Читаем Политики безопасности компании при работе в Интернет полностью

В добавление к этим правилам необходимо включить представителя группы сетевой безопасности в постоянно действующую комиссию компании по утверждению изменений для отслеживания всех изменений, происходящих в сети компании. Представитель группы безопасности может запретить реализацию любого изменения, связанного с безопасностью, до тех пор, пока это изменение не будет разрешено руководителем группы сетевой безопасности.

Мониторинг сетевой безопасности. Мониторинг сетевой безопасности фокусируется на обнаружении изменений в сети, позволяющих определить нарушение безопасности. Отправной точкой мониторинга безопасности является определение понятия «нарушение безопасности». Анализ угроз и информационных рисков позволяет определить требуемый уровень полноты мониторинга безопасности сети компании. В дальнейшем при утверждении изменений безопасности каждый раз проверяется значимость выявленных угроз сети. Оценкой этих угроз определяется объект и частота мониторинга.

Например, в матрице анализа рисков межсетевой экран определен как устройство с высоким уровнем риска. Это означает, что мониторинг межсетевого экрана должен выполняться постоянно в режиме реального времени. Из раздела подтверждения изменений безопасности следует, что необходимо выявлять все изменения в настройках конфигурации межсетевого экрана. То есть SNMP-агент должен отслеживать такие события, как отвергнутые попытки регистрации, необычный трафик, изменения на межсетевом экране, предоставление доступа к межсетевому экрану и установление соединений через межсетевой экран.

Таким образом можно создать политику мониторинга для каждой компоненты сети, определенной при проведении анализа рисков. Рекомендуется проводить мониторинг компонент сети с низким уровнем риска – еженедельно, со средним уровнем риска – ежедневно, с высоким уровнем риска – раз в час. При этом если требуется более быстрое время реагирования, то необходимо уменьшить названные временные промежутки.

Важно также определить в политике безопасности порядок уведомления членов группы сетевой безопасности о нарушениях. Как правило, средства мониторинга безопасности сети будут первыми автономно обнаруживать нарушения. Должна быть предусмотрена возможность отправки по любым доступным каналам связи уведомлений в центр реагирования на инциденты в области безопасности для оперативного оповещения членов группы сетевой безопасности.

Реагирование на нарушения. Под реагированием на нарушения в безопасности здесь понимается определение нарушений безопасности, порядка восстановления и пересмотра правил безопасности.

Нарушения безопасности. При обнаружении нарушения безопасности важно своевременно отреагировать и оперативно восстановить нормальное функционирование сервисов сети. Здесь главное правило – своевременное оповещение группы сетевой безопасности после обнаружения нарушения. Если это правило не выполняется, то реагирование будет замедлено, а следовательно, вторжение и последствия более тяжелыми. Поэтому необходимо разработать соответствующую процедуру реагирования и оповещения, действенную 24 часа в день 7 дней в неделю.

Далее необходимо четко определить уровень привилегий по внесению изменений, а также порядок внесения изменений. Здесь возможны следующие корректирующие действия:

• реализация изменений для предупреждения дальнейшего распространения нарушения,

• изолирование поврежденных систем,

• взаимодействие с провайдером для отслеживания источника атаки,

• использование записывающих устройств для сбора доказательств,

• отключение поврежденных систем или источников атаки,

• обращение в правоохранительные органы или федеральные агентства,

• выключение поврежденных систем,

• восстановление систем в соответствии со списком приоритетности,