От покупки пива и водки ты станешь беднее, а от покупки книги - умнее. © Александр Дьяков 1163 - | 929 - или читать все...
Обратная связь Пожаловаться на материал

Содержание политики безопасности нижнего уровня.


⇐ ПредыдущаяСтр 21 из 40Следующая ⇒

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, - поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Вопросы, на которые следует дать ответ при следовании политике безопасности нижнего уровня:

§ кто имеет право доступа к объектам, поддерживаемым сервисом;

§ при каких условиях можно читать и модифицировать данные;

§ как организован удаленный доступ к сервису?

При формулировке целей политики безопасности нижнего уровня можно ис­ходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими ме­рами. Обычно наиболее формально задаются права доступа к объектам.


Обязанности руководителей подразделений, предписываемые политикой безопасности.

Руководители подразделений отвечают за доведение положений политики безо­пасности до пользователей. Они обязаны:

§ постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;

§ проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

§ организовать обучение персонала мерам безопасности. Обратить особое вни­мание на вопросы, связанные с антивирусным контролем;

§ информировать администраторов локальной сети и администраторов сер­висов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);

§ обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладаю­щего достаточной квалификацией для выполнения этой роли.

 

Обязанности администраторов локальной сети, предписываемые политикой безопасности.

Администраторы сети обеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для претворе­ния в жизнь политики безопасности. Они обязаны:

§ обеспечить защиту оборудования корпоративнойсети, в том числе интерфейсов с другими сетями;

§ оперативно и эффективно реагировать на события, таящие угрозу. Инфор­мировать администраторов сервисов о попытках нарушения защиты;

§ использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, отно­сящуюся к сети в целом и к файловым серверам в особенности;

§ не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;

§ разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в об­наружении и ликвидации вредоносного кода;

§ регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

§ выполнять все изменения сетевой аппаратно-программной конфигурации;

§ гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

§ периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

 

 

Обязанности администраторов сервисов, предписываемые политикой безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопаснос­ти. Они обязаны:

§ управлять правами доступа пользователей к обслуживаемым объектам;

§ оперативно и эффективно реагировать на события, таящие угрозу. Оказы­вать помощь в отражении угрозы, выявлении нарушителей и предоставле­нии информации для их наказания;

§ регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

§ выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

§ ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного про­граммного обеспечения;

§ периодически проводить проверку надежности защиты сервиса. Не допус­кать получения привилегий неавторизованными пользователями.

 

Дата добавления: 2018-06-01; просмотров: 675; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая16171819202122232425Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.01)