Вы можете сделать то, чего не могу сделать я. Я могу сделать то, чего не можете сделать вы. Вместе мы можем творить великие дела. © Мать Тереза 1123 - | 896 - или читать все...
Обратная связь Пожаловаться на материал

Специализированные политики безопасности


⇐ ПредыдущаяСтр 23 из 40Следующая ⇒

Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие — специфичны для определенных компьютерных окружений.
С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:
• политики, затрагивающие значительное число пользователей;
• политики, связанные с конкретными техническими областями.

К специализированным политикам, затрагивающим значительное число пользователей, относятся:
• политика допустимого использования;
• политика удаленного доступа к ресурсам сети;
• политика защиты информации;
• политика защиты паролей и др.

К специализированным политикам, связанным с конкретными техническими областями, относятся:
• политика конфигурации межсетевых экранов;
• политика по шифрованию и управлению криптоключами;
• политика безопасности виртуальных защищенных сетей VPN;
• политика по оборудованию беспроводной сети и др. Рассмотрим подробнее некоторые из ключевых специализированных политик.

Политика допустимого использования. Ее цель — установление стандартных норм безопасного использования компьютерного оборудования и сервисов в компании, а также соответствующих мер безопасности сотрудников для защиты корпоративных ресурсов и собственной информации. Неправильное использование компьютерного оборудования и сервисов подвергает компанию рискам, включая вирусные атаки, компрометацию сетевых систем и сервисов. Конкретный тип и количество политик допустимого использования зависят от результатов анализа требований бизнеса, оценки рисков и корпоративной культуры в организации.
Политика допустимого использования применяется к сотрудникам, консультантам, временным служащим и другим работникам компании, включая сотрудников сторонних организаций. Политика допустимого использования предназначена в основном для конечных пользователей и указывает им, какие действия разрешаются, а какие запрещены. Без зафиксированной в соответствующем документе политики допустимого использования, штатные сотрудники управления и поддержки сети не имеют формальных оснований для применения санкций к своему или стороннему сотруднику, который допустил грубое нарушение правил безопасной работы на компьютере или в сети. Политика допустимого использования устанавливает:
• ответственность пользователей за защиту любой информации, используемой и/или хранимой их компьютерами;
• правомочность пользователей читать и копировать файлы, которые не являются их собственными, но доступны им;
• уровень допустимого использования электронной почты и Web-доступа.

Для образовательных и государственных учреждений политика допустимого использования, по существу, просто обязательна.
Специального формата для политики допустимого использования не существует: должно быть указано имя сервиса, системы или подсистемы (например политика использования компьютера, электронной почты, компактных компьютеров и паролей) и описано в самых четких терминах разрешенное и запрещенное поведение, а также последствия нарушения ее правил и санкции, накладываемые на нарушителя.
Разработка политики допустимого использования выполняется квалифицированными специалистами по соответствующему сервису, системе или подсистеме под контролем комиссии (команды), которой поручена разработка политики безопасности организации.

Политика удаленного доступа. Ее цель — установление стандартных норм безопасного удаленного соединения любого хоста с сетью компании. Стандартные нормы призваны минимизировать ущерб компании из-за возможного неавторизованного использования ресурсов компании. К такому ущербу относятся: утрата интеллектуальной собственности компании, потеря конфиденциальных данных, искажение имиджа компании, повреждения критических внутренних систем компании и т. д.
Эта политика касается всех сотрудников, поставщиков и агентов компании при использовании ими для удаленного соединения с сетью компании компьютеров или рабочих станций, являющихся собственностью компании или находящихся в личной собственности.
Политика удаленного доступа:
• намечает и определяет допустимые методы удаленного соединения с внутренней сетью;
• существенна в большой организации, где сети территориально распределены;
• должна охватывать по возможности все распространенные методы удаленного доступа к внутренним ресурсам.

Политика удаленного доступа определяет:
• какие методы разрешаются для удаленного доступа;
• ограничения на данные, к которым можно получить удаленный доступ;
• кто может иметь удаленный доступ.

