Vvmebel.com

Новости с мира ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что понимается под политикой безопасности

Что такое политика информационной безопасности предприятия?

Политика информационной безопасности — набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.

Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.

Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.

Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.

Политика безопасности — это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности :

  • определение какие данные и насколько серьезно необходимо защищать,
  • определение кто и какой ущерб может нанести фирме в информационном аспекте,
  • вычисление рисков и определение схемы уменьшения их до приемлимой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз». Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия ?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки».

Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:

  • концепция безопасности информации;
  • определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
  • сопоставление угроз с объектами защиты;
  • оценка рисков;
  • оценка величины возможных убытков, связанных с реализацией угроз;
  • оценка расходов на построение системы информационной безопасности;
  • определение требований к методам и средствам обеспечения информационной безопасности;
  • выбор основных решений обеспечения информационной безопасности;
  • организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
  • правила разграничения доступа.

Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений.

Политика безопасности

Содержание

Определение политики безопасности

Политика безопасности организации (англ. organizational security policies ) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

  • от конкретной технологии обработки информации;
  • от используемых технических и программных средств;
  • от расположения организации;

Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Предполагаемые ущербы

Далее следует выяснение насколько серьёзный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.

Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :

Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Риск предприятия

Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :

На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка «Итого»).

Если интегральный риск превышает допустимое значение, значит, в системе безопасности набирается множество мелких погрешностей, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.

Читать еще:  События безопасности подлежащие регистрации

Источники

  • ГОСТ Р ИСО/МЭК 15408
  • [1]

См. также

  • Государственная информационная политика России
  • Информационное право
  • Стандарты информационной безопасности
  • Персональные данные

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое «Политика безопасности» в других словарях:

политика безопасности — Набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение критичной информации. [http://www.rfcmd.ru/glossword/1.8/index.php?a=index&d=4264] Тематики защита информации EN security policy … Справочник технического переводчика

политика безопасности — 2.39 политика безопасности (security policy): Утвержденный план или способ действий по обеспечению информационной безопасности. Источник: ГОСТ Р ИСО/ТС 22600 2 2009: Информатизация здоровья. Управление полномочиями и контроль доступа. Часть … Словарь-справочник терминов нормативно-технической документации

политика безопасности оператора связи — политика безопасности оператора связи: Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи. [ГОСТ Р 52448 2005, пункт … Словарь-справочник терминов нормативно-технической документации

Политика безопасности организации — (organisational security policies): одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. Источник: ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ.… … Официальная терминология

Политика безопасности оператора связи — Политика безопасности оператора связи: совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи. Источник: ЗАЩИТА… … Официальная терминология

политика безопасности (информации в организации) — Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. [ГОСТ Р 50922 2006] Тематики защита информации … Справочник технического переводчика

политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) — 2.12 политика безопасности информационно телекоммуникационных технологий (политика безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно… … Словарь-справочник терминов нормативно-технической документации

политика безопасности (информации в организации) — 3.3.2 политика безопасности (информации в организации): Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Источник: Р… … Словарь-справочник терминов нормативно-технической документации

Политика безопасности оператора связи — 1. Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи Употребляется в документе: ГОСТ Р 52448 2005 Обеспечение… … Телекоммуникационный словарь

Общая внешняя политика и политика безопасности — Европейский союз Эт … Википедия

Политика безопасности в компьютерных системах.

Политика безопасности — набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.

Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств, и определяющих архитектуру системы защиты. Ее реализация для конкретной КС осуществляется при помощи средств управления механизмами защиты.

Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств расположения организации т.д.

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.

Организация доступа к ресурсам предполагает:

• разграничение прав пользователей и обслуживающего персонала по доступу к ресурсам КС в соответствии с функциональными обязанностями должностных лиц;

• организацию работы с конфиденциальными информационными ресурсами на объекте;

• защиту от технических средств разведки;

• эксплуатацию системы разграничения доступа.

Охрана объекта КС обеспечивает разграничение непосредственного доступа людей на контролируемую территорию, в здания и помещения.

Права должностных лиц по доступу к ресурсам КС устанавливаются руководством организации, в интересах которой используется КС. Каждому должностному лицу определяются для использования технические ресурсы (рабочая станция, сервер, аппаратура передачи данных и т.д.), разрешенные режимы и время работы. Руководством устанавливается уровень компетенции должностных лиц по манипулированию информацией. Лицо, ответственное за ОБИ в КС, на основании решения руководителя о разграничении доступа должностных лиц обеспечивает ввод соответствующих полномочий доступа в систему разграничения доступа.

