Корпоративная политика безопасности
Десять вещей, которые должны быть в каждой политике сетевой безопасности.
Каждая сеть нуждается в политике безопасности, обозначающей основные направления, которым следует уделять особое внимание. Какие вопросы должны быть включены в политику?
Каждая компания уникальна и имеет различные сетевые инфраструктуры и, соответственно, различные потребности в области безопасности. Есть 10 ключевых политик, которые должны быть включены в каждую политику сетевой безопасности, вне зависимости от размера компании и ее сферы деятельности. Ниже приведено краткое изложение этих политик.
1. Корневая политика безопасности: Эта политика устанавливает границы остальных политик. Она также служит в качестве главной политики, руководства для конкретных стратегий и программ. Она описывает общую политику в области безопасности – основные правила, охватывающие все сети и данные компании.
2. Политики рабочих станций: Эти политики должны описывать политику мониторинга компании. Они также должны описывать служебное и личное использование программ, аппаратных средств и данных, виды аппаратного и программного обеспечения, которые могут быть добавлены в систему, паролирование и процедуры защиты данных, требования к шифрованию данных, резервное копирование данных. Они должны разрешать/запрещать загрузку и скачивание программного обеспечения, описывать типы данных, к которым могут или не могут иметь доступ коллеги и деловые партнеры, а также определять инсайдерскую информацию.
3. Серверные политики: С учетом той важной роли, которую играют серверы на большинстве предприятий, то важное значение имеет определение конкретных стратегий для их развертывания, настройки, управления и защиты. Этот раздел должен описывать все серверы – в том числе серверы электронной почты, FTP и HTTP – и указывать, кто отвечает за каждую систему, определять круг задач и обязанностей для ответственных лиц.
4. Политики электронной почты: Это политики, описывающие разрешения для пользователей электронной почты, назначающие процедуры обработки возможного спама и вредоносных программ, налагающие запреты на определенные типы вложений, определяющие процедуры доступа, допустимое клиентское программное обеспечение, содержание (то, что пользователи могут и не могут включать в свои сообщения), политику мониторинга электронной почты компании.
5. Политики web-доступа: Эти политики описывают то, что сотрудники могут и не делать при доступе и использовании сети Интернет, в том числе утверждают браузеры и необходимые их настройки, правила веб-серфинга, ограничение и запрещение сайтов, приемлемые и запрещенные надстройки браузера, а также правила, касающиеся доступа и использования материалов, защищенных авторскими правами.
6. Политики удаленного доступа: Эти политики являются обязательными для любых компаний работающих в области телекоммуникаций либо имеющих удаленных сотрудников, которые подключаются к сети компании не из офиса. Эти политики должны включать требования к удаленному доступу, учет разрешений и ограничений. Они должны описывать разрешенные и запрещенные виды деятельности, допустимое ПО и аппаратные средства клиента, политики беспроводного доступа, политики паролирования доступа, а также условия предоставления доступа к сети несотрудникам, например деловым партнерам.
7. Мобильные политики: Эти политики посвящены вопросам, связанным с мобильными устройствами, такими как ноутбуки, КПК, медиа-плееры и портативные устройства хранения данных. Как мобильные устройства будут использоваться? Для чего они не могут быть использованы? Какова ответственность сотрудников, обеспечивающих безопасность мобильных систем и их данных? Какие личные устройства могут быть использованы на предприятии? Какие личные устройства запрещены? Эти вопросы должны найти ответ в мобильных политиках.
8. Политики беспроводного доступа: Беспроводные устройства, с одной стороны, очень полезны, но, с другой стороны, они представляют собой серьезную угрозу безопасности. Эти политики, базирующиеся на мобильных политиках, должны описать, каким беспроводным устройствам разрешен и запрещен доступ. Общие процедуры сетевого подключения и разрешения также должны быть включены в эти политики.
9. Конфигурация интернет-шлюза: любое устройство, которое взаимодействует с сетью Интернет должно быть настроено так, чтобы получать доступ к сети без ущерба для корпоративной сети, а также устройств и данных. В этих политиках необходимо описать все соответствующие устройства, в том числе свитчи, брандмауэры и маршрутизаторы, а также их параметры, необходимые протоколы взаимодействия.
10. Стратегия реагирования: пожары, ураганы, землетрясения, хакерские атаки, системные сбои и террористические акты могут поразить любой бизнес. Эти политики должны содержать описание процедур и действий, которые вступят в силу, когда наступит стихийное бедствие. Текст должен описывать круг лиц, уполномоченных объявлять чрезвычайное положение (в том числе номера телефонов, адреса электронной почты и физические адреса), а также шаги, которые должны быть приняты в случае конкретных типов инцидентов, как, например, обращения в государственные учреждения безопасности, обращения к юристам, старшему руководящему звену, техническому персоналу и так далее.
При создании политики безопасности необходимо проделать очень много работы, этот документ должен предупредить многие критические ситуации и обеспечить важную информацию надежной защитой, одновременно информация должна быть легко доступна легальным пользователям.
21 января 2009 16:27 | Статьи
22 июня, 2009 в 15:27
[...] Шаг первый: Осознание угрозы. Переносные устройства хранения (USB-накопители) дешевы и широко распространены. Устройства продаются буквально в переходах, вручаются в качестве премий или даже как реклама с логотипом торговой марки, осуществляется обмен между сотрудниками и деловыми партнерами. Заклейка USB портов компьютера не улучшит ситуацию. Устройства хранения в настоящее время имеют широкое применение, поэтому полное их блокирование нанесет вред производительности труда. Гораздо лучший подход заключается в том, чтобы добавить переносные устройства хранения в политику безопасности предприятия. [...]
11 ноября, 2009 в 16:37
[...] административными паролями и применить такую политику безопасности, согласно которой будет ограничиваться доступ к [...]
25 ноября, 2009 в 16:32
[...] безопасности. Политика брандмауэра должна отражать политику безопасности компании и не создавать свои собственные правила, которые [...]