Защищенный удаленный доступ должен быть строго контролируемым. Применяемая процедура контроля должна гарантировать, что доступ к надлежащей-информации или сервисам получат только прошедшие проверку люди. Сотрудник компании не должен передавать свой логин и пароль никогда и никому, включая членов семьи. Управление удаленным доступом не должно быть сложным и приводить к возникновению ошибок.
Контроль доступа целесообразно выполнять с помощью одноразовой парольной аутентификации или с помощью открытых/секретных ключей.
Сотрудники компании с правами удаленного доступа должны гарантировать, что принадлежащие им или компании персональный компьютер или рабочая станция, которые удаленно подсоединены к корпоративной сети компании, не будут связаны в это же время с какой-либо другой сетью, за исключением персональных сетей, находящихся под полным контролем пользователя. Кроме того, их соединение удаленного доступа должно иметь такие же характеристики безопасности, как обычное локальное соединение с компанией.
Все хосты, которые подключены к внутренним сетям компании с помощью технологий удаленного доступа, должны использовать самое современное антивирусное обеспечение. Это требование относится и к персональным компьютерам компании.

Любой сотрудник компании, уличенный в нарушении данной политики, может быть подвергнут дисциплинарному взысканию вплоть до увольнения с работы.

Процедуры безопасности

Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, т. е. как реализовывать политики безопасности.

По существу процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Часто процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила конструирования паролей, правила о том, как защитить пароль и как часто его заменять. Процедура управления паролями описывает процесс создания новых паролей, их распределения, а также процесс гарантированной смены паролей на критичных устройствах.

Процедуры безопасности детально определяют действия, которые нужно предпринять при реагировании на конкретные события; обеспечивают быстрое реагирование в критической ситуации; помогают устранить проблему единой точки отказа в работе, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.

Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования логина и пароля пользователя, применяемые сразу, как только данный пользователь увольняется из организации.
Рассмотрим несколько важных процедур безопасности, которые необходимы почти каждой организации.

Процедура реагирования на события является необходимым средством безопасности для большинства организаций. Организация особенно уязвима, когда обнаруживается вторжение в ее сеть или когда она сталкивается со стихийным бедствием.

Процедуру реагирования на события иногда называют процедурой обработки событий или процедурой реагирования на инциденты. Практически невозможно указать отклики на все события нарушений безопасности, но нужно стремиться охватить основные типы нарушений, которые могут произойти. Например: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, НСД и др.
Данная процедура определяет:
• обязанности членов команды реагирования;
• какую информацию регистрировать и прослеживать;
• как обрабатывать исследование отклонений от нормы и атаки вторжения;
• кого и когда уведомлять;
• кто может выпускать в свет информацию и какова процедура выпуска информации;
• как должен выполняться последующий анализ и кто будет в этом участвовать.

В команду реагирования могут быть включены должностные лица компании, менеджер маркетинга (для связи с прессой), системный и сетевой администраторы и представитель соответствующих правоохранительных органов. Процедура должна указать, когда и в каком порядке они вызываются.
Процедура управления конфигурацией обычно определяется на корпоративном уровне или уровне подразделения. Эта процедура должна определить процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений. В принципе должна существовать центральная группа, которая рассматривает все запросы на изменения конфигурации и принимает необходимые решения.
Процедура управления конфигурацией определяет:
• кто имеет полномочия выполнить изменения конфигурации аппаратного и программного обеспечения;
• как тестируется и инсталлируется новое аппаратное и программное обеспечение;
• как документируются изменения в аппаратном и программном обеспечении;
• кто должен быть проинформирован, когда случаются изменения в аппаратном и программном обеспечении.

Процесс управления конфигурацией важен, так как документирует сделанные изменения и обеспечивает возможность аудита; документирует возможный простой системы; дает способ координировать изменения так, чтобы одно изменение не помешало другому.

Дата добавления: 2018-06-01; просмотров: 587; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая18192021222324252627Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.017)