Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс....docx
Скачиваний:
250
Добавлен:
21.07.2019
Размер:
32.57 Mб
Скачать

Разработка политики безопасности

В RFC 1244 утверждается, что политика безопасности (securitypolicy) представляет собой набор правил, которых должны придерживаться все лица, имеющие доступ к технологическим и информационным ресурсам организации. Политика безопасно­сти информирует пользователей, менеджеров и технический персонал об их обяза­тельствах по защите технологических и информационных ресурсов организации. Политика безопасности должна указывать механизмы, посредством которых эти обязательства должны выполняться. Как и в случае с планом безопасности, с поли­тикой безопасности должны быть ознакомлены все сотрудники, менеджеры, долж­ностные лица и технический персонал.

Разработка политики безопасности входит в обязанности администраторов по вопро­сам безопасности и сетевых администраторов. Администраторы получают требуемые данные от менеджеров, пользователей, сетевых проектировщиков инженеров, а также, возможно, от юристов компании. Сетевой проектировщик должен работать в тесном контакте с администраторами по вопросам безопасности для того, чтобы иметь ясное представление о том, как политика безопасности может повлиять на процесс проектиро­вания сети.

После того, как политика безопасности разработана с участием пользователей, персонала и менеджеров, менеджеры верхнего уровня должны объяснить ее всем со­трудникам организации (на многих предприятиях от всех сотрудников требуется подписать соответствующий документ, в котором указывается что сотрудник прочи­тал, понял и согласился с политикой безопасности компании).

Компоненты политики безопасности

В целом в политике безопасности должны быть отражены приведенные ниже во­просы.

  • Политика в сфере доступа к сети (An access policy). Определяет права доступа и привилегии пользователей. Она должна задавать основные правила подклю­чения к внешним сетям, подключения к сети новых устройств и установка но­вого программного обеспечения в системах сети.

  • Политика в сфере отчетности (An accountability policy). Определяет ответствен­ность пользователей, операционного персонала и менеджеров. В ней должны быть описаны возможности аудита сети и способы информирования о про­блемах в сфере безопасности сети.

  • Политика в вопросах аутентификации (An authentication policy). С помощью эффек­тивной политики паролей определяет, каким пользователям разрешен вход в сеть и устанавливает способы аутентификации пользователей удаленного доступа.

  • Правила приобретения компьютерных технологий (Computer-technology purchasing guidelines). Описывает требования, которые должны выполняться при приобре­тении, конфигурировании и аудите компьютерных систем и сетей для того, что­бы они соответствовали политике безопасности компании.

ПРИМЕЧАНИЕ

Политики безопасности представляет собой развивающийся документ. Поскольку организа­ции постоянно изменяются, политика безопасности должна регулярно обновляться для того, чтобы отражать новые коммерческие направления и технологические изменения.