Корпоративная политика безопасности

Десять вещей, которые должны быть в каждой политике сетевой безопасности.

Каждая сеть нуждается в политике безопасности, обозначающей основные направления, которым следует уделять особое внимание. Какие вопросы должны быть включены в политику?

Каждая компания уникальна и имеет различные сетевые инфраструктуры и, соответственно, различные потребности в области безопасности. Есть 10 ключевых политик, которые должны быть включены в каждую политику сетевой безопасности, вне зависимости от размера компании и ее сферы деятельности. Ниже приведено краткое изложение этих политик.

1. Корневая политика безопасности: Эта политика устанавливает границы остальных политик. Она также служит в качестве главной политики, руководства для конкретных стратегий и программ. Она описывает общую политику в области безопасности — основные правила, охватывающие все сети и данные компании.

2. Политики рабочих станций: Эти политики должны описывать политику мониторинга компании. Они также должны описывать служебное и личное использование программ, аппаратных средств и данных, виды аппаратного и программного обеспечения, которые могут быть добавлены в систему, паролирование и процедуры защиты данных, требования к шифрованию данных, резервное копирование данных. Они должны разрешать/запрещать загрузку и скачивание программного обеспечения, описывать типы данных, к которым могут или не могут иметь доступ коллеги и деловые партнеры, а также определять инсайдерскую информацию.

3. Серверные политики: С учетом той важной роли, которую играют серверы на большинстве предприятий, то важное значение имеет определение конкретных стратегий для их развертывания, настройки, управления и защиты. Этот раздел должен описывать все серверы — в том числе серверы электронной почты, FTP и HTTP — и указывать, кто отвечает за каждую систему, определять круг задач и обязанностей для ответственных лиц.

4. Политики электронной почты: Это политики, описывающие разрешения для пользователей электронной почты, назначающие процедуры обработки возможного спама и вредоносных программ, налагающие запреты на определенные типы вложений, определяющие процедуры доступа, допустимое клиентское программное обеспечение, содержание (то, что пользователи могут и не могут включать в свои сообщения), политику мониторинга электронной почты компании.

5. Политики web-доступа: Эти политики описывают то, что сотрудники могут и не делать при доступе и использовании сети Интернет, в том числе утверждают браузеры и необходимые их настройки, правила веб-серфинга, ограничение и запрещение сайтов, приемлемые и запрещенные надстройки браузера, а также правила, касающиеся доступа и использования материалов, защищенных авторскими правами.

6. Политики удаленного доступа: Эти политики являются обязательными для любых компаний работающих в области телекоммуникаций либо имеющих удаленных сотрудников, которые подключаются к сети компании не из офиса. Эти политики должны включать требования к удаленному доступу, учет разрешений и ограничений. Они должны описывать разрешенные и запрещенные виды деятельности, допустимое ПО и аппаратные средства клиента, политики беспроводного доступа, политики паролирования доступа, а также условия предоставления доступа к сети несотрудникам, например деловым партнерам.

7. Мобильные политики: Эти политики посвящены вопросам, связанным с мобильными устройствами, такими как ноутбуки, КПК, медиа-плееры и портативные устройства хранения данных. Как мобильные устройства будут использоваться? Для чего они не могут быть использованы? Какова ответственность сотрудников, обеспечивающих безопасность мобильных систем и их данных? Какие личные устройства могут быть использованы на предприятии? Какие личные устройства запрещены? Эти вопросы должны найти ответ в мобильных политиках.

8. Политики беспроводного доступа: Беспроводные устройства, с одной стороны, очень полезны, но, с другой стороны, они представляют собой серьезную угрозу безопасности. Эти политики, базирующиеся на мобильных политиках, должны описать, каким беспроводным устройствам разрешен и запрещен доступ. Общие процедуры сетевого подключения и разрешения также должны быть включены в эти политики.

9. Конфигурация интернет-шлюза: любое устройство, которое взаимодействует с сетью Интернет должно быть настроено так, чтобы получать доступ к сети без ущерба для корпоративной сети, а также устройств и данных. В этих политиках необходимо описать все соответствующие устройства, в том числе свитчи, брандмауэры и маршрутизаторы, а также их параметры, необходимые протоколы взаимодействия.

10. Стратегия реагирования: пожары, ураганы, землетрясения, хакерские атаки, системные сбои и террористические акты могут поразить любой бизнес. Эти политики должны содержать описание процедур и действий, которые вступят в силу, когда наступит стихийное бедствие. Текст должен описывать круг лиц, уполномоченных объявлять чрезвычайное положение (в том числе номера телефонов, адреса электронной почты и физические адреса), а также шаги, которые должны быть приняты в случае конкретных типов инцидентов, как, например, обращения в государственные учреждения безопасности, обращения к юристам, старшему руководящему звену, техническому персоналу и так далее.

При создании политики безопасности необходимо проделать очень много работы, этот документ должен предупредить многие критические ситуации и обеспечить важную информацию надежной защитой, одновременно информация должна быть легко доступна легальным пользователям.

Источник

21 января 2009 16:27 | Статьи

5 комментариев к “Корпоративная политика безопасности”

  1. Блог про IT безопасность » USB-накопители: «маленькая» угроза IT безопасности говорит:

    […] Шаг первый: Осознание угрозы. Переносные устройства хранения (USB-накопители) дешевы и широко распространены. Устройства продаются буквально в переходах, вручаются в качестве премий или даже как реклама с логотипом торговой марки, осуществляется обмен между сотрудниками и деловыми партнерами. Заклейка USB портов компьютера не улучшит ситуацию. Устройства хранения в настоящее время имеют широкое применение, поэтому полное их блокирование нанесет вред производительности труда. Гораздо лучший подход заключается в том, чтобы добавить переносные устройства хранения в политику безопасности предприятия. […]

  2. Блог про IT безопасность » Пароли суперпользователей: угроза из ниоткуда говорит:

    […] административными паролями и применить такую политику безопасности, согласно которой будет ограничиваться доступ к […]

  3. Блог про IT безопасность » Руководство по надежному управлению брандмауэром говорит:

    […] безопасности. Политика брандмауэра должна отражать политику безопасности компании и не создавать свои собственные правила, которые […]

  4. Блог про IT безопасность » Как построить культуру безопасности говорит:

    […] Политика безопасности предприятия должна быть гибкой, чтобы была возможность адаптировать ее к новым технологиям и новым угрозам. Необходимо делать периодический пересмотр политики безопасности, чтобы быть уверенным, что ваша политика актуальна и не препятствует развитию предприятия. Кроме того, все сотрудники должны думать творчески, вносить свои предложения, излагать свое видение мер безопасности предприятия. […]

  5. Блог про IT безопасность » Пять рекомендаций по защите удаленного доступа говорит:

    […] ИТ-подразделений стоит очень важная задача обеспечения безопасного доступа между удаленными работниками и мобильными […]

Оставить коментарий