Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия"

Проблемы, с которыми может столкнуться организация

В Руководстве рассматривается гипотетическая, но весьма вероятная последовательность проблем в области информационной безопасности.

• Системный администратор получает сообщение о том, что главный подпольный бюллетень крэкеров распространяется с административной машины, находящейся в его ведении, и попадает в пять тысяч американских и западноевропейских компьютеров.
• Спустя восемь недель тот же администратор получает официальное уведомление, что информация из одного бюллетеня была использована для выведения из строя на пять часов службы "911" в одном из больших городов.
• Пользователь звонит и сообщает, что он не может войти в систему под своим именем в 3 часа утра субботы. Администратору также не удается войти в систему.
• После перезагрузки и входа в однопользовательский режим он обнаруживает, что файл паролей пуст. К утру понедельника выясняется, что между данной машиной и местным университетом в привилегированном режиме было передано несколько файлов.
• Во вторник утром на университетском компьютере найдена копия стертого файла паролей вместе с аналогичными файлами с дюжины других машин.
• Спустя неделю администратор обнаруживает, что файлы инициализации системы изменены враждебным образом.
• Администратор получает сообщение о том, что в компьютер правительственной лаборатории совершено вторжение с подведомственной ему машины. Ему предлагают предоставить регистрационную информацию для отслеживания нападавшего.
• Спустя неделю администратор получает список подведомственных компьютеров, подвергшихся успешным атакам крэкеров.
• Администратору звонит репортер и интересуется подробностями проникновения на компьютеры организации. Администратор ничего не слышал о таких проникновениях.
• Через три дня выясняется, что случай проникновения имел-таки место. Глава организации использовал в качестве пароля имя жены.
• Обнаруживаются модификации системных бинарных файлов.
• После восстановления файлы в тот же день вновь оказываются модифицированными. Так повторяется несколько недель.

С подобными проблемами может столкнуться любая организация, имеющая выход в Internet. Необходимо иметь заранее заготовленные ответы по крайней мере на следующие вопросы:

• Если в системе обнаруживается присутствие злоумышленника, следует ли оставить систему открытой и попытаться проследить за ним, или компьютер нужно немедленно выключить и залатать обнаруженные дыры?
• Если злоумышленник использует компьютеры вашей организации, должны ли вы обращаться в правоохранительные органы? Кто принимает решение о таком обращении? Если представитель властей предложит оставить системы открытыми, кто ответит за это решение?
• Какие шаги следует предпринять, если звонят из другой организации и сообщают о подозрительных действиях со стороны одного из ваших пользователей? Что делать, если этим пользователем окажется местный системный администратор?