Современная электронная библиотека ModernLib.Net

Популярные авторы


:: БСЭ
:: Желязны Роджер
:: Joyce James
:: Андерсон Пол Уильям
:: Толстой Лев Николаевич
:: Станюкович Константин Михайлович
:: Раззаков Федор
:: Лондон Джек
:: Сименон Жорж
:: Чехов Антон Павлович

Популярные книги


:: The Boarding House
:: Бурый волк
:: Пошехонская старина
:: Сорок бочек арестантов
:: Мальтийский сокол
:: 64 килобайта о Фидо
:: Как мы изобрели фотосинтезатор
:: Вторая книга Паралипоменон
:: Основание
:: Подземная Москва


Рефераты, дипломы, учебные пособия

 

Политики безопасности компании при работе в Интернет

ModernLib.Net / Сергей Александрович Петренко / Политики безопасности компании при работе в Интернет - Чтение (Ознакомительный отрывок) (стр. 3)
Автор: Сергей Александрович Петренко
Жанр:

 

 

Маршрутизаторы для выделенных ISDN-линий, сконфигурированные для доступа к корпоративной сети, должны использовать для аутентификации, как минимум, СНАР».


Политика безопасности периметра описывает порядок и правила получения привилегированного доступа к системам безопасности периметра корпоративной сети компании. Кроме того, описывает процедуру инициации и обработки запросов на изменение конфигурации систем безопасности периметра сети, а также порядок и периодичность проверки этих конфигураций.

Примерный текст из политики безопасности периметра:

«Доступ к информации о конфигурации систем безопасности периметра сети компании должен быть ограничен. Информация о конфигурации систем безопасности периметра никогда не должна храниться или передаваться по корпоративной сети и никогда не должна печататься и храниться в виде бумажной копии. Необходимо отслеживать все изменения конфигурации систем сетевой безопасности и периодически проводить аудит безопасности периметра сети».


Политика управления паролями определяет правила и порядок создания и изменения паролей сотрудников компании.

Примерный текст из описания политики управления паролями:

«Все пароли системного уровня (например, root, enable, administrator в системе Windows, пароли администраторов приложений и т. д.) должны изменяться по крайней мере раз в квартал. Все пароли системного уровня должны быть частью глобальной базы данных управления паролями отдела защиты информации. Все пароли пользовательского уровня (например, доступа к электронной почте, к сети, к настольному компьютеру и т. д.) должны изменяться по крайней мере раз в шесть месяцев. Рекомендованный интервал изменения – раз в четыре месяца. Учетные записи сотрудников, которым предоставляется доступ к административным учетным записям на системах с помощью членства в группах или программ sudo, должны иметь пароль, отличный от всех других паролей данного сотрудника».


Это только несколько примеров политик, которые могут быть использованы вашей компанией. С ними и другими политиками безопасности можно ознакомиться на Web-сайте американского института аудиторов и администраторов безопасности SANS (http://www.sans.org/newlook/resources/policies/policies.htm).

<p>1.4.9. Процедуры безопасности</p>

Процедуры безопасности так же важны, как и политики безопасности. Если политики безопасности определяют что должно быть защищено, то процедуры безопасности определяют как защитить информационные ресурсы компании. Приведем здесь примеры нескольких важных процедур безопасности.

Процедура управления конфигурацией обычно определяется на уровне отдела или на уровне компании. Но даже если есть процедура по управлению изменениями на уровне компании, индивидуальные группы могут иметь собственные процедуры. Процедура управления изменениями должна определять процесс документирования и запроса на изменения конфигурации всех масштабов (от простой инсталяции маршрутизатора до изменения списков контроля доступа на межсетевом экране). Идеально, если служба защиты информации проводит анализ изменений и контролирует запросы на изменения. Процесс управления изменениями важен по нескольким ключевым причинам:

• документированные изменения обеспечивают возможность проведения аудита безопасности;

• в случае возможного простоя из-за изменения проблема будет быстро определена;

• обеспечивается способ координирования изменений таким образом, чтобы одно изменение не влияло на другое изменение.


Процедуры резервного копирования информации и хранения резервных копий вне офиса могут потребоваться из-за требований клиентов и партнеров по бизнесу. Число сотрудников компании, имеющих доступ к резервным лентам за пределами компании, должно быть сведено к минимуму. Вы должны тестировать возможность восстановления информации из резервных носителей на регулярной основе для проверки целостности резервных копий. Часть процедуры резервного копирования может быть выполнена в виде программы или сценария, который автоматизирует процесс создания резервных копий.

Процедура обработки инцидентов определяет порядок обработки и расследования инцидентов. Эта процедура должна осуществляться в любой компании. Невозможно определить порядок реагирования на все инциденты, но вы должны описать порядок реагирования на основные их типы. Вот некоторые из них: сканирование портов, атаки типа «отказ в обслуживании», взлом компьютеров, взлом пароля учетной записи и несоответствующее использование информационных систем. Необходимо назначить одного сотрудника, отвечающего за взаимодействие с правоохранительными органами.

Конец бесплатного ознакомительного фрагмента.
  • Страницы:
    1, 2, 3

    		•