23.11.2021
Специальная публикация NIST (Национального института стандартов и технологий США) 800-12 «Введение в информационную безопасность» (часть 8)

8 Обеспечение безопасности при поддержке и эксплуатации системы

Поддержка системы и операции относятся ко всем аспектам работы системы. Это включает в себя как системное администрирование, так и задачи, внешние по отношению к системе, которые поддерживают ее работу (например, ведение документации). Это не включает в себя планирование или дизайн системы. Поддержка и работа любой системы - от локальной сети для трех человек до всемирного приложения, обслуживающего тысячи пользователей - критически важны для поддержания безопасности системы. Поддержка и операции - это рутинные действия, которые позволяют системам работать правильно. К ним относятся решение проблем с программным или аппаратным обеспечением, установка и обслуживание программного обеспечения, а также помощь пользователям в решении проблем.

Неспособность рассматривать безопасность как часть поддержки и функционирования систем может нанести ущерб организации. Литература по системам информационной безопасности включает примеры того, как организации подрывали свои зачастую дорогостоящие меры безопасности из-за плохой документации, старых учетных записей пользователей, конфликтующего программного обеспечения или плохого контроля за обслуживающими учетными записями. Политика и процедуры организации часто не решают многие из этих важных вопросов. Некоторые основные категории включают:

• Поддержка пользователей;

• Программное обеспечение;

• Управление конфигурацией;

• Резервные копии;

• Средства управления медиа;

• Документация; а также

• Обслуживание

Несмотря на то, что цели системной поддержки и эксплуатации и информационной безопасности тесно связаны, между ними есть различие. Основная цель поддержки и эксплуатации системы - непрерывная и правильная работа системы, тогда как цели информационной безопасности системы включают конфиденциальность, доступность и целостность.

В этой главе рассматриваются действия по поддержке и эксплуатации, непосредственно связанные с безопасностью. Каждый элемент управления, обсуждаемый в этой публикации, так или иначе зависит от поддержки системы и операций. Однако в этой главе основное внимание уделяется областям, не охваченным в других главах. Например, оперативный персонал обычно создает учетные записи пользователей в системе. Эта тема рассматривается в разделе 10.7.

Точно так же вклад вспомогательного и операционного персонала в программу обучения и повышения осведомленности о безопасности рассматривается в разделе 10.2.

8.1 Поддержка пользователей

Во многих организациях поддержка пользователей осуществляется через соответствующую службу. Они могут поддерживать всю организацию, подразделение, определенную систему или их комбинацию. Для небольших систем системный администратор обычно обеспечивает прямую поддержку пользователей.

Опытные пользователи обеспечивают неформальную поддержку пользователей в большинстве систем. Поддержка пользователей нередко тесно связана со способностью организации реагировать на инциденты.

Важным аспектом безопасности для персонала службы поддержки пользователей является возможность распознать, какие проблемы (доведенные до их сведения пользователями) связаны с безопасностью. Например, неспособность пользователей войти в систему может быть результатом отключения их учетных записей из-за слишком большого количества неудачных попыток доступа. Это может указывать на присутствие злоумышленников, пытающихся угадать пароль пользователя.

В целом, персонал службы поддержки системы и эксплуатации должен уметь выявлять проблемы безопасности, правильным образом реагировать и информировать соответствующих лиц. Может существовать широкий спектр возможных проблем безопасности; некоторые будут внутренними для пользовательских приложений, тогда как другие будут применяться к готовым продуктам. Кроме того, проблемы могут быть программными или аппаратными.

Чем более отзывчивым и осведомленным будет персонал службы поддержки и эксплуатации системы, тем меньше будет неформальной поддержки пользователей. Поддержка других пользователей может быть полезной, но они могут не знать обо всех проблемах в организации или о том, как они связаны.

8.2 Поддержка программного обеспечения

Программное обеспечение является сердцем системных операций организации, независимо от размера и сложности всей системы. Поэтому очень важно, чтобы программное обеспечение работало правильно и было защищено от повреждений. Есть много элементов программной поддержки.

Первый элемент - это контроль того, какое программное обеспечение используется в системе. Если пользователи или системный персонал могут устанавливать и запускать любое программное обеспечение в системе, система более уязвима для вирусов, неожиданного взаимодействия с программным обеспечением и ПО, которое может нарушить или обойти меры безопасности. Одним из методов управления программным обеспечением является проверка или тестирование программного обеспечения перед его установкой (например, определение совместимости с пользовательскими приложениями, выявление других непредвиденных взаимодействий).

Это может относиться к новым программным пакетам, обновлениям, готовым продуктам или к специализированному программному обеспечению, если это будет сочтено целесообразным. Помимо управления установкой и запуском нового программного обеспечения, организации также контролируют настройку и использование мощных системных утилит. Системные утилиты могут нарушить целостность операционных систем и логических средств управления доступом.

