Отправляет email-рассылки с помощью сервиса Sendsay

IT Security

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 18 RSS
  Январь 2009  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт рассылки: http://itsec.org.ua
Открыта: 20-10-2008
Адрес автора: comp.itsecurity-owner@subscribe.ru

Автор
dc

Статистