ГОСТ Р ИСО/МЭК 27033-3—2014
Управление доступом сотрудников к Интернету вызывает растущее беспокойство, учитывая ко
личество появляющихся судебных прецедентов связанных с Интернетом. Таким образом, организа
ция несет ответственность за установление, мониторинг и претворение в жизнь точно выраженной
политики использования Интернета посредством оценивания следующих сценариев и обеспечения
соответствующих требований в политике:
- доступ к Интернету предоставлен в интересах бизнеса;
- если доступ к Интернету также разрешен (ограниченно) в личных целях, то какими услугами
разрешено пользоваться:
- разрешено ли расширенное применение услугдля совместного использования;
- разрешено ли сотрудникам участвовать в чате, форумах и т. д.
Хотя, зачастую, написанная политика выступает как существенный сдерживающий фактор не
приемлемого использования Интернета, организация все еще подвергается значительным рискам
информационной безопасности. Угрозы безопасности, рекомендации по методам проектирования
безопасности, а также меры и средства контроля и управления, направленные на уменьшение рисков
безопасности, излагаются в нижеследующих пунктах, как только для внутреннего, так и для внутрен
него и внешнего использования.
7.2 Угрозы безопасности
Угрозами безопасности, связанными с услугами доступа к Интернету для сотрудников, являют
ся:
- вирусные атаки и внедрение вредоносных программ:
- сотрудники, пользующиеся Интернетом, являются также основной мишенью для вредоносных
программ, которые могут привести к потере или повреждению информации, потере контроля над ин
фраструктурой информационных технологий и огромному риску для безопасности сети организации.
- загружаемые пользователем файлы или программы могут содержать вредоносные программ
ные коды. Учитывая повсеместное использование таких приложений, как обмен мгновенными сооб
щениями. одноранговое совместное использование файлов и IP-телефония, сотрудники могут слу
чайно загрузить и установить вредоносные приложения, которые обходят защиту сети, используя
та кие методы, как быстрота прохождения порта (скачкообразность вблизи открытых портов), и
шифро вание. Кроме того, одноранговые приложения могут быть использованы в качестве скрытых
каналов для сетевых агентов-роботов.
- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносны
ми программами, что приведет к заражению вирусом и установке троянов («Троянских коней»). После
заражения доступность может серьезно пострадать из-за распространения деятельности вируса,
приводящей к перегрузке сети. Трояны могут разрешать несанкционированный внешний доступ, при
водящий к нарушению конфиденциальности;
- утечка информации;
- приложения, позволяющие пересылать информацию на веб-серверы, могут быть причиной не
контролируемой передачи данных из организации через Интернет. Если используются зашифрован
ные сеансы (например, TLS). то даже регистрация такой деятельности может оказаться невозможной.
Подобные риски безопасности привносятся в тех случаях, когда недостоверный переносимый код вы
полняется на системах внутри организации;
- несанкционированное использование и доступ:
- потеря мер и средств контроля и управления инфраструктуры, систем и приложений может
привести к мошенничеству, отказу в обслуживании, а также злоупотреблению возможностями;
- ответственность за несоблюдение нормативов:
- юридическая ответственность за несоблюдение законодательства и нормативных обяза
тельств.
- несогласованность с используемой политикой организации может привести к нормативному
несоответствию;
- снижение доступности сети связи, вызванное недостаточной пропускной способностью или
стабильными проблемами:
- чрезмерное использование услуг, связанных с пропускной способностью, например, потоковые
мультимедийные средства или одноранговое совместное использование файлов может привести к
перегрузке сети.
7