Вторым элементом поддержки программного обеспечения может быть гарантия того, что программное обеспечение не было изменено без надлежащей авторизации. Это включает в себя защиту программного обеспечения и резервных копий и может быть выполнено с помощью комбинации логического и физического контроля доступа. Многие организации также включают программу для обеспечения надлежащего лицензирования программного обеспечения, если это необходимо. Например, организация может проверять системы на наличие незаконных копий программного обеспечения, защищенного авторским правом. Эта проблема в первую очередь связана с пользовательскими системами (или устройствами), но может относиться к любому типу системы.

8.3 Управление конфигурацией

С поддержкой программного обеспечения тесно связано управление конфигурацией - процесс отслеживания и утверждения изменений в системе. Управление конфигурацией может быть формальным или неформальным и обычно касается оборудования, программного обеспечения, сети и других изменений. Основная цель безопасности при управлении конфигурацией - гарантировать, что изменения в системе не приведут к непреднамеренному или неосознанному снижению безопасности. Могут использоваться некоторые из методов, обсуждаемых в разделе «Поддержка программного обеспечения» (например, такие как проверка и тестирование изменений программного обеспечения). В главе 7 обсуждаются другие методы.

Обратите внимание, что цель безопасности - знать, какие изменения происходят, а не предотвращать изменение безопасности. Могут возникнуть обстоятельства, при которых снижение безопасности будет сочтено приемлемым риском из-за необходимости выполнения миссии. В таких случаях снижение безопасности основано на решении уполномоченного должностного лица, которое учло все соответствующие факторы. Более того, возникающий в результате рост риска отслеживается на постоянной основе.

Вторая цель безопасности управления конфигурацией - гарантировать, что изменения в системе отражены в другой документации, такой как план действий в чрезвычайных ситуациях. Если изменение является серьезным, может потребоваться повторный анализ безопасности системы частично или полностью. Это обсуждается в разделе 10.15.

8.4 Резервное копирование

Персонал службы поддержки и эксплуатации, а иногда и пользователи выполняют резервное копирование программного обеспечения и данных. Эта функция имеет решающее значение для планирования на случай непредвиденных обстоятельств. Частота резервного копирования зависит от того, как часто меняются данные и насколько важны эти изменения. Проконсультируйтесь с системными администраторами, чтобы определить подходящий график резервного копирования. Кроме того, важно проверить, действительно ли можно использовать резервные копии. Наконец, надежно храните резервные копии (обсуждается ниже).

8.5 Управление медиа

Средства контроля медиа включают в себя различные меры по обеспечению физической защиты и защиты от воздействия, а также ответственности за цифровые и нецифровые медиа. Примеры цифровых носителей включают дискеты, магнитные ленты, внешние/съемные жесткие диски, флэш-накопители, компакт-диски и цифровые видеодиски. Примеры нецифровых носителей включают бумагу и микрофильмы. С точки зрения безопасности средства управления мультимедиа предназначены для предотвращения потери конфиденциальности, целостности или доступности информации, включая данные или программное обеспечение, при хранении или распространении вне системы. Это может включать хранение информации до ее ввода в систему и после ее вывода.

Степень управления мультимедиа зависит от многих факторов, включая тип данных, количество мультимедиа и характер пользовательской среды. Физическая защита и защита окружающей среды используются для предотвращения несанкционированного доступа к носителю и защиты от таких факторов, как жара, холод или вредные магнитные поля. При необходимости регистрация использования отдельных носителей (например, картриджа с магнитной лентой) обеспечивает подробную отчетность, чтобы организации могли привлекать уполномоченных лиц к ответственности за свои действия. Дополнительные сведения о защите носителей см. в разделе 10.10.

8.6 Документация

Документация по всем аспектам поддержки и операций системы важна для обеспечения непрерывности и согласованности. Формализация рабочих практик и процедур с достаточной детализацией помогает устранить упущения и упущения в области безопасности, дает новому персоналу достаточно подробные инструкции и обеспечивает функцию обеспечения качества, чтобы гарантировать, что операции выполняются правильно и эффективно.

Также документируются конкретные детали реализации безопасности системы. Сюда входят многие типы документации, такие как планы безопасности, планы действий в чрезвычайных ситуациях, анализ рисков, а также политики и процедуры безопасности. Большая часть этой информации, особенно анализ рисков и угроз, должна быть защищена от несанкционированного раскрытия. Документация по безопасности также должна быть актуальной и доступной. Доступность учитывает особые факторы, такие как необходимость найти план действий в чрезвычайных ситуациях во время бедствия.

Некоторая документация по безопасности может потребоваться разработать для удовлетворения потребностей различных системных ролей. По этой причине многие организации разделяют документацию на политики и процедуры. Руководство по процедурам безопасности может быть написано для информирования пользователей системы о том, как безопасно выполнять свою работу. Для системного персонала и вспомогательного персонала в руководстве по процедурам безопасности может быть подробно рассмотрен широкий спектр технических и эксплуатационных проблем.

