Низкий риск
Следует соблюдать правила лицензий производителей программ для всех коммерческих программ, загруженных по Интернету. Тестовые версии программ должны быть удалены по истечении периода тестирования, или организацией должна быть приобретена легальная версия программы.
Средний-высокий риск
Коммерческие программы запрещается загружать через Интернет без разрешения системного администратора. Все программы, используемые на компьютерах организации, могут быть установлены только ситсемными администраторами в соответствии с правилами лицензий. Сотрудники отдела автоматизации должны периодически инспектировать компьютеры на предмет соблюдения правил лицензий и отсутствия неразрешенных программ. При выявлении фактов установки нелицензионных и неразрешенных программ виновные будут наказаны.
Шифрование - это основное средство, обеспечивающее конфиденциальность информации, посылаемой по Интернету. Шифрование может использоваться для защиты любого трафика, такого как электронные письма или загружаемые файлы. Кроме того, шифрование может защитить информацию при ее хранении, например в базах данных, находящихся на компьютере, физическую безопасность которого нельзя обеспечить (например, на ноутбуке сотрудника в командировке).
При использовании шифрования возникает ряд административных проблем:
Правительство США сейчас наложило ограничения на экспорт сильных криптографических алгоритмов, которыми сейчас считаются системы шифрования с ключом длиннее 40 бит, не позволяющие восстановить ключ. Внутри США нет ограничений на использование шифрования. Но для использования его в зарубежных странах или в сетях, часть которых находится за границей, нужно получить разрешение на экспорт. Кроме того, некоторые страны, такие как Франция и Китай, имеют свои собственные ограничения на использование шифрования. Поэтому в каждом случае надо тщательно разбираться, не будут ли нарушены законы другой страны.
Способность руководства организации контролировать внутренние каналы связи или аудировать свои компьютерные системы зависит от использования шифрования. Если служащий шифрует посылаемое электронное письмо, или жесткий диск на своем компьютере, то системные администраторы не смогут произвести аудит таких сообщений и файлов. Кроме того, при потере ключей для расшифровки, данные могут быть потеряны навсегда. Если вашей организации требуется подобный контроль или гарантии восстановления данных, то политика должна требовать в обязательном порядке использования систем шифрования, поддерживающих восстановление ключей.
Существует большое число алгоритмов шифрования и стандартов длин ключей. Политика должна требовать использования алгоритмов, которые уже достаточно долго используются и доказали на практике, что они обеспечивают безопасность данных. Длина ключей шифрования должна определяться на основе важности шифруемых данных. Как правило, в настоящее время ключи короче, чем 40 бит, могут использоваться только в корпоративной сети за брандмауэром. В Интернете ведущие криптографы рекомендуют использовать ключи с длиной не менее 75 бит - но лучше длиной 90 бит. DES использует 56 бит, которые будут приемлемы только на год-два. NIST разрабатывает новый стандарт усиленного шифрования. Пока же рекомендуется тройной DES, имеющий эффективную длину ключа 112 бит.
Руководство по компьютерной безопасности NIST содержит более подробную информацию о шифровании и криптографии.
Для обеспечения гарантий согласованного использования шифрования политика должна установить стандарты, которым должны удовлетворять системы шифрования, используемые в организации, явно специфицировав алгоритмы и их параметры. Для обеспечения взаимной работоспособности систем и сокращения затрат, должны быть выбраны стандартные продукты (в России, это могут быть сертифицированные ФАПСИ программы семейства "Верба"). Хотя на рынке имеется большое число коммерческих продуктов шифрования, организациям следует понимать, что шифрование приведет к появлению дополнительных расходов. Безопасная генерация, хранение и распространение ключей в организации, а также обеспечение гарантий взаимной работоспособности, и восстановления ключей потребует значительных ресурсов. (Как правило, восстановление ключей неактуально для Интернета, кроме организаций с высоким уровнем риска, но те же алгоритмы скорее всего будут использоваться при хранении информации).
Средний-высокий
Для ...(перечислите типы информации) должно использоваться шифрование при их хранении в небезопасных местах или передаче по открытым сетям, таким как Интернет. Шифрование любой другой информации организации должно осуществляться только после получения письменного разрешения на это. При использовании шифрования в организации должны применяться только утвержденные в организации стандартные алгоритмы и продукты, их реализующие. Для шифрования конфиденциальной информации минимально допустимой длиной ключа является 56 бит - рекомендованной длиной является 75 бит.
Безопасность системы шифрования очень зависит от секретности используемых ключей шифрования - порядок безопасной генерации и администрирования ключей шифрования является очень важным.
(Конкретный отдел) отвечает за разработку порядка использования шифрования и за обучение пользователей этим приемам.
Низкий-средний
Ключи шифрования должны иметь гриф безопасности такой же, как и наиболее критичная информация в компании, и доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей. Ключи для шифрования должны создаваться с помощью таких средств, которые нельзя было бы легко воспроизвести посторонним лицам.
Средний-высокий
Для генерации ключей шифрования информации организации требуется использовать генераторы случайных чисел на основе специальных устройств. Для использования программных генераторов случайных чисел необходимо получить письменное разрешение. Ключи шифрования считаются критической информацией, и доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей.
Для симметричных систем шифрования, таких как DES, ключи должны распространяться среди сотрудников с помощью защищенных каналов. Так как компрометация этих секретных ключей сделает шифрование бесполезным, политика безопасности должна детально описывать допустимые способы распространения таких ключей.
При использовании шифрования для распространения секретных ключей должны использоваться безопасные способы. Допустимыми способами являются:
Ключи шифрования не должны посылаться электронной почтой, если только электронное письмо не было зашифровано с помощью ключей, обмен которыми уже произошел по защищенному каналу . Ключи, используемые для шифрования информации, должны меняться так же часто, как и пароли, используемые для доступа к информации.
Зашифрованные данные могут быть навсегда потеряны при утере или искажении ключа. Так как шифрование обычно используется для защиты важной информации, потеря ключей шифрования может привести к значительным потерям. Был разработан ряд подходов для того, чтобы обеспечить гарантии постоянное доступности ключей шифрования и реализован в коммерческих продуктах. Но так как эта технология только появилась, при совместном использовании нескольких продуктов возможны проблемы - сотрудники отдела безопасности должны разработать список допустимых технологий и комбинаций продуктов.
Все средства шифрования должны обеспечивать гарантии доступности ключей шифрования для руководства организации при шифровании информации организации. При использовании шифрования должна использоваться утвержденная в компании технология восстановления ключа. Использование шифрования с отсутствием такой. возможности должно требовать получения письменного разрешения руководства.
Использование технологий шифрования с открытыми ключами требует создания для каждого пользователя секретного и открытого ключей и их рассылки. Открытые ключи должны распространяться и храниться таким образом, чтобы они были доступны всем пользователям. В продвинутых приложениях могут использоваться электронные сертификаты для распространения открытых ключей через центры сертификатов. Закрытые ключи аналогичны паролям, и должны храниться в тайне каждым пользователем. Организации могут принять решение о том, чтобы все секретные ключи сотрудников были известны руководству.
Низкий
Организация должна иметь список открытых ключей для всех авторизованных на это сотрудников. Этот список должен храниться на сервере аутентификации или распространяться по электронной почте. Секретные ключи пользователей должны храниться так же, как и пароли.
Средний-высокий
Сервер сертификационного центра организации должен хранить текущие открытые ключи для всех авторизованных на это сотрудников. Для безопасного взаимодействия с внешними пользователями организация должна использовать электронные сертификаты только из утвержденного списка сертификационных центров.
Секретные ключи пользователей должны храниться так же, как и пароли. О любом подозрении на компрометацию секретного ключа пользователь должен немедленно доложить в службу безопасности.