- обеспечение функционирования маркера доступа или карточки только с опознавательным счетом пользователя (предпочтительно с учетной записью ПК и места/точки доступа), а также любого личного идентификационного номера (PIN) или биометрического профиля;
- использование проверки линии вызывающего оператора;
- использование линий связи через модемы, разъединенные в режиме ожидания и соединяемые только после проверки идентичности вызывающего оператора.
13.3.4 Дистанционная идентификация системы
В соответствии с 13.3.3 аутентификацию следует совершенствовать путем проверки системы (и ее местоположения/точки доступа), из которой осуществляется внешний доступ.
Разные сетевые структуры могут предлагать разные виды идентификации. Следовательно, организация может совершенствовать идентификацию путем выбора подходящей структуры сети. При этом следует принимать во внимание все защитные возможности выбранной структуры сети.
13.3.5 Единичный пароль безопасности
В случае вовлечения сетевых соединений пользователи могут столкнуться с многократными проверками идентификации и аутентификации. В этом случае у пользователей может возникнуть желание осуществлять рискованные действия, такие как запись паролей или повторное применение одних и тех же данных аутентификации. Единичное предъявление пароля может уменьшить риски такого поведения путем уменьшения числа паролей, которые пользователи должны помнить. Вместе с уменьшением рисков возможно повышение производительности труда пользователя и снижение нагрузки на пульт, с которого осуществляется повторный ввод паролей.
Следует заметить, что последствия нарушений в системе единичного предъявления пароля могут быть серьезными, так как не одна, а многие системы и приложения поставлены на грань риска и открыты для дискредитации (иногда такой риск называют "ключами в королевство").
Поэтому необходимо задействовать более совершенные механизмы идентификации и аутентификации. В целях обеспечения безопасности организация может исключить из режима единичного предъявления пароля высокопривилегированные функции идентификации и аутентификации (на системном уровне).
13.4 Результаты аудита
Важно обеспечить эффективность безопасности сети через обнаружение, расследование и составление отчетов инцидентов безопасности. Следует записывать подробную информацию по результатам аудита ошибочных и адекватных событий, чтобы иметь возможность составлять тщательный анализ потенциальных и фактических инцидентов безопасности. Однако следует признать, что запись огромных объемов связанной с аудитом информации может затруднить проведение анализа и неблагоприятно повлиять на проведение аудита. Поэтому необходимо определить период времени, в течение которого следует отслеживать действия пользователей в контрольном журнале.
Большинство контрольных мер защиты, касающихся сетевых соединений и связанных с ними систем ИТ, могут быть установлены в соответствии с ИСО/МЭК 13335-4. Что касается сетевых соединений, то важно обеспечить возможность аудита следующих типов событий:
- попытки дистанционной неудачной регистрации при входе в систему с указанием даты и времени;
- события неудачной повторной аутентификации (или применения средства идентификации);
- нарушения трафика через шлюз обеспечения безопасности;
- сигналы опасности в системе управления с вовлечением защиты (например дублирование IP-адреса, нарушения в схеме однонаправленного канала передачи данных).
Результаты аудита могут содержать конфиденциальную информацию или сведения, которыми могут воспользоваться для вторжения в систему через сетевые соединения. Более того, сведения о результатах аудита могут служить доказательством передачи данных по сети в случае появления разногласий. Поэтому результаты аудита особенно необходимы в контексте обеспечения целостности и подтверждения отправки/приема информации. Следовательно, все результаты аудита следует защищать надлежащим образом.
13.5 Обнаружение вторжения
С увеличением числа соединений в сети облегчается проникновение в нее по следующим причинам:
- увеличивается число путей проникновения в системы ИТ организации и сети;
- появляется возможность вскрытия первоначального места доступа;
- становится возможен доступ через сети и целевые внутренние системы ИТ.
Нарушители становятся более искушенными и применяют более эффективные методы атак, а средства проникновения все более доступны в Интернете или общедоступной литературе. Многие из этих средств автоматизированы, могут быть очень эффективными и простыми для применения, в том числе для лиц с небольшим опытом работы.
Для большинства организаций экономически невозможно предотвратить все потенциальные вторжения. Следовательно, некоторые вторжения возможны. Риски, связанные с большинством вторжений, могут быть снижены путем реализации надежной идентификации и аутентификации, логического контроля доступа, системы учета и аудита защитных мер в дополнение к возможности обнаружения вторжения. Такую возможность обеспечивают те средства, которые позволяют прогнозировать вторжения, выявлять их в реальном масштабе времени и давать соответствующие сигналы тревоги. Появляется также возможность локального сбора информации о вторжениях с последующим ее объединением и анализом, а также изучение схем нормального поведения/использования ИТ организации.
Во многих случаях может быть очевидной возможность некоторого несанкционированного или нежелательного события. На эту возможность может указывать небольшое ухудшение в услугах по совершенно неопределенным причинам или большое число доступов в несвойственное время, или отказ предоставления каких-либо специальных услуг. В большинстве случаев важно как можно быстрее узнать причину, масштабность и последствия вторжения.
