Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Политика безопасности шаблон

Политика Безопасности

Политика Безопасности

Администрация Интернет-магазина http:// www .shablon-master.ru гарантирует обеспечение полной конфиденциальности информации, полученной от зарегистрированных пользователей.

Вся информация, которую Вы укажите при регистрации, будет храниться в защищенной базе данных. Интернет-магазин http:// www .shablon-master.ru гарантирует полную конфиденциальность при исполнении заказа, а также то, что информация о покупателе будет использована только для исполнения поступившего заказа.

Ваши регистрационные данные нам нужны исключительно для того, чтобы наши менеджеры смогли с Вами связаться по телефону, а служба доставки смогла доставить заказанный Вами товар в нужное место в срок.

Кроме того, зарегистрировавшись, Вы сможете получать информацию о всех новостях нашего магазина: новых поступлениях товара, распродажах, специальных программах.

Если у Вас возникнут какие-либо проблемы или вопросы по авторизации-регистрации в магазине — напишите нам на адрес электронной почты shumnik @ list . ru и мы всегда поможем Вам!

Представители интернет-магазина http:// www .shablon-master.ru никогда не попросят у Вас данные пластиковой карты или другие конфиденциальные реквизиты.

Общие положения:

1. Некоторые объекты, размещенные на сайте являются интеллектуальной собственностью интернет-магазина http:// www .shablon-master.ru Использование таких объектов без согласования с владельцами сайта запрещено.

2. На сайте интернет-магазина http:// www .shablon-master.ru имеются ссылки, позволяющие перейти на другие сайты. Мы не несем ответственности за сведения, публикуемые на этих сайтах, и предоставляем ссылки на них только в целях обеспечения удобства для посетителей своего сайта.

Личные сведения и безопасность:

1. Интернет-магазин http:// www .shablon-master.ru гарантирует, что никакая полученная от Вас информация никогда и ни при каких условиях не будет предоставлена третьим лицам, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

2. В определенных обстоятельствах интернет-магазин http:// www .shablon-master.ru может попросить Вас зарегистрироваться и предоставить личные сведения. Предоставленная информация используется исключительно при обработке заказа в Интернет-магазине или для предоставления посетителю доступа к специальной информации.

3. Личные сведения можно изменить, обновить или удалить в любое время в разделе «Личный кабинет».

4. Для того чтобы обеспечить Вас информацией определенного рода, интернет-магазин http:// www .shablon-master.ru с Вашего явного согласия может присылать на указанный при регистрации адрес электронный почты информационные сообщения. В любой момент Вы можете отказаться от рассылки.

5. Сведения на данном сайте имеют чисто информативный характер, в них могут быть внесены любые изменения без какого-либо предварительного уведомления.

Шаблоны политики безопасности;

Политика безопасности организации — это документ, описыва­ющий специфические требования или правила, которые должны выполняться. В области информационной и сетевой безопасно­сти политики обычно специфичны к области применения. Стан­дарт — это коллекция системно-специфических или процедур­но-специфических требований, которые должен выполнять каж­дый пользователь. Ведущие организации, занимающиеся вопросами обеспечения информационной безопасности, разработали шаб­лоны ПБ. Например, институт SANS (System Administration, Net­working, and Security) разработал серию шаблонов различных ПБ (www.sans.org/resources/policies/).

В число этих шаблонов входят, например, следующие политики:

• допустимая политика шифрования — определяет требования к криптографическим алгоритмам, используемым в организации;

• допустимая политика использования — определяет использо­вание оборудования и компьютерных служб для защиты пользо­вателей, ресурсов организации и собственно информации;

• антивирусная защита — определяет основные принципы эф­фективного уменьшения угрозы компьютерных вирусов для сети
организации;

• политика оценки приобретений — определяет возможности
покупок средств защиты организацией и определяет минималь­ные требования к оценке покупок, выполняемых группой инфор­мационной безопасности;

• политика аудита сканирования уязвимостей — определяет
требования и назначает ответственного для сопровождения ауди­та и оценки риска, чтобы удостовериться в целостности инфор­мационных ресурсов, исследовать инциденты, устанавливать соответствие политикам безопасности или проводить мониторинг пользовательской и системной активности;

