Процедуры безопасности Политики безопасности
Политика безопасности — это набор правил, руководств и контрольных перечней. Инженеры по сетям и руководители организации совместно разрабатывают правила и руководства для безопасности компьютерного оборудования. В политику безопасности входят следующие элементы:
Заявление о допустимом использовании компьютеров организации.
Списки сотрудников, которым разрешено использовать компьютерное оборудование.
Списки устройств, установка которых в сети разрешена, а также условия установки. Примеры оборудования, которое может использоваться для атак сети — модемы и беспроводные точки доступа.
Требования, необходимые для обеспечения конфиденциальности данных в сети.
Процесс получения сотрудниками доступа к оборудованию и данным. Этот процесс может требовать от сотрудника подписания соглашения, связанного с правилами компании. В нем также перечислены последствия несоблюдения правил.
В политике безопасности должно описываться решение проблем безопасности в компании. Локальные политики безопасности в различных организациях могут различаться, однако есть вопросы, которые должны задать все организации.
Какие ресурсы требуют защиты?
Каковы возможные угрозы?
Каковы действия в случае нарушения безопасности?
Какое обучение будут проходить конечные пользователи?
ПРИМЕЧАНИЕ. Для обеспечения эффективности политика безопасности должна применяться и соблюдаться всеми сотрудниками.
Требования политики безопасности
Ценность физического оборудования часто гораздо меньше ценности данных, которые на нем содержатся. Получение конфиденциальных данных компании конкурентами или преступниками может повлечь за собой большие издержки. Такая утрата может привести к потере доверия к компании и увольнению компьютерных инженеров, ответственных за обеспечение безопасности. Для защиты данных могут быть применены несколько способов обеспечения безопасности.
Организация должна стремиться обеспечить наилучшую и наиболее доступную защиту от утери данных и повреждения программного обеспечения и оборудования. Инженеры по сетям и руководство организации должны совместно разработать политику безопасности, обеспечивающую защиту данных и оборудования ото всех угроз безопасности. При разработке политики руководители должны подсчитать стоимость потери данных относительно затрат на обеспечение безопасности и определить допустимые компромиссы. Политика безопасности включает в себя исчерпывающее заявление о требуемом уровне безопасности и о том, как он будет достигнут.
Вы можете участвовать в разработке политики безопасности для клиента или организации. При создании политики безопасности задайте следующие вопросы, чтобы определить факторы безопасности:
Где находится компьютер: дома или на предприятии? - Домашние компьютеры уязвимы для беспроводных вторжений. Для рабочих компьютеров существует высокая опасность сетевых вторжений, поскольку предприятия более привлекательны для хакеров, а также поскольку зарегистрированные пользователи могут нарушать правила доступа.
Используется ли постоянное подключение к Интернету? - Чем дольше компьютер подключен к Интернету, тем больше вероятность атак. На компьютере с доступом к Интернету должны быть установлены межсетевой экран и антивирусное ПО.
Является ли компьютер портативным? - Физическая безопасность — проблема портативных компьютеров. Существуют такие средства защиты портативных компьютеров, как кабельные замки, биометрия и методы отслеживания.
При создании политики безопасности необходимо учитывать несколько ключевых областей:
Процесс обработки инцидентов сетевой безопасности
Процесс аудита существующей безопасности сети
Общая структура безопасности для реализации безопасности сети
Разрешенные способы поведения
Запрещенные способы поведения
Объекты для регистрации и способ хранения журналов: средство просмотра событий, файлы системного журнала или файлы журнала безопасности
Сетевой доступ к ресурсам через разрешения учетной записи
Технологии проверки подлинности для доступа к данным: имена пользователей, пароли, биометрические данные и смарт-карты
Политика безопасности также должна предоставлять подробную информацию о следующих вопросах в чрезвычайных ситуациях.
Предпринимаемые действия после нарушения безопасности
Контактное лицо при возникновении чрезвычайных ситуаций
Информация для предоставления заказчикам, поставщикам и средствам массовой информации
Дополнительные местоположения для использования при эвакуации
Действия после ликвидации чрезвычайной ситуации, включая приоритет восстанавливаемых служб
Область действия политики и последствия ее несоблюдения должны быть четко описаны. Политики безопасности должны регулярно проверяться и при необходимости обновляться. Сохраняйте историю изменений для отслеживания изменений политики. Обеспечение безопасности — это обязанность всех сотрудников компании. Все сотрудники, включая тех, кто не пользуется компьютерами, должны пройти обучение, чтобы ознакомиться с политикой безопасности, а также уведомляться об ее обновлениях.
В политике безопасности также необходимо определить доступ сотрудников к данным. Политика должна запрещать общий доступ к конфиденциальным данным, при этом позволяя сотрудникам выполнять свои рабочие задачи. Данные могут быть классифицированы от общедоступных до совершенно секретных с несколькими различными уровнями между ними. Общедоступная информация может просматриваться всеми пользователями и не имеет ограничений безопасности. Общедоступная информация не может использоваться для причинения ущерба компании или отдельным лицам. Совершенно секретная информация должна быть наиболее защищенной, поскольку раскрытие данных может принести большой вред правительству, компании или отдельным лицам.