Руководство совместно со службой безопасности определяет порядок работы с конфиденциальными информационными ресурсами, не используемыми непосредственно в КС, хотя бы и временно. К таким ресурсам относятся конфиденциальная печатная продукция, в том числе и полученная с помощью КС, а также машинные носители информации, находящиеся вне устройств КС. Учетом, хранением и выдачей таких ресурсов занимаются должностные лица из службы безопасности, либо другие должностные лица по совместительству.

Основой избирательной политики безопасности является избирательное управление доступом.

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа.

Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту — столбец. На пересечении столбца и строки матрицы указывается тип (типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.

Матрица доступа — наиболее примитивный подход к моделированию систем, который, однако, является основой для более сложных моделей, наиболее полно описывающих различные стороны реальных КС.

Вследствие больших размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД. Каждый из этих способов представления МД имеет свои достоинства и недостатки, обуславливающие область их применения.

Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности (accountability), а также имеет приемлемую стоимость и небольшие накладные расходы.

Основу полномочной политики безопасности составляет полномочное управление доступом.

Каждому объекту системы присвоена метка критичности. В том случае, когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру (например, от рядовых исполнителей к руководству).

Каждому субъекту системы присвоен уровень прозрачности. Каждый субъект кроме уровня прозрачности имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.

Для моделирования полномочного управления доступом используется модель Белла-Лападула. Для принятия решения на разрешение доступа производится сравнение метки критичности объекта с уровнем прозрачности и текущим уровнем безопасности субъекта. Результат сравнения определяется двумя правилами: простым условием защиты и свойством. В упрощенном виде, они определяют, что информация может передаваться только «наверх», то есть субъект может читать содержимое объекта, если его текущий уровень безопасности не ниже метки критичности объекта, и записывать в него, — если не выше.

Простое условие защиты гласит, что любую операцию над объектом субъект может выполнять только в том случае, если его уровень прозрачности не ниже метки критичности объекта.

Основное назначение полномочной политики безопасности — регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние. При этом она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).

Читать еще:  Политика сетевой безопасности

Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект.

Грубо говоря можно “читать вниз” и “писать вверх”.

Как уже отмечалось для того, чтобы получить информацию о каком-либо объекте системы, вовсе не обязательно искать пути несанкционированного доступа к нему. Можно получать информацию, наблюдая за работой системы и, в частности, за обработкой требуемого объекта. Иными словами, при помощи каналов утечки информации. По этим каналам можно получать информацию не только о содержимом объекта, но и о его состоянии, атрибутах и др. в зависимости от особенностей системы и установленной защиты. Эта особенность связана с тем, что при взаимодействии субъекта и объекта возникает некоторый поток информации от субъекта к объекту (информационный поток) Информационные потоки существуют в системе всегда. Поэтому возникает необходимость определить, какие информационные потоки в системе являются «легальными», то есть не ведут к утечке информации, а какие — ведут.

Таким образом, возникает необходимость разработки правил, регулирующих управление информационными потоками в системе.

Избирательное и полномочное управление доступом, а также управление информационными потоками — своего рода три кита, на которых строится вся защита.

Эффективность функционирования системы разграничения доступа во многом определяется надежностью механизмов аутентификации. Особое значение имеет аутентификация при взаимодействии удаленных процессов, которая всегда осуществляется с применением методов криптографии.

Содержание политики безопасности

Политика безопасности — это документ «верхнего» уровня, в котором должно быть указано:

  • ответственные лица за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

два фундаментальных принципа, на которых строится распределение ролей и ответственности.
1. Распределение ответственности. Этот принцип означает, что в системе не должно быть субъекта, который мог бы самостоятельно от начала до конца выполнить операцию, которая может нанести ущерб безопасности. Например, если пользователь А выполняет некую транзакцию, имеющую существенное значение для системы, то она должна вступить в силу только после того, как пользователь Б проверит и подтвердит ее корректность. Таким образом, ни А, ни Б не могут по отдельности произвести данную транзакцию, один может только формировать данные для нее, другой — только авторизовать ее (то есть в данном случае отправить на выполнение), — без этих двух процедур транзакция не будет иметь результата.
Если конкретная операция в системе построена таким образом, что она не может быть разделена между двумя пользователями, значит, при ее критической важности, она должна быть выполнена одним пользователем только в присутствии другого. Это может быть достигнуто, например, разделением пароля на аутентификацию пользователя, от имени которого запускается функция, на две (или более) части. Иногда можно встретить другое определение такого принципа — «в четыре глаза».
Если же объективно ряд значимых операций должен выполняться только одним человеком, то результаты его действий должны регистрироваться в журналах, к которым он не имеет доступа на корректировку. Эти журналы должны регулярно анализироваться другим человеком.
Набор прав и обязанностей, который можно применить к тому или иному сотруднику в зависимости от его функций, называется ролью. Цельполитики ролей на предприятии — унифицировать и упростить делегирование прав сотрудникам. После разработки подобной схемы исчезает необходимость составлять ради каждого вновь прибывшего работника набор его прав и обязанностей и настраивать сотни учетных записей. Достаточно указать принадлежность сотрудника той или иной роли, и, возможно, произвести минимальное редактирование профиля.

