Возможность оптимизации инфраструктуры: процедуры обеспечения безопасности — переход с базового уровня на стандартизованный
На этой странице
.gif){kind=icon}
Введение
Требование: политики безопасности, оценка рисков, реагирование на инциденты и защита данных
Контрольная точка: политики безопасности, оценка рисков, реагирование на инциденты и защита данных
Введение
Процедуры обеспечения безопасности — ключевой элемент оптимизации инфраструктуры. Безопасность обязательно следует учитывать при проектировании всех процедур и технологий, входящих в модель оптимизации инфраструктуры. В приведенной ниже таблице указаны высокоуровневые проблемы, способы их решения и преимущества перехода на стандартизованный уровень процесса обеспечения безопасности.
Проблемы |
Решения |
Преимущества |
|---|---|---|
Проблемы бизнеса Системы являются сложными, несовместимыми, дорогостоящими и предоставляют ограниченный набор служб Проблемы ИТ Отсутствие совместимых или безопасных удаленных служб или веб-служб Отсутствие необходимых стандартных политик безопасности Несогласованная идентификация устройств, подключенных к сети Нехватка ИТ-политик и автоматизированных процессов |
Проекты Разработка согласованных процессов выявления и устранения проблем с безопасностью на всех устройствах, подключенных к сети Разработка согласованной политики безопасности для всех устройств, подключенных к сети Обновление ОС и инфраструктуры до последних версий Разработка плана проверки текущего программного обеспечения на предмет соответствия требованиям безопасности |
Преимущества для бизнеса Конечные пользователи получают услуги в соответствии с соглашением об уровне обслуживания и могут обратиться за поддержкой в случае возникновения проблем, что способствует повышению производительности работы Преимущества для ИТ-отдела Степень риска для безопасности известна и поддается управлению Реагирование на инциденты становится более предсказуемым и эффективным Благодаря предупредительным мерам по обеспечению безопасности повышается надежность защиты данных и устройств |
Стандартизованный уровень оптимизации требует, чтобы в организации были определены процедуры управления рисками, управления инцидентами и реагирования на них, а также тестирования программного обеспечения.
Требование: политики безопасности, оценка рисков, реагирование на инциденты и защита данных
Аудитория
Ознакомьтесь с этим разделом, если в организации нет готовых планов создания политик безопасности, оценки рисков, реагирования на инциденты и защиты данных.
Обзор
Большинству организаций известно, насколько важно защищать данные и ресурсы от утраты и повреждения вследствие краж, ошибок пользователей или компьютеров, действий злоумышленников и т. д. Для снижения риска ущерба можно предпринять определенные действия. Кроме того, можно разработать специальные политики и процедуры, позволяющие ослабить негативное влияние инцидентов на ИТ-среду и повысить эффективность реагирования на них.
Этап 1: оценка
На этапе оценки следует определить потребности организации в средствах обеспечения безопасности и процессы, используемые в ней в настоящее время. Потребности в средствах обеспечения безопасности могут существенно различаться в зависимости от отрасли, сферы деятельности, размера организации, местных законов и других факторов. Анализ потребностей организации позволяет выбрать наиболее подходящие процедуры обеспечения безопасности.
Этап 2: определение
На этапе определения производится проверка средств и процедур, которые в настоящее время используются в организации, и определяются требования организации к безопасности. На этом этапе выполняется сбор данных о применяемых в настоящее время политиках безопасности, а также используемых или имеющихся технологических компонентах. Кроме того, выясняются внешние требования, основанные на местных или отраслевых законах или нормах.
Этап 3: ознакомление и планирование
На этапе ознакомления и планирования при переходе на стандартизированный уровень оптимизации определяются области, в которых возможны улучшения.
Политики безопасности
Чтобы выработать набор эффективных политик безопасности и средств управления, необходимо определить уязвимости компьютерных систем и пересмотреть политики безопасности и средства управления, защищающие эти системы. Кроме пересмотра имеющихся политик следует уделить внимание тем областям, где политики отсутствуют. Вот некоторые из этих областей:
политики физической безопасности компьютеров, такие как физический контроль доступа;
политики безопасности сети (например политики использования электронной почты и Интернета);
политики безопасности данных (контроль доступа и целостности);
планы и тесты восстановления систем после инцидентов и критических сбоев;
информирование о способах обеспечения безопасности и обучение им;
политики управления безопасностью компьютеров и ее координирования;
соответствие приобретаемого программного обеспечения требованиям.
