Сергей Петренко - Политики безопасности компании при работе в Интернет

Третье достоинство – обеспечение защиты секретной, критически важной или частной информации. Весьма опасно то, что компьютерный инцидент может разрушить невосстановимую информацию. Эффективная реакция на инциденты минимизирует эту опасность. Когда речь идет о секретной информации, следует учесть и включить в план соответствующие правительственные постановления.

Четвертое достоинство касается связей с прессой. Сведения о компьютерном инциденте могут повредить репутации организации у нынешних или потенциальных клиентов. Эффективная реакция на инцидент уменьшает вероятность нежелательной огласки.

Наконец, упомянем правовой аспект. Можно представить себе ситуацию, когда организация подвергается судебному преследованию, поскольку один из принадлежащих ей узлов был использован для атаки на сеть. С аналогичными проблемами могут столкнуться люди, реализующие заплаты или надстройки, если те оказались неэффективными и не смогли предотвратить ущерб или сами стали причиной ущерба. Знание уязвимых мест операционных систем и типичных приемов атаки, а также принятие превентивных мер поможет избежать конфликтов с законом.

Порядок изложения в данном разделе можно использовать в качестве плана. Данный раздел организован таким образом, что его содержание может послужить отправной точкой при написании политики безопасности, касающейся реакции на инциденты. В политике должны быть освещены следующие темы:

• обзор (цели, преследуемые политикой безопасности в плане реакции на инциденты;.

• оценка (насколько серьезен инцидент);

• извещение (кого следует известить об инциденте);

• ответные меры (что следует предпринять в ответ на инцидент);

• правовой аспект (каковы правовые последствия инцидента);

Каждая из перечисленных тем важна при общем планировании реакции на инциденты. Далее будут сформулированы рекомендации по формированию политики безопасности, касающейся реакции на инциденты.

Возможные цели и побудительные мотивы эффективной реакции на инциденты. Как и во всякой деятельности по планированию, в первую очередь необходимо уяснить преследуемые цели. Эти цели следует упорядочить в порядке убывания важности. Итоговый список, конечно, будет разным для разных организаций. Ниже приведен один из возможных вариантов:

• гарантировать целостность критически важных (для сохранения человеческих жизней) систем;

• сохранить и восстановить данные;

• сохранить и восстановить сервисы;

• выяснить, почему инцидент стал возможен;

• предотвратить развитие вторжения и будущие инциденты;

• избежать нежелательной огласки;

• найти виновников;

Важно заранее определить приоритеты действий, совершаемых во время инцидента. Бывают столь сложные случаи, когда невозможно одновременно принять все необходимые ответные меры; без учета приоритетов тут не обойтись. Хотя, как всегда, шкала приоритетов зависит от организации, следующий список может послужить отправной точкой при выработке иерархии ответных мер:

• первый приоритет – защитить жизнь и здоровье людей; при всех обстоятельствах защита человеческих жизней должна стоять на первом месте;

• второй приоритет – защитить секретные и/или критически важные данные (в соответствии с правительственными или организационными нормами);

• третий приоритет – защитить прочие данные, включая частную, научную и управленческую информацию, поскольку потеря данных обходится дорого с точки зрения ресурсов, затраченных на их накопление;

• четвертый приоритет – предотвратить повреждение систем (потерю и изменение системных файлов, повреждение дисководов и т. п.), чтобы избежать дорогостоящих простоев и восстановлений;

Важным следствием определения приоритетов является то, что после человеческих жизней и интересов государственной безопасности наиболее ценным активом обычно являются данные, а не программное или аппаратное обеспечение. Хотя нежелательны любые потери, системы можно заменить; в то же время потерю или компрометацию данных (особенно секретных), как правило, нельзя допускать ни при каких обстоятельствах.