Содержание политики безопасности нижнего уровня.
Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, - поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.
Вопросы, на которые следует дать ответ при следовании политике безопасности нижнего уровня:
§ кто имеет право доступа к объектам, поддерживаемым сервисом;
§ при каких условиях можно читать и модифицировать данные;
§ как организован удаленный доступ к сервису?
При формулировке целей политики безопасности нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.
Обязанности руководителей подразделений, предписываемые политикой безопасности.
Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:
§ постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;
|
|
§ проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;
§ организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;
§ информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);
§ обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.
Обязанности администраторов локальной сети, предписываемые политикой безопасности.
Администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претворения в жизнь политики безопасности. Они обязаны:
§ обеспечить защиту оборудования корпоративнойсети, в том числе интерфейсов с другими сетями;
§ оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты;
|
|
§ использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;
§ не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;
§ разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обнаружении и ликвидации вредоносного кода;
§ регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
§ выполнять все изменения сетевой аппаратно-программной конфигурации;
§ гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
§ периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.
Обязанности администраторов сервисов, предписываемые политикой безопасности.
Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:
|
|
§ управлять правами доступа пользователей к обслуживаемым объектам;
§ оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
§ регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
§ выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
§ ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного программного обеспечения;
§ периодически проводить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.
Дата добавления: 2018-06-01; просмотров: 675; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!