8.7 Техническое обслуживание

Для обслуживания системы требуется физический или логический доступ к системе. Систему могут обслуживать сотрудники службы поддержки и эксплуатации, поставщики оборудования или программного обеспечения или сторонние поставщики услуг. Техническое обслуживание может выполняться на месте или удаленно через коммуникационные соединения. Также может потребоваться переместить оборудование на ремонтную площадку для обслуживания. Если кто-то, у кого обычно нет доступа к системе, выполняет техническое обслуживание, возникает уязвимость системы безопасности.

В некоторых случаях может потребоваться принятие дополнительных мер предосторожности (например, проверка биографических данных обслуживающего персонала) для предотвращения некоторых проблем, таких как «слежение» за физической зоной. Однако, как только кто-то получает доступ к системе, очень сложно контролировать, чтобы предотвратить повреждение, нанесенное в процессе обслуживания.

Многие системы предоставляют счета для обслуживания. Эти специальные учетные записи обычно предварительно настраиваются на заводе с заранее установленными широко известными паролями. Очень важно изменить эти пароли или иным образом ограничить доступ к учетным записям. Разработайте процедуры, гарантирующие, что только авторизованный обслуживающий персонал имеет доступ к предварительно настроенным учетным записям. Если учетная запись будет использоваться удаленно, аутентификация поставщика обслуживания может быть выполнена с помощью подтверждения обратного вызова. Это помогает гарантировать, что удаленная диагностика действительно исходит от установленного номера телефона на сайте поставщика. Другие полезные методы включают шифрование и дешифрование диагностических сообщений, методы надежной идентификации и аутентификации, такие как токены, и проверку удаленного отключения.

Производители более крупных систем и сторонние поставщики могут предлагать дополнительные услуги по диагностике и поддержке, а более крупные системы могут иметь диагностические порты. Очень важно убедиться, что эти порты используются только авторизованным персоналом, не могут быть доступны злоумышленникам и активны только при необходимости.

8.8 Взаимозависимости

В большинстве элементов управления, обсуждаемых в этой публикации, присутствуют компоненты поддержки и операций, такие как:

• Персонал. Большинство сотрудников службы поддержки и эксплуатации имеют особый доступ к системе. Некоторые организации проводят проверку биографических данных лиц, занимающих эти должности (см. раздел 10.13);

• Обработка инцидентов. Поддержка и операции могут включать персонал организации, занимающийся обработкой инцидентов. Даже если это отдельные организации, им необходимо работать вместе, чтобы распознавать инциденты и реагировать на них (см. раздел 10.8);

• Планирование непредвиденных. Служба поддержки и операций обычно обеспечивает технический вклад в планирование действий в чрезвычайных ситуациях и выполняет действия по созданию резервных копий, обновлению документации и отработке действий в случае возникновения непредвиденных обстоятельств (см. раздел 10.6);

• Осведомленность о безопасности, обучение и образование. Персонал службы поддержки и эксплуатации обучен процедурам безопасности и осведомлен о важности безопасности. Кроме того, они предоставляют технические знания, необходимые для обучения пользователей тому, как защитить свои системы (см. раздел 10.2);

• Физические и экологические. Персонал службы поддержки и эксплуатации часто контролирует непосредственную физическую зону вокруг системы (см. раздел 10.11);

• Технический контроль. Технические средства управления устанавливаются, обслуживаются и используются обслуживающим и операционным персоналом. Они создают учетные записи пользователей, добавляют пользователей в списки управления доступом, просматривают журналы аудита на предмет необычной активности, контролируют массовое шифрование телекоммуникационных каналов и выполняют бесчисленные операционные задачи, необходимые для эффективного использования технических средств контроля. Кроме того, сотрудники службы поддержки и эксплуатации предоставляют необходимые данные для выбора средств управления на основе своих знаний о возможностях системы и эксплуатационных ограничениях (см. главу 10); а также

• Гарантия. Персонал службы поддержки и эксплуатации следит за тем, чтобы изменения в системе не приводили к появлению уязвимостей в системе безопасности, используя методы гарантии для оценки или тестирования изменений и их воздействия на систему. Операционное обеспечение обычно осуществляется вспомогательным и операционным персоналом. (см. главу 7).

8.9 Соображения стоимости

Стоимость обеспечения адекватной безопасности повседневной поддержки и операций в значительной степени зависит от размера и характеристик операционной среды и характера выполняемой обработки. Возможно, нет необходимости в привлечении дополнительных специалистов по поддержке и безопасности операций.

Если уже имеется достаточное количество обслуживающего персонала, важно, чтобы он был обучен аспектам безопасности своих назначенных должностей. Первоначальное и текущее обучение - это стоимость успешного включения мер безопасности в деятельность по поддержке и эксплуатации.

Другая стоимость связана с созданием и обновлением документации, чтобы гарантировать, что проблемы безопасности должным образом отражены в политике, процедурах и обязанностях поддержки и эксплуатации.


Читайте также


Комментарии 0