вони зазнали великих фінансових втрат і втратили свій престиж.
В деяких випадках організації були вимушені тимчасово відключитися від Інтернету і витратили значні засоби на усунення проблем з конфігураціями хостов і мереж. Сайти, які необізнані або ігнорують ці проблеми, піддають себе ризику мережевої атаки зловмисниками. Навіть ті сайти, які упровадили у себе заходи по забезпеченню безпеки, піддаються тим же небезпекам із-за появи нових вразливих місць в мережевих програмах і наполегливості деяких зловмисників.
Фундаментальна проблема полягає в тому, що Інтернет при проектуванні і не замислювався як захищена мережа. Деякими його проблемами в поточній версії TCP/IP є:
· Легкість перехоплення даних і фальсифікації адрес машин в мережі - основна частина трафіку Інтернету - це нешифровані дані. E-mail, паролі і файли можуть бути перехоплені, використовуючи легко доступні програми.
· Уразливість засобів TCP/IP - ряд засобів TCP/IP не були спроектовані бути захищеними і може бути скомпрометований кваліфікованими зловмисниками; засоби, використовувані для тестування особливо уразливі.
· Відсутність політики - багато сайтів по незнанню конфігуровано таким чином, що надають широкий доступ до себе з боку Інтернету, не враховуючи можливість зловживання цим доступом; багато сайтів вирішують роботу більшого числа сервісів TCP/IP, чим їм вимагається
для роботи і не намагаються обмежити доступ до інформації про свої комп'ютери, яка може допомогти зловмисникам.
· Складність конфігурації - засоби управління доступом хоста складні; часто складно правильно конфігурувати і перевірити ефективність установок . Засоби, які помилково неправильно конфігуровані, можуть привести до неавторизованого доступу.
1.2. Основні типи політики
Термін Політика комп'ютерної безпеки має різний зміст для різних людей. Це може бути директива одного з керівників організації по
організації програми комп'ютерної безпеки., що встановлює її цілі і що призначає відповідальних за її виконання. Або це може бути вирішення начальника відділу відносно безпеки електронної пошти або факсів. Або це можуть бути правила забезпечення безпеки для конкретної системи (це такі типи політик, про які експерти в комп'ютерній безпеці говорять, що вони реалізуються програмно-апаратними засобами і організаційними заходами). У цьому документі під політикою комп'ютерної безпеки розумітимемо документ, в якому описані рішення відносно безпеки. Під це визначення підпадають всі типи політики, описані нижче.
При ухваленні рішень адміністратори стикаються з проблемою здійснення вибору на основі обліку принципів діяльності організації, співвідношення важливості цілей, і наявності ресурсів. Ці рішення включають визначення того, як захищатимуться технічні і інформаційні ресурси, а також як повинні поводитися службовці в тих або інших ситуаціях.
Необхідним елементом політики є ухвалення рішення відносно даного питання. Воно задасть напрям діяльності організації. Для того, щоб політика була успішною, важливо, щоб було обгрунтовано вибрано одне направлення з декількох можливих.
2. ЗАГАЛЬНІ ПРИНЦИПИ
2.1. Предмет політики
Для того, щоб описати політику по даній області, адміністратори спочатку повинні визначити саму область за допомогою обмежень і умов в зрозумілих всім термінах (або ввести деякі з термінів). Часто також корисно явно вказати мету або причини розробки політики - це може допомогти добитися дотримання політики. Відносно політики безпеки в Інтернеті організації може знадобитися уточнення, чи охоплює ця політика всі з'єднання, через які ведеться робота з Інтернетом (безпосередньо або опосередковано) або власне з'єднання Інтернет. Ця політика також може визначати, чи враховуються інші аспекти роботи в Інтернет, що не мають відношення до безпеки, такі як персональне використання з'єднань з Інтернетом.
Опис позиції організації. Як тільки предмет політики описаний, приведені визначення основних понять і розглянуті умови застосування політики, треба в явній формі описати позицію організації (тобто вирішення її керівництва) з даного питання. Це може бути твердження про дозвіл або заборону користуватися Інтернетом і за яких умов.
Застосовність. Проблемні політики вимагають включення в них опису застосовності. Це означає, що треба уточнити де, як, коли, ким і до чого застосовується дана політика.
Ролі і обов'язки. Потрібно описати відповідальних посадових осіб і їх обов'язку відносно розробки і впровадження різних аспектів політики. Для такого складного питання, як безпека в Інтернеті, організації може потрібно ввести відповідальних за аналіз безпеки різної архітектури або за затвердження використання тієї або іншої архітектури.
Дотримання політики. Для деяких видів політик Інтернету може виявитися доречним опис, з деякою мірою детальності порушень які неприйнятні і наслідків такої поведінки. Можуть бути явно описані покарання і це повинно бути пов'язано із загальними обов'язками співробітників в організації. Якщо до співробітників застосовуються покарання, вони повинні координуватися з відповідними посадовими особами і відділами. Також може виявитися корисним поставити завдання конкретному відділу в організації стежити за дотриманням політики.
Консультанти по питаннях безпеки і довідкова інформація. Для будь-якої проблемної політики потрібні відповідальні консультанти, з ким можна зв'язатися і отримати докладнішу інформацію. Оскільки посади мають тенденцію змінюватися рідше, ніж люди, що їх займають, розумно призначити особу, що посідає конкретну посаду як консультанта. Наприклад, по деяких питаннях консультантом може бути один з менеджерів, по інших - начальник відділу, співробітник технічного відділу, системний адміністратор або співробітник служби безпеці. Вони повинні уміти роз'яснювати правила роботи в Інтернеті або правила роботи на конкретній системі.
2.2. Отримання дозволу
Що таке організація? Політика може бути написана тільки для групи людей з близькими цілями. Тому організації може потрібно розділити себе на частини, якщо вона дуже велика або має дуже різні цілі, щоб бути суб'єктом політики безпеки в Інтернеті. Наприклад, NIST - це агентство Міністерства Торгівлі(МТ) США. Завдання NIST вимагають постійної взаємодії з науковими організаціями в