Следует заметить, что упомянутая выше возможность вторжения является более сложной, чем инструментарий анализа результатов аудита и методы по 13.4 и соответствующему разделу ИСО/МЭК 13335-4. Более эффективные возможности обнаружения вторжения связаны с применением специального послеоперационного контроля, при котором применяются правила автоматического анализа прошлых действий, зарегистрированных в результатах аудита и в других контрольных журналах для того, чтобы прогнозировать вторжения, а также анализируются результаты ревизий известных примеров злонамеренной деятельности или деятельности, не характерной для сложившейся практики.
Более подробно эти вопросы изложены в ИСО/МЭК 15947.
13.6 Предохранение от злонамеренного кода
Пользователям необходимо знать, что злонамеренный код может быть введен в их сетевое окружение через сетевые соединения. Злонамеренный код не может быть обнаружен до нанесения ущерба, если не применять адекватные защитные меры. Злонамеренный код может подорвать защитные меры обеспечения безопасности (например путем перехвата и раскрытия паролей), привести к непреднамеренному раскрытию или изменению информации, уничтожению данных и/или несанкционированному использованию системных ресурсов.
Некоторые формы злонамеренного кода могут быть обнаружены и удалены с помощью специального сканирующего программного обеспечения. В аппаратно-программные средства межсетевой защиты, серверы файлов, серверы почты и рабочие станции для защиты от некоторых типов злонамеренного кода могут быть включены сканеры. Для обнаружения нового злонамеренного кода важно поддерживать сканирующее программное обеспечение на должном уровне путем, по меньшей мере, еженедельного обновления. Однако пользователям и администраторам следует понимать, что нельзя полагаться только на сканеры для обнаружения всех злонамеренных кодов (или конкретного типа), так как постоянно появляются новые типы злонамеренных кодов. Как правило, требуются другие защитные меры для улучшения безопасности, осуществляемые с помощью сканеров (при их наличии).
Пользователям и администраторам систем, использующих сетевые соединения, следует понимать, что риски, связанные со злонамеренным программным обеспечением, увеличиваются, если имеешь дело с внешними сторонами через внешние линии связи. Для пользователей и администраторов следует разработать руководства, в которых в общих чертах намечены процедуры и практические действия, направленные на уменьшение возможности ввода злонамеренного кода.
Пользователям и администраторам следует обращать особое внимание на конфигурацию конкретных системы и приложения, связанных с сетевыми соединениями для отключения функций, которые не нужны в конкретных обстоятельствах (например, приложения ПК следует конфигурировать так, чтобы макросы блокировались по умолчанию или требовалось подтверждение пользователя до их выполнения).
Подробно о злонамеренном коде см. ИСО/МЭК 13335-4.
13.7 Управление безопасностью сети
Управление любой сетью следует осуществлять с учетом обеспечения и поддержания ее безопасности, что может быть выполнено при должном рассмотрении имеющихся в наличии и относящихся к службам обеспечения безопасности сетевых протоколов.
В организации следует предусмотреть ряд защитных мер, рассмотренных в ИСО/МЭК 13335-4. Кроме того, все порты дистанционной диагностики, виртуальные или физические, следует защитить от несанкционированного доступа.
13.8 Межсетевые переходы безопасности
Правильное расположение межсетевых переходов безопасности позволит защищать внутренние системы организации, безопасно управлять и контролировать текущий трафик в соответствии с подтвержденной документами политикой безопасного межсетевого доступа к услугам.
Межсетевые переходы безопасности предназначены для:
- разделения логических сетей;
- обеспечения ограничения и анализа функций по информации, проходящей между логическими сетями;
- обслуживания организации в качестве средства управления доступом в сеть этой организации и выходом из нее;
- проведения в жизнь политики организации в области обеспечения безопасности, касающейся сетевых соединений;
- предоставления одного места для регистрации с целью входа в систему.
Для каждого межсетевого перехода безопасности следует разработать отдельный документ, определяющий политику (безопасности) доступа к услугам, и реализовать его для каждого соединения для того, чтобы гарантировать прохождение через это соединение только разрешенного трафика. Должна быть создана возможность определения допустимых соединений отдельно в соответствии с протоколом связи и другими деталями. Для обеспечения доступа через соединение только законных пользователей и действительного трафика в политике доступа к услугам следует сформулировать и подробно описать ограничения и правила применительно к трафику, проходящему в обе стороны через каждый межсетевой переход обеспечения безопасности, а также определить параметры управления трафиком и его конфигурацию.
Всем межсетевым переходам безопасности следует предоставить возможность для полного использования идентификации и аутентификации, логического контроля доступа и средств аудита. Кроме того, их следует периодически проверять на несанкционированное вторжение в программное обеспечение и/или данные, а при обнаружении таковых составлять отчеты в соответствии со схемой действий организации при обработке инцидентов.
Следует обращать внимание на то, что присоединение к сети должно осуществляться только после проверки соответствия выбранного межсетевого перехода требованиям организации. Все риски в результате такого соединения должны быть под надежным контролем. Следует гарантировать невозможность присоединения, минуя межсетевой переход безопасности.
13.9 Конфиденциальность обмена данными по сетям
Если важно сохранить конфиденциальность, следует рассмотреть криптографические способы защиты для шифрования информации, проходящей через сетевые соединения. Решение о применении криптографических мер защиты следует принимать с учетом: