роботою користувачів
На всіх важливих серверах повинні бути встановлені додаткові засоби спостереження, такі як tripwire, і відповідні засоби управління доступом до сервісів, а також додаткові засоби протоколювання, що забезпечуються операційною системою. Таким чином повинні бути захищені сервера DNS, сервера аутентифікації, сервера безпеки для Unix, контроллери домена і
сервера Exchange для середовища Windows NT, і будь-які сервера додатків, які вважаються важливими для вирішення завдань організації.
Організаційні заходи:
Повинні виконуватися періодичні перевірки цілісності брандмауерів і інших систем управління доступом периметра безпеки.
Повинен проводитися щоденний аналіз системних журналів систем управління доступом периметра безпеки.
Повинен проводитися щотижневий аналіз системних журналів хостов і серверів у внутрішній, захищеній мережі.
Користувачі повинні пройти курс навчання і бути навчені повідомляти про всі підозрілі ознаки при роботі систем своїм системним адміністраторам, а також відповідним мережевим адміністраторам або співробітникам відділу інформаційної безпеки.
Всі повідомлення про проблеми при роботі користувачів, отримані системними адміністраторами, повинні аналізуватися на предмет, чи немає ця проблема ознакою атаки. Про всі підозрілі події вони повинні повідомляти мережевих адміністраторів і співробітників відділу інформаційної безпеки.
Повинні періодично запускатися засоби виявлення атаки на хост, такі як tripwire.
Співробітники відділу інформаційної безпеки або відповідальні за неї повинні встановити контакти з організаціями, що займаються розслідуванням подій з комп'ютерною безпекою, а також FIRST (дивитеся www.first.org) і обмінюватися інформацією про погрози, вразливі місця і події.
Якщо критичні системи не були скомпрометовані, організація повинна спочатку спробувати вислідити зловмисника, а потім усунути наслідки атаки. (ФІО співробітника) відповідає за ухвалення рішення про те, які дії прийматимуться для усунення вразливих місць або спроб отримати додаткову інформацію про зловмисника. Ця людина повинна мати освіту, що дозволяє вирішувати юридичні проблеми, що виникають у зв'язку з подією.
Політика виявлення атаки - високий ризик
Програмно-апаратні засоби:
На всіх хостах і серверах повинні бути включені функції протоколювання.
Функції подачі сигналів тривоги, а також протоколювання, повинні бути включені на всіх брандмауерах і інших засобах управління доступом периметра безпеки.
На всіх серверах повинні бути встановлені додаткові засоби спостереження, такі як tripwire, і відповідні засоби управління доступом до сервісів, а також додаткові засоби протоколювання, що забезпечуються операційною системою.
На всіх критичних серверах повинні бути встановлені додаткові засоби виявлення атак, які працюють по принципах, відмінних від тих, які використовуються основними засобами цього роду, встановленими на всіх серверах. Наприклад, якщо основним засобом виявлення атаки є tripwire, яке використовує порівняння контрольних сум для перевірки цілісності системи, то на важливих серверах повинні бути встановлені експертні системи, що використовують статистичні аномалії для виявлення атаки.
У всіх місцях мережі, в яких відбувається концентрацій трафіку, повинні бути встановлені засоби виявлення атак, що стежать за появою в трафіку ознак атак, відповідним ознакам, що мали місце при відомих атаках.
Організаційні заходи:
Повинні виконуватися періодичні перевірки цілісності брандмауерів і інших систем управління доступом периметра безпеки.
Повинен проводитися щоденний аналіз системних журналів систем управління доступом периметра безпеки.
Повинен проводитися щоденний аналіз системних журналів хостов і серверів у внутрішній, захищеній мережі.
Користувачі повинні пройти курс навчання і бути навчені повідомляти про всі підозрілі ознаки при роботі систем своїм системним адміністраторам, а
також відповідним мережевим адміністраторам або співробітникам відділу інформаційної безпеки.
Всі повідомлення про проблеми при роботі користувачів, отримані системними адміністраторами, повинні аналізуватися на предмет, чи немає ця проблема ознакою атаки. Про всі підозрілі події вони повинні повідомляти мережевих адміністраторів і співробітників відділу інформаційної безпеки.
На всіх хостах повинні щодня запускатися засоби виявлення атаки на хост, такі як tripwire.
Системи аналізу трафіку для виявлення вторгнення повинні періодично перевірятися на предмет правильності роботи і коректної конфігурації.
Співробітники відділу інформаційної безпеки або відповідальні за неї повинні встановити контакти з організаціями, що займаються розслідуванням подій з комп'ютерною безпекою, а також FIRST (дивитеся www.first.org) і обмінюватися інформацією про погрози, вразливі місця і події.
Організація повинна спробувати порушити кримінальну справу проти зловмисника, але не повинна залишати незакладеними вразливі місця, щоб отримати більше інформації про зловмисника.
5.6. Організаційні заходи
Політика безпеки Інтернету повинна бути тісно пов'язана з повсякденним використанням Інтернету співробітниками організації і повсякденним управлінням мережею і комп'ютерами. Вона також повинна бути інтегрована в культуру організації за допомогою навчання. Цей документ в основному описує технічні сторони політики. Але адміністративні питання, такі як розподіл обов'язків за підтримку безпеки, деколи важливіші. Цей розділ описує додаткові аспекти безпеки в Інтернеті, які повинні бути враховані за допомогою організаційних мерів.
Крім маси технічних і адміністративних обов'язків мережевого адміністратора, пов'язаних з підтримкою працездатності мереж організації, ряд його обов'язків безпосередньо пов'язаний із з'єднанням з Інтернетом. Цей
розділ описує проблеми, які не були розглянуті в інших розділах.
· Розподіл відповідальності за підтримку безпеки
· Покарання за порушення політики безпеки
· Допустиме використання Інтернету, включаючи обмеження на доступ до певних WWW-сайтам або груп новин USENET, і так далі, відповідно до політики організації. (Проблеми, пов'язані з електронною поштою, описані в розділі про електронну пошту).
· Розробка політики відносно конфіденційності особистої інформації, включаючи електронну пошту і спостереження за мережею.
Відповідальність посадових осіб за безпеку
Успіх політики безпеки більше залежить від зусиль і досвідченості людей, що реалізовують політику, чим від складних технічних засобів контролю. Ефективна безпека в Інтернеті починається з мережевого адміністратора (часто званого адміністратором ЛВС або системним адміністратором).
Мережеві адміністратори відповідають за реалізацію безпеки в ЛВС в тому ступені, в якому це потрібно при з'єднанні з Інтернетом. Якщо є декілька мережевих адміністраторів, важливо, щоб їх обов'язки були узгоджені.
Наприклад, атака на веб-сервер-сервер організації може зажадати