В организации должен быть сотрудник, ответственный за пересмотр и поддержку политик безопасности и разработку стратегии безопасности.
Подробные сведения о разработке политик безопасности см. на веб-странице, доступной по адресу https://www.microsoft.com/technet/security/bestprac/bpent/sec1/secstrat.mspx.
Оценка рисков
Формальный процесс управления рисками, связанными с безопасностью, позволяет компаниям добиться высокой экономической эффективности с известным и приемлемым уровнем риска. Кроме того, организации, в которых разработан этот процесс, получают в свое распоряжение согласованный ясный способ систематизации ограниченных ресурсов и их классификации по степени важности, что облегчает управление рисками. Преимущества управления рисками проявляются после внедрения экономически эффективных средств управления, позволяющих снизить риск до приемлемого уровня.
Существует множество методик оценки рисков и определения их приоритетов, однако большинство этих методик основаны на одном из двух следующих подходов или являются их сочетанием:
количественная оценка рисков;
качественная оценка рисков.
Количественная оценка рисков
При количественной оценке рисков определяется истинная ценность всех бизнес-активов, отраженная в стоимости их замены, убытках в результате снижения эффективности работы, ущербе для репутации компании и других прямых и косвенных показателях ценности бизнеса. Этот анализ позволяет получить следующие сведения:
денежная ценность активов;
полный список значительных угроз;
вероятность реализации каждой угрозы;
возможные убытки компании за 12 месяцев при реализации каждой угрозы;
рекомендуемые защитные меры, средства управления и действия.
Качественная оценка рисков
Качественная оценка рисков обычно проводится в форме опросов и совместных семинаров с участием сотрудников из различных групп организации, например специалистов по информационной безопасности, сотрудников и руководителей ИТ-отдела, владельцев и пользователей бизнес-активов и руководителей высшего звена.
Участники этих семинаров составляют перечень активов и оценивают их относительную ценность. Затем они пытаются предсказать возможные угрозы для каждого актива и определить, какие виды уязвимостей делают возможной реализацию этих угроз. Специалисты по информационной безопасности и системные администраторы обычно предлагают группе на рассмотрение меры контроля, снижающие риски, указывая стоимость каждой из них.
Наконец, результаты анализа затрат и выгод представляются на рассмотрение руководству.
Подробные сведения об этих подходах к оценке рисков см. на веб-странице, доступной по адресу https://www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/srsgch01,mspx.
Реагирование на инциденты
При нарушении безопасности у ИТ-специалистов может сложиться впечатление, что времени достаточно только для получения контроля над ситуацией, выяснения сути произошедшего и максимально быстрого восстановления пострадавших систем. Некоторые из них могут попытаться выяснить истинную причину проблемы, но при крайней ограниченности ресурсов даже это может оказаться непозволительной роскошью. Несмотря на то что такой реактивный подход может оказаться эффективным, его упорядочение может помочь организации любого размера эффективнее использовать имеющиеся ресурсы. Грамотное планирование позволяет предупреждать нарушения безопасности.
Реактивный подход
Необходимо уделять внимание всем нарушениям безопасности, чтобы свести к минимуму их влияние на организацию и ее данные. Описанные ниже меры помогут быстро и эффективно справляться с нарушениями безопасности.
Защита жизни и обеспечение безопасности людей.
Если компьютеры, безопасность которых нарушена, управляют работой систем жизнеобеспечения, возможно, их отключать нельзя.Изоляция ущерба.
Защитите важные данные, программное обеспечение и оборудование как можно быстрее. Изоляция компьютеров и серверов, безопасность которых нарушена, может привести к перерывам в работе компьютерных служб, однако если этого не сделать, могут пострадать другие активы. Следует довериться своей интуиции. Если используется политика оценки рисков, принимать подобные решения будет проще.Оценка ущерба.
Немедленно создайте копии данных, хранящихся на жестких дисках, на всех серверах, которые были атакованы, и сохраните эти копии для последующего судебного разбирательства. Затем оцените ущерб. Как только ситуация взята под контроль и созданы копии данных, следует как можно скорее определить масштаб ущерба, причиненного атакой.Определение причины ущерба.
Чтобы определить происхождение атаки, необходимо понять, какие ресурсы были целью атаки и какие уязвимости использовались для получения доступа к службам или нарушения их работы. Проверьте конфигурацию системы, установленные исправления, системные журналы, журналы аудита и аудиторские следы на компьютерах, непосредственно подвергшихся атаке, а также на устройствах, которые осуществляли маршрутизацию трафика на эти компьютеры.Устранение ущерба.
В большинстве случаев очень важно как можно быстрее устранить ущерб, возобновить нормальную работу компании и восстановить данные, утраченные при атаке. Планы и процедуры обеспечения непрерывной работы компании должны включать стратегию восстановления.Пересмотр политик реагирования и обновления.
После завершения этапов документирования и восстановления необходимо тщательно пересмотреть этот процесс. Совместно со своей рабочей группой определите, что было сделано правильно и какие ошибки были допущены.
Упреждающий подход
Упреждающий подход к управлению рисками имеет множество преимуществ перед реагирующим подходом. Вместо того чтобы ждать неприятностей, а затем реагировать на них, можно свести к минимуму вероятность их возникновения. Следует создать план защиты важных активов организации путем внедрения средств контроля, снижающих риск использования уязвимостей вредоносными программами, злоумышленниками или в результате ошибочных действий пользователей.
Эффективный упреждающий подход помогает значительно уменьшить количество нарушений безопасности, которые могут возникнуть в будущем. Однако полное исчезновение таких проблем маловероятно. Поэтому следует продолжать совершенствование процессов реагирования на инциденты и при этом разрабатывать долгосрочные упреждающие подходы к решению этой проблемы.
При разработке плана реагирования на инциденты необходимо принять во внимание как реактивные, так и упреждающие сценарии. Описанные выше реактивные действия должны быть дополнены планированием упреждающих мер. Ниже указаны основные области, на которые следует обратить внимание при разработке упреждающего подхода.
Определение бизнес-активов.
Выясните, какой ущерб может причинить организации атака, направленная на тот или иной актив.
Определение уязвимостей в системе безопасности, которые могут быть использованы при атаке.
Выясните, как свести к минимуму риск атаки, реализовав соответствующие меры контроля.
Защита данных
Одной из важнейших задач ИТ-отдела является обеспечение безопасности данных компании. Для перехода на стандартизованный уровень защиты данных следует выполнить некоторые действия.
Установите на всех компьютерах средства защиты от вирусов. (См. выше раздел "Антивирусные программы для настольных компьютеров" этого руководства).
Определите согласованные политики классификации конфиденциальных данных.
Нужно разработать согласованные процессы идентификации проблем и угроз безопасности, из-за которых могут быть раскрыты конфиденциальные данные компании.
Полное обсуждение безопасности данных см. на веб-странице, доступной по адресу https://www.microsoft.com/technet/security/bestprac/bpent/sec3/datasec.mspx.
Этап 4: развертывание
На этапе развертывания в процесс обеспечения безопасности вносятся проанализированные и одобренные улучшения. Важно выполнить проверку практичности изменений, поскольку это способствует повышению строгости политики безопасности, и проводить периодические "пожарные" учения для проверки эффективности процессов защиты данных.
Дополнительные сведения
Дополнительные сведения о разработке планов реагирования на инциденты см. на веб-странице, доступной по адресу https://www.microsoft.com/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx.
Контрольная точка: политики безопасности, оценка рисков, реагирование на инциденты и защита данных
|
Требование |
|---|---|
Лицо, ответственное за стратегию и политику безопасности. |
|
|
Установленная методология оценки рисков. |
|
Утвержденный план реагирования на инциденты. |
|
Установленный процесс управления удостоверениями пользователей, устройств и служб. |
|
Установленный последовательный процесс идентификации уязвимостей в системе безопасности с учетом всех подключенных к сети устройств. |
|
Утвержденная последовательная политика безопасности для сетевых устройств. |
|
Утвержденная последовательная политика классификации данных. |
.gif)
Если приведенные выше инструкции выполнены, организация отвечает минимальным требованиям стандартизованного уровня в отношении политики безопасности, оценки рисков, реагирования на инциденты и защиты данных.
Следуйте дополнительным рекомендациям, приведенным на веб-узле центра безопасности Microsoft TechNet.
Перейдите к следующему вопросу самостоятельной оценки.