- •Лабораторная работа 8. Разработка политики информационной безопасности
- •Общее содержание политики разрешения доступа к технологическим ресурсам.
- •Политика пользования электронной почтой
- •Общее содержание антивирусной политики.
- •По обмену электронными документами:
- •Что включает в себя политика серверной безопасности?
По обмену электронными документами:
разрешено считывать, передавать, изменять только данные, на которые у Вас есть авторизованные права и которые Вам положено знать, включая ошибочно доступные папки и электронную почту;
внутриофисный обмен файлами может выполняться через общедоступную папку на сервере (ДляОбмена); внутриофисный обмен по электронной почте через Интернет ограничивается;
межофисный обмен файлами выполняется по электронной почте email (см. Политику пользования электронной почтой); разрешено использовать интерактивный обмен сообщениями программами типа Messenger, ISQ;
терминальная работа на удаленных серверах выполняется по VPN- каналу;
межофисный обмен данными между удаленными корпоративными базами осуществляется специальными средствами через Интернет, в архивированном виде, критичный трафик может шифроваться стандартными средствами.
по хранению бумажных документов:
также магнитные и электронные носители, фирменные бланки, печати, штампы в предназначенных для этого контейнерах, полках, стеллажах, сейфах, когда они не в работе;
не держать бумажные документы на столе в пределах визуальной доступности во время отсутствия на рабочем месте, хранить в папках по темам;
не делать лишних ксерокопий и печатных копий документов, не оставлять документы в неположенных местах; следует уничтожать ненужные критичные документы, в т.ч. с помощью уничтожителя бумаги.
по обмену бумажными документами:
электронный обмен документами предпочтительнее обмена бумажными документами;
бумажный документ следует передавать адресату в пределах офиса лично в руки, в другой офис – по регламенту через курьера.
Политика информационно-технической поддержки.
Политика информационно-технической поддержки охватывает и описывает все уровни поддержки персонала, выполняемые по заявкам через службу HelpDesk - единой точки контакта с персоналом. Выделяется уровень самопомощи и три уровня поддержки:
щи и три уровня поддержки:
Самопомощь – когда конечный пользователь самостоятельно выполняет действия по устранению проблемы, не нарушающие безопасности сети и других пользователей, такие как перезапуск приложения или компьютера, проверка подключения все кабелей и сетевых ресурсов, антивирусное сканирование и пр.
HelpDesk 1-го уровня – выполняет поддержку заявок общего профиля.
HelpDesk 2-го уровня – выполняет поддержку заявок по работе приложений и систем.
HelpDesk 3-го уровня – выполняет поддержку заявок по развитию приложений, систем, инфраструктуры.
Поддержка HelpDesk закрепляется по уровням за организационными единицами ИТ подразделения: службой СА и эксплуатации стандартных средств , службой ИБ, службой поддержки прикладных программ и систем.
Персонал должен обращаться в HelpDesk 1-го уровня только после выполнения разрешенных процедур самопомощи. Многократное обращение в HelpDesk по инцидентам, устраняемым самопомощью, указывает на несоответствие персонала занимаемой должности.
Что включает в себя политика серверной безопасности?
Политика серверной безопасности применяется к серверному оборудованию, принадлежащему и используемому в компании, и к серверам, зарегистрированным в принадлежащих компании внутренних сетевых доменах.
Все внутренние сервера, развернутые в компании, должны быть в ведении ИТ подразделения, а именно группы системного администрирования (СА). Группа СА должна установить и поддерживать правила разрешенных серверных конфигураций, основанных на потребностях бизнеса и утвержденных службой ИБ. Группа СА должна следить за соответствием конфигурации и проводить политику ограничения, наложенную на сетевое окружение. Группа СА должна также установить правила и процессы смены конфигураций, включающие проверку и разрешение службы ИБ.
Все серверы компании должны быть идентифицированы: а) имя и местонахождение; б) перечень и версии оборудования и операционной системы; в) главные функции и развернутые приложения. Изменения конфигураций и назначения серверов должны сопровождаться соответствующим изменением процедур управления.