Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко
Чтение книги онлайн.

Читать онлайн книгу Политики безопасности компании при работе в Интернет - Сергей Александрович Петренко страница 21

СКАЧАТЬ ожиданий со стороны компании и сотрудников;

      • четкого определения процедур безопасности, которым нужно следовать;

      • обеспечения юридической поддержки в случае возникновения проблем в области безопасности.

      Стандарты реализуются с помощью практик и/или процедур. Практики являются реализацией стандартов в операционных системах, приложениях и информационных системах. В них детализируются сервисы, устанавливаемые на операционных системах, порядок создания учетных записей и т. д. Процедуры документируют процессы запроса и подтверждения доступа к определенным сервисам, например VPN.

      Рассмотрим особенности предлагаемого подхода IBM (рис. 2.3) на следующем примере:

      • проблемная ситуация – сотрудники загружают программное обеспечение из сети Интернет, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности работы сотрудников компании;

      • в политику безопасности добавляется строка – «информационные ресурсы компании могут быть использованы только для выполнения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудникам компании;

      • создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспечение разрешены для использования сотрудниками;

      • практика безопасности описывает, как настроить операционную систему в соответствии с требованиями стандарта безопасности;

      • процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или установку дополнительного программного обеспечения сотрудниками;

      • устанавливаются дополнительные сервисы для контроля выполнения требований политики безопасности.

      Рис. 2.3. Подход IBM к разработке документов безопасности

      2.1.2. Пример стандарта безопасности для ОС семейства UNIX

      Цель и область действия стандарта: документ определяет требования по защите компьютеров, работающих под управлением ОС семейства UNIX.

      Аудитория: персонал служб информационных технологий и информационной безопасности.

      Полномочия: отдел информационной безопасности наделяется всеми полномочиями для разрешения возможных проблем, связанных с безопасностью серверов информационной системы компании, и несет за это ответственность. Департамент управления информационными рисками утверждает все отклонения от требований данного стандарта.

      Срок действия: с 1 января до 31 декабря … года.

      Исключения: все отклонения от выполнения данного стандарта должны получить подтверждение в отделе информационной безопасности.

      Поддержка: по всем вопросам, связанным с этим стандартом, обращаться в отдел информационной безопасности.

      Пересмотр стандарта: стандарт пересматривается ежегодно.

      СТАНДАРТ БЕЗОПАСНОСТИ ОС СЕМЕЙСТВА СКАЧАТЬ