поддержании этой безопасности. Вторая - установить определенные обязанности по обеспечению безопасности данных и информации, и самой ЛВС.
Все автоматизированные информационные ценности и службы, которые используются локальной вычислительной сетью , охватываются этой политикой. Она одинаково применима к серверам ЛВС, периферийному оборудованию, автоматизированным рабочим местам и персональным компьютерам (ПК) в пределах среды ЛВС РУЭСа. Ресурсы ЛВС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к ЛВС, включая всех служащих РУЭС, поставщиков и работающих по контракту, которые используют ЛВС.
Цели программы защиты информации состоят в том, чтобы гарантировать целостность, доступность и конфиденциальность данных, которые должны быть достаточно полными, точными, и своевременными, чтобы удовлетворять потребности, не жертвуя при этом основными принципами, описанными в этой политике. Определяются следующие цели:
Гарантировать, что в среде ЛВС обеспечивается соответствующая безопасность, соответствующая критичности информации и т.д.;
Гарантировать, что безопасность является рентабельной и основана на соотношении стоимости и риска, или необходимо удовлетворяет соответствующим руководящим требованиям;
Гарантировать, что обеспечена соответствующая поддержка защиты данных в каждой функциональной области;
Гарантировать индивидуальную подотчетность для данных, информации, и других компьютерных ресурсов, к которым осуществляется доступ;
Гарантировать проверяемость среды ЛВС;
Гарантировать, что служащие будут обеспечены достаточно полными руководствами по распределению обязанностей относительно поддержания безопасности при работе в автоматизированной информационной системе;
Гарантировать, что для всех критических функций ЛВС имеются соответствующие планы обеспечения непрерывной работы, или планы восстановления при стихийных бедствиях;
Гарантировать что все соответствующие федеральные и организационные законы, указы и т.д. учтены и их твердо придерживаются.
Следующие группы сотрудников несут ответственность за внедрение и достижение целей безопасности, сформулированных в этой политике. Детальные обязанности представлены в Обязанностях по Обеспечению Защиты ЛВС
1. Функциональное руководство (ФР) - те служащие, кто несет ответственность согласно своим функциональным обязанностям (не в области компьютерной безопасности),а внутри РУЭС. Функциональное Руководство отвечает за информирование сотрудников относительно этой политики, гарантию того, что каждый сотрудник имеет ее копию, и взаимодействие со всеми служащими по проблемам безопасности.
2. Администраторы ЛВС (АД) - служащие, кто участвуют в ежедневном управлении и поддержании работоспособности ЛВС. Они отвечают за обеспечение непрерывного функционирования ЛВС. Администраторы ЛВС отвечают за осуществление соответствующих мер защиты в ЛВС в соответствии с политикой безопасности ЛВС
3. Местные Администраторы (МА) - служащие, которые являются ответственными за предоставление конечным пользователям доступа к необходимым ресурсам ЛВС, которые размещены на серверах, входящих в их зону ответственности. Местные администраторы отвечают за обеспечение защиты своих серверов - в соответствии с политикой безопасности ЛВС.
4. Конечные пользователи (П) - являются любыми служащими, которые имеют доступ к ЛВС. Они отвечают за использование ЛВС в соответствии с политикой безопасности ЛВС. Все пользователи данных отвечают за соблюдение специфических политик безопасности, установленных теми лицами, кто несет основную ответственностью за защиту тех или иных данных, и за доклад руководству о любом подозрении на нарушение защиты.
Отказ соблюдать эту политику может подвергнуть информацию недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в ЛВС . Нарушения стандартов, процедур или руководств, поддерживающих эту политику, будут привлечь внимание руководства и могут привести к дисциплинарной ответственности вплоть до увольнения со службы.
3. Выберите технические средства и разработайте регламент работы, которые помогут реализовать политику безопасности
Использование ЛВС связано с риском. Термин "управление риском" обычно используется для обозначения процесса определения риска, применения мер и средств защиты для сокращения риска, и определения после этого, приемлем ли остаточный риск . Управление риском преследует две цели: измерение риска (оценка риска) и выбор соответствующих мер и средств защиты, сокращающих риск до приемлемого уровня (уменьшение риска). Проблемы, которые должны быть решены при оценке защищенности ЛВС, включают:
1. Ценности - Что должно быть защищено?
2. Угрозы - От чего необходимо защищать ценности и какова вероятность того, что угроза реализуется?
3. Воздействия - Каковы будут непосредственные разрушения после реализации угрозы (например, раскрытие информации, модификация данных)?
4. Последствия - Каковы будут долгосрочные результаты реализации угрозы (например, ущерб репутации организации, потеря бизнеса)?
5. Меры защиты - Какие эффективные меры защиты (службы безопасности и механизмы) требуются для защиты ценностей?
6. Риск - После реализации мер защиты приемлем ли остаточный риск?
Цель оценки риска состоит в том, чтобы определить риск для ЛВС. Процесс оценки риска проводится в два шага. На первом шаге определяют границы ЛВС для анализа, требуемую степень детализации описания ЛВС при оценке и методологию, которая будет использоваться. На втором шаге проводится анализ риска. Анализ риска может быть разбит на идентификацию ценностей, угроз и уязвимых мест, оценку вероятностей, и измерение риска.
Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск в ЛВС стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск является недопустимо большим; выбора наиболее эффективных средств защиты; оценивания мер защиты и определения, приемлем ли остаточный риск в ЛВС.
Организации могут выбирать различные методологии управления риском. При этом организация должна выбрать подход, наиболее действенный именно для нее.
Оценка риска
1. Определение степени детализации, границ анализа и методологии.
2. Идентификация и оценка ценностей.
3. Идентификация угроз и определение вероятности.
4. Измерение риска.
Уменьшение риска
5. Выбор соответствующих средств защиты.
6. Внедрение и испытания средств защиты.
7. Проверка остаточного риска.
Этап 1 - Определение степени детализации, границ и методологии
Этот процесс определяет направление, в котором будут прилагаться усилия при управлении риском. Он определяет, что из ЛВС (граница) и с какой детальностью (степень детализации) должно рассматриваться в процессе управления риском. Граница будет определять те части ЛВС, которые будут рассматриваться. Граница может включать ЛВС в целом или части ЛВС, такие, как функции коммуникаций данных, функции сервера, приложения, и т.д. Факторами, которые будут определять положение границы при анализе, могут быть границы владения ЛВС или управления ею. Включение в анализ части ЛВС, управляемой из другого места, может привести к необходимости совместного анализа, который может дать неточные результаты. Эта проблема подчеркивает необходимость сотрудничества между организациями, совместно владеющими или управляющими частями ЛВС, а также приложениями или информацией, обрабатываемой в ней.