2. Минимизация привилегий (англ. least privelegies). Этот принцип означает, что пользователю предоставляется ровно столько прав, сколько ему необходимо для выполнения работы, т. е. если в обязанности пользователя входит формирование отчетов по всей базе данных, то он должен иметь доступ ко всем данным, но только на чтение. Если пользователь должен выполнять транзакции, изменяющие состояние двух групп объектов, то он должен иметь доступ на модификацию (в зависимости от конкретной задачи, возможно, на создание и/или удаление) только к этим двум объектам.

Можно возразить, что объективно в информационном пространстве должен присутствовать субъект, имеющий полный доступ ко всем ресурсам, хотя бы для того, чтобы добавлять новых пользователей и наделять их правами на доступ (а значит, и имеющий возможность установить себе полный доступ ко всем информационным объектам) — например, администратор локальной сети. Возможно, это будет верно для небольших предприятий, однако там, где есть возможность содержать в штате более одного администратора, необходимо разделять их права, например, с помощью выделения доменов ответственности, на ресурсном принципе или по какой-либо другой схеме.

Политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений.

1. Основные положения информационной безопасности.

Читать еще:  Как отключить антивирус майкрософт

2. Область применения.

3. Цели и задачи обеспечения информационной безопасности.

Основные понятия политики безопасности

Политика безопасности определяет стратегию управления в области информационной безопасности, а также меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого конкретными документами специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматриваться, гарантируя тем самым учет текущих потребностей организации. Документ политики составляют таким образом, чтобы политика была относительно независимой от конкретных технологий, в этом случае документ не потребуется изменять слишком часто.
Для того чтобы познакомиться с основными понятиями политики безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоторой организации, и ассоциированную с ней политику безопасности.
Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа, который призван продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.

Область применения. В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации. Основные цели — обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. К частным целям относятся:
• обеспечение уровня безопасности, соответствующего нормативным документам;
• следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);
• обеспечение безопасности в каждой функциональной области локальной сети;
• обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
• обеспечение анализа регистрационной информации;
• предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
• выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
• обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.
Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности. Они обязаны:
• обеспечивать защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;
• оперативно и эффективно реагировать на события, таящие угрозу, информировать администраторов сервисов о попытках нарушения защиты;
• использовать проверенные средства аудита и обнаружения подозрительных ситуаций, ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;
• не злоупотреблять своими полномочиями, так как пользователи имеют право на тайну;
• разрабатывать процедуры и подготавливать инструкции для защиты локальной сети от вредоносного программного обеспечения, оказывать помощь в обнаружении и ликвидации вредоносного кода;
• регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
• выполнять все изменения сетевой аппаратно-программной конфигурации;
• гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам, выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
• периодически производить проверку надежности защиты локальной сети, не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов отвечают за конкретные сервисы, и в частности за построение защиты в соответствии с общей политикой безопасности. Они обязаны:
• управлять правами доступа пользователей к обслуживаемым объектам;
• оперативно и эффективно реагировать на события, таящие угрозу, оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
• регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
• выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
• ежедневно анализировать регистрационную информацию, относящуюся к сервису, регулярно контролировать сервис на предмет вредоносного программного обеспечения;
• периодически производить проверку надежности защиты сервиса, не допускать получения привилегий неавторизованными пользователями.

Пользователи работают с локальной сетью в соответствии с политикой безопасности, подчиняются распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставят в известность руководство обо всех подозрительных ситуациях. Они обязаны:
• знать и соблюдать законы, правила, принятые в данной организации, политику безопасности, процедуры безопасности, использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;
• использовать механизм защиты файлов и должным образом задавать права доступа;
• выбирать качественные пароли, регулярно менять их, не записывать пароли на бумаге, не сообщать их другим лицам;
• информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;
• не использовать слабости в защите сервисов и локальной сети в целом, не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
• всегда сообщать корректную идентификационную и аутен-тификационную информацию, не пытаться работать от имени других пользователей;
• обеспечивать резервное копирование информации с жесткого диска своего компьютера;
• знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения, знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;
• знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Санкции. Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут потребоваться для ознакомления дополнительные документы, в частности, документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть краткими — объемом в одну-две страницы.

Эта статья была опубликована Воскресенье, 9 августа, 2009 at 15:43 в рубрике Политика безопасности. Вы можете следить за ответами через RSS 2.0 feed.

Ссылка на основную публикацию
Adblock
detector