2. Специализированные политики безопасности

Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие специфичны для определенных компьютерных окружений.

С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:

• политики, затрагивающие значительное число пользователей;

• политики, связанные с конкретными техническими областями.

К специализированным политикам, затрагивающим значительное число пользователей, относятся:

• политика допустимого использования;

• политика удаленного доступа к ресурсам сети;

• политика защиты информации;

• политика защиты паролей и др.

К специализированным политикам, связанным с конкретными техническими областями, относятся:

• политика конфигурации межсетевых экранов;

• политика по шифрованию и управлению криптоключами;

• политика безопасности виртуальных защищенных сетей VPN;

• политика по оборудованию беспроводной сети и др.

Рассмотрим подробнее некоторые из ключевых специализированных политик.

Политика допустимого использования

Базовая политика безопасности обычно связана с рядом политик допустимого использования. Целью политики допустимого использования является установление стандартных норм безопасного использования компьютерного оборудования и сервисов в компании, а также соответствующих мер безопасности сотрудников с целью защиты корпоративных ресурсов и собственной информации. Неправильное использование компьютерного оборудования и сервисов подвергает компанию рискам, включая вирусные атаки, компрометацию сетевых систем и сервисов. Конкретный тип и количество политик допустимого использования зависят от результатов анализа требований бизнеса, оценки рисков и корпоративной культуры в организации.

Политика допустимого использования применяется к сотрудникам, консультантам, временным служащим и другим работникам в компании, включая сотрудников сторонних организаций. Политика допустимого использования предназначается в основном для конечных пользователей. Эта политика указывает пользователям, какие действия разрешаются, а какие запрещены.

Политика допустимого использования должна установить:

• ответственность пользователей за защиту любой информации, используемой и/или хранимой их компьютерами;

• возможность читать и копировать файлы, которые не являются собственными документами пользователей, но доступны им;

• уровень допустимого использования для электронной почты и веб-доступа.

Существует много видов политики допустимого использования. В частности, могут быть политики допустимого использования для компьютеров, передачи данных, коммуникаций электронной почты, портативных персональных компьютеров, веб-доступа и др.

Для образовательных и государственных учреждений политика допустимого использования, по существу, просто обязательна. Без зафиксированной в соответствующем документе политики допустимого использования штатные сотрудники управления и поддержки сети не имеют формальных оснований для применения санкций к своему или стороннему сотруднику, который допустил грубое нарушение правил безопасной работы на компьютере или в сети.

Для политики допустимого использования не существует специального формата. В этой политике должно быть указано имя сервиса, системы пли подсистемы (например, политика использования компьютера, электронной почты, портативных компьютеров и паролей ) п описано в самых четких терминах разрешенное и запрещенное поведение. В этой политике должны быть также подробно описаны последствия нарушения ее правил и санкции, накладываемые на нарушителя.

Разработка политики допустимого использования выполняется квалифицированными специалистами по соответствующему сервису, системе или подсистеме под контролем комиссии (команды), которой поручена разработка политики безопасности организации.