Методы проектирования безопасности и меры и средства контроля и управления, связанные с сотрудниками, рассматриваются в таблице 3.
Для установленной угрозы безопасности, каждое свойство безопасности рассматривается для применения с целью снижения риска, во втором столбце приведен соответствующий пример технической реализации. Например, целостность, контроль доступа и аутентификация применяются для защиты от вредоносного программного кода.
Таблица 3 - Меры и средства контроля и управления безопасности для сценария доступа сотрудников к Интернету
| |
Применяемые свойства безопасности для идентифицированных угроз
| Реализуемые проекты и методы |
Вирусные атаки и введение вредоносных программ
|
- Целостность
- Управление доступом
- Аутентификация | - Предоставление сотрудникам Интернет-услуг, только соответствующих бизнесу. Использование черных списков авторизованных услуг, чтобы сделать возможной поправку в каналах чата, услугах веб-почты или одноранговых сетевых протоколах.
- Использование антивирусных программ на пути доступа к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен включать в себя все сетевые протоколы, разрешенные к применению. Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователь предупреждается о факте проведения обновлений.
- Использование антивирусного программного средства на всех клиентских системах, особенно на тех, которые используются сотрудниками для доступа к Интернету.
- Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ.
- Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты.
- Блокирование появляющихся окон и вэб-рекламы.
- Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности.
- Активное установление подлинности содержания.
|
Утечка информации
|
- Безопасность связи
- Целостность
- Управление доступом | - Реализация фильтров для мобильного кода на шлюзах доступа к Интернету.
- Прием мобильного кода только с некритичных сайтов, занесённых в белый список.
- Прием мобильного кода, подписанного цифровой подписью, только от доверенных органов сертификации или от доверенных поставщиков, включая соответствующие параметры настройки на стороне клиента, например, путем осуществления активного управления и реализации белого списка разрешенных органов сертификации, подписывающих код.
|
Несанкционированное использование и доступ
|
- Управление доступом
- Неотказуемость | - Предоставление служащим только соответствующих бизнесу Интернет-услуг. Использование черных списков неавторизованных услуг, например, каналов обмена информацией (текстового диалога) в реальном времени, или услуг веб-почты. Реализация фильтров для неавторизованных протоколов, например, одноранговых сетевых протоколов.
- Ограничения на использование услуг, которые беспрепятственно осуществляют передачу больших объемов данных.
- Обеспечение уверенности в проведении надлежащей регистрации и мониторинга в отношении всех услуг, которые допускают возможность передачи данных через Интернет.
- Четкое определение авторизованного и неавторизованного использования доступа к Интернету в специальной политике (см. примерную форму в приложении A).
- Обеспечение уверенности в осведомленности пользователей посредством соответствующего уровня образования и профессиональной подготовки.
|
Ответственность за несоблюдение нормативов
|
- Неотказуемость | - Использование записи событий, отметок времени.
- Осведомленность и профессиональная подготовка пользователей.
|
Снижение доступности сети связи
|
- Целостность
- Доступность | - Надлежащий менеджмент уязвимостей и исправления известных системных уязвимостей в рамках выделенного интервала времени, основанного на критичности уязвимости.
- В центре внимания менеджмента уязвимостей должны быть все системы приема Интернет-трафика, либо на транспортном, либо на прикладном уровне, включая все системы, используемые с учетом шлюзов по направлению к Интернету, а также системы конечного пользователя, используемые для доступа к Интернет-услугам, особенно, если они используют операционную систему Windows.
- Прерывание пропускной способности для потоковых мультимедийных средств (если только это разрешено политикой бизнеса).
- Сети и системные ресурсы должны быть проверены (IDS, журналы регистрации, аудиты и т.д.) на предмет обнаружения системных событий, событий безопасности и операционных событий
|