• политика автоматически передаваемой почты — документи­рует требования того, что никакая почта не может быть автоматически перенаправлена внешнему источнику без соответствующей санкции менеджера или директора;

• политика кодирования полномочий к базе данных (БД) —
определяет требования для безопасного хранения и извлечения
имен пользователей и паролей к БД;

• политика доступа по телефонной линии — определяет соот­ветствующий доступ и его использование авторизованными пер­сонами;

• политика безопасности демилитаризованной зоны — определяет стандарты для всех сетей и оборудования, применяемых в лаборатории, расположенной в демилитаризованной зоне или во
внешних сетевых сегментах;

• политика критической информации — определяет требования
к классификации и безопасности информации организации путем
присвоения соответствующих уровней конфиденциальности;

• политика защиты паролей — определяет стандарты создания,
защиты и смены паролей;

• политика удаленного доступа — определяет стандарты со­единения с сетью организации из любого хоста или сети, являю­щихся внешними для организации;

Читать еще:  Создатель языка программирования c

• политика оценки риска — определяет требования и назначает
ответственного для идентификации, оценки и уменьшения риска
информационной инфраструктуры организации, ассоциированной с сопровождением бизнеса;

• политика безопасности маршрутизатора — определяет стандарты конфигурации минимальной безопасности для маршрути­заторов и коммутаторов внутри сети организации или используемых для работы (изготовления продукции);

• политика безопасности сервера — определяет стандарты кон­
фигурации минимальной безопасности для серверов внутри сети
организации или используемых как продукция;

• политика безопасности VPN — определяет требования для
удаленного Доступа IPSec или L2TP VPN соединений с сетью
организации;

• политика беспроводных соединений — определяет стандарты
для беспроводных систем, используемых для соединения с сетью
организации.

Поэтому, исходя из специфики построения и функционирова­ния организации, формируется соответствующий набор политик безопасности организации. Для обеспечения безопасности межсе­тевого взаимодействия особую роль играет сетевая политика безо­пасности.

Политики и шаблоны безопасности Windows

Большинство политик безопасности систем Windows 2000/XP можно просмотреть в панели управления, в разделе Administrative Tools/Local Security Policy (Локальная политика безопасности).

Политики, определяющие права доступа пользователя

Права доступа пользователя в данном контексте – это действия, которые разрешается выполнять пользователям, входящим в определенную группу безопасности. В отличие от контрольного списка разрешений и прав доступа, который контролирует доступ к определенным объектам (файлам, принтерам), права доступа пользователя касаются операций, влияющих на компьютер в целом.

Права доступа пользователя включают в себя права регистрации и различные привилегии. Права доступа пользователя отображаются на панели управления Windows 2000/XP в разделе Local Security Policy (Локальная политика безопасности) в папке Local PoliciesUser Rights Assignment (Локальные политики /Назначение прав пользователя).

Политики параметров безопасности

Заданные по умолчанию настройки политик параметров безопасности обеспечивают не очень высокий уровень безопасности, приемлемый для работы в небольших сетях и в домашних условиях. Политики параметров безопасности отображаются на панели управления Windows 2000/XP в разделе Local Security Policy в папке Security SettingsLocal PoliciesSecurity Options (Локальные политики /Параметры безопасности).

Windows 2000/XP сохраняет информацию о конфигурации политик безопасности сразу же, как только закончено их конфигурирование в панели управления (происходит изменение системного реестра).

Групповые политики безопасности

Групповые политики безопасности являются приоритетными настройками Windows по сравнению с настройками отдельных групп и пользователей. Если настройка групповой политики выполнена для локального компьютера, она будет применяться ко всем пользователям, зарегистрированным в системе (несмотря на различия в папках Computer Configuration и User Configuration).

Групповая политика настраивается с помощью оснастки Group Policy консоли MMC. В состав этой оснастки входят все политики безопасности, входящие в раздел панели управления Security Settings. Кроме этого раздела, для настройки групповой политики используется папка Administrative Templates.

Шаблоны безопасности

Шаблоны безопасности используются, когда администратор хочет установить единообразные настройки безопасности на нескольких компьютерах сети. Шаблон безопасности – это файл, который содержит описания уже сконфигурированных настроек безопасности.

По умолчанию шаблоны безопасности хранятся в виде обычных текстовых файлов с расширением .inf в папке %SystemRoot%SecurityTemplates. Создание и модификация шаблонов безопасности производится из консоли ММС с помощью оснастки Security Templates (Шаблоны безопасности). Консоль ММС открывается с помощью команды ММС в режиме командной строки. Добавление оснастки в консоль производим командой Консоль /Добавить или удалить оснастку:

В открывшемся окне при нажатии кнопки «Добавить» будет выведен список оснасток:

При изменении настроек шаблона они сохраняются в файле, но применение этих настроек происходит только после специальной процедуры с использованием другой оснастки ММС.

Создание нового шаблона.

Чтобы создать новый шаблон, выделите мышью папку, в которой он должен находиться, и правой кнопкой мыши вызовите контекстное меню. Выберите команду New Template. Укажите имя шаблона и его описание. Чтобы создать настройки шаблона, удобнее всего скопировать в новый шаблон копию уже существующего шаблона, и затем изменить их нужным образом. Чтобы создать копию шаблона, нужно выделить его, и в контекстном меню выбрать команду Save As.

Применение настроек шаблона. Применение настроек шаблона происходит из консоли ММС с помощью оснастки Security Configuration And Analysis. Эта оснастка управляет базой данных настроек безопасности. Использовать ее надо так:

  1. Выберите мышью оснастку Security Configuration And Analysis и правой кнопкой мыши вызовите контекстное меню. Выберите команду Open Database.
  2. В открывшемся окне введите название новой базы и щелкните на кнопке Open (или выделите название уже существующей базы).
  3. Сделайте импорт шаблона безопасности. Для этого правой кнопкой мыши вызовите контекстное меню и выберите команду Import Template, затем выберите файл шаблона.
  4. Для применения шаблона выберите мышью оснастку Security Configuration And Analysis и правой кнопкой мыши вызовите контекстное меню. Выберите команду Configure Computer Now.
Читать еще:  Как настроить параметры безопасности

Автоматизация управления политиками безопасности

Рис. 4.11. Окно Добавить изолированную оснастку

Их можно использовать для изменения конфигурации одного или нескольких компьютеров. Изменение конфигурации компьютеров допустимо при помощи оснастки Анализ и настройка безопасности средства Secedit.exe, работающего из командной строки, а также при помощи импорта шаблона в оснастку Локальная политика безопасности. По умолчанию готовые шаблоны безопасности сохранены по адресу: системный_корневой_каталог8есигку TempIates.

Поле установки ОС в системе могут присутствовать приведенные далее шаблоны.

Setup security.inf— «шаблон безопасности по умолчанию», содержит параметры безопасности, используемые по умолчанию, которые применяются во время установки операционной системы, включая разрешения для файлов корневого каталога системного диска. Этот шаблон можно использовать полностью или частично в целях аварийного восстановления.

Compatws.inf— «совместимый», содержит разрешения по умолчанию для рабочих станций и серверов (не контроллеров домена). Учитывается иерархия прав локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи».

Secure*.inf— группа шаблонов «защита», содержит параметры повышенной безопасности.

Hisec*.inf— группа шаблонов «повышенная защита», включает в себя шаблоны, налагающие дополнительные ограничения на уровни кодировки и подписи.

Rootsec.inf— «безопасность системного корневого каталога», включает разрешения для корневого каталога Windows XP Professional. По умолчанию эти разрешения определяются шаблоном Rootsec.inf для корневого каталога системного диска. Шаблон также может быть изменен для применения этих разрешений к корневому каталогу других дисков (не системных).

Параметры шаблонов безопасности можно просмотреть и отредактировать при помощи компонента Шаблоны безопасности. Причем их редактирование аналогично редактированию реальных параметров безопасности. Файлы шаблонов с расширением inf можно просматривать как текстовые файлы.

Выбрав наиболее подходящий шаблон или создав новый, можно внести в него необходимые изменения и распространить их на другие компьютеры, не проводя редактирования параметров безопасности на каждом компьютере отдельно.

Чтобы создать новый шаблон, достаточно в окне созданной консоли выбрать в контекстном меню папки, содержащей шаблоны (рис. 4.12), опцию Создать новый шаблон, дать ему имя и добавить описание.

Для настройки безопасности системы с использованием сохраненного шаблона можно применить пакетные (командные) файлы с заготовленными заранее командами, включающие представленные в листинге 4.7 строки.

Листинг 4.7. secedit.bat

secedit /configure /db C:WINDOWSsecurityDatabaseabcd.sdb /cfg

secedit— средство командной строки для редактирования параметров безопасности;

abcd.sdb— имя базы данных, которая будет создана в процессе выполнения команды;

new. inf — примененный шаблон безопасности.

Рис. 4.12. Список шаблонов безопасности

После выполнения такого пакетного файла все определенные в шаблоне new.inf политики будут применены на компьютере, а все параметры, не определенные в шаблоне, но используемые в настройках компьютера, останутся без изменений.

Применив этот способ распространения политик безопасности, вы можете передать все необходимые изменения настроек компьютерам группы руководителей, рассмотренной ранее в этой главе.

Возможности программ Secedit и mine существенно шире, чем те, что показаны в примерах. Если вы внимательно прочтете встроенную в систему справку по работе с этими программами, то сможете проводить анализ настроек безопасности, а также редактировать групповую политику безопасности, применяемую в домене. Политики и параметры безопасности, определенные на уровне домена, имеют преимущество перед политиками и параметрами, определенными локально.

Здесь же остается добавить только, что все операции должны выполняться от имени администратора компьютера или домена. Как и в других случаях администрирования сети, ошибка, допущенная вами, может потребовать продолжительного времени на исправление. Будьте внимательны!

Комплект типовых документов по информационной безопасности

Содержание комплекта GTS 1035 v2

  1. GTS 0001 Политика информационной безопасности
  2. GTS 0002 Концепция обеспечения информационной безопасности
  3. GTS 0003 Положение о службе информационной безопасности
  4. GTS 0004 План защиты информационных активов от несанкционированного доступа
  5. GTS 0005 Правила обеспечения безопасности при работе пользователей в корпоративной сети
  6. GTS 0006 План обеспечения непрерывности бизнеса и Аварийные процедуры
  7. GTS 0007 Политика резервного копирования и восстановления данных
  8. GTS 0008 Политика управления доступом к ресурсам корпоративной сети
  9. GTS 0009 Политика управления инцидентами информационной безопасности
  10. GTS 0010 Политика обеспечения безопасности удаленного доступа
  11. GTS 0011 Политика обеспечения безопасности при взаимодействии с сетью Интернет
  12. GTS 0012 Политика антивирусной защиты
  13. GTS 0013 Парольная политика
  14. GTS 0014 Политика аудита информационной безопасности
  15. GTS 0015 Политика контроля состояния СУИБ со стороны руководства
  16. GTS 0016 Политика контроля эффективности СУИБ
  17. GTS 0017 Процедура планирования и реализации превентивных и корректирующих мер
  18. GTS 0018 Политика обеспечения безопасности платежных систем организации
  19. GTS 0019 Политика установки обновлений программного обеспечения
  20. GTS 0020 Руководство по защите конфиденциальной информации
  21. GTS 0021 Процедура управления документами и записями
  22. GTS 0022 Регламент использования мобильных устройств
  23. GTS 0023 Регламент работы с цифровыми носителями конфиденциальной информации
  24. GTS 0024 Политика контроля защищенности корпоративной сети
  25. GTS 0025 Политика инвентаризации информационных активов
  26. GTS 0026 Политика обеспечения физической безопасности помещений и оборудования
  27. GTS 0027 Политика обеспечения пропускного и внутриобъектового режима
  28. GTS 0028 Политика в области обучения и повышения осведомленности персонала по ИБ
  29. GTS 0029 Политика обеспечения ИБ при взаимодействии с третьими сторонами
  30. GTS 0030 Политика предотвращения утечки информации по каналам связи
  31. GTS 0031 Политика обеспечения безопасности электронного документооборота
  32. GTS 0032 Политика обеспечения целостности информационных активов
  33. GTS 0033 Технический стандарт безопасности ИТ-инфраструктуры
  34. GTS 0034 Политика регистрации и мониторинга событий ИБ
  35. GTS 0035 Политика обеспечения безопасности при разработке ПО
  36. GTS 0036 Политика обеспечения безопасного хранения защищаемой информации
  37. GTS 0037 Регламент администрирования сетевого оборудования
Читать еще:  Понятие класса в программировании

Типовые документы для внедрения системы управления информационной безопасностью организации

В основе организационных мер защиты информации лежат политики безопасности. В современной практике термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле, политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения безопасности при взаимодействии с сетью Интернет» и т.п.

Разработка политик безопасности собственными силами – длительный и трудоемкий процесс, требующий высокого профессионализма, отличного знания нормативной базы в области безопасности и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Большинство организаций не располагают собственными людскими ресурсами, необходимыми для квалифицированной разработки и внедрения политик безопасности. Отыскать готовые политики безопасности, которые бы оказались применимыми в вашей организации, соответствовали бы ее структуре и требованиям безопасности нереально. Несмотря на доступность соответствующих, в основном англоязычных, ресурсов в сети Интернет, они зачастую являются непригодными для практического использования.

Мы предоставляем набор регулярно обновляемых шаблонов типовых организационно-распорядительных документов в формате MS Word, которые могут использоваться для разработки локальной нормативной базы организации в области информационной безопасности (политик, инструкций, концепций, положений, стандартов, регламентов и т.п.). Все предлагаемые документы успешно прошли стадию практического внедрения.

Эти документы необходимы любой организации для разработки локальной нормативной базы в области информационной безопасности (политик, процедур, инструкций, концепций, положений, стандартов, регламентов, планов, протоколов и т.п.) при внедрении системы управления информационной безопасностью, документировании процессов и требований безопасности, распределении ролей и назначении ответственных за безопасность. Все разрабатываемые GlobalTrust документы в обязательном порядке проходят практическую апробацию и являются завершенными рабочими документами.

Особенности второй редакции комплекта GTS 1035 v2

Вторая редакция комплекта типовых документов по информационной безопасности GTS 1035 v2, доступная для приобретения с начала 2015 года, существенным образом усовершенствована и дополнена по сравнению с предыдущими редакциями, в том числе:

  • Исправлены ошибки, улучшена структура и оформление документов
  • Унифицирован понятийный и терминологический аппарат
  • Актуализировано и дополнено содержание документов с целью приведения их в соответствие с современными нормативными документами и стандартами ИБ
  • Добавлено более десятка новых современных политик безопасности и приложений к ним
  • Учтены замечания и предложения, полученные от клиентов GlobalTrust

Приобретение комплектов документов

Приобрести комплект документов по информационной безопасности GTS 1035 v2, а также стандарты, руководства, книги, инструменты и методики, которые легли в основу его разработки, можно в интернет-магазине GTrust.ru. Поставка документов осуществляется в электронном виде в формате MS Word на CD-ROM или по e-mail.

Поддержка внедрения

Мы обеспечиваем полную поддержку внедрения системы управления информационной безопасностью (СУИБ) организации, предоставляя услуги по обучению, консалтингу, аудиту и аутсорсингу.

Правила лицензирования

Лицензирование шаблонов типовых документов по информационной безопасности производится по количеству систем управления информационной безопасностью (СУИБ), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУИБ.

Компаниям, предполагающим использование шаблонов документов для оказания услуг другим организациям, требуется приобрести специальную консалтинговую лицензию, либо отдельно приобретать лицензии для каждой организации с учетом скидки на количество приобретаемых лицензий.

Ссылка на основную публикацию
Adblock
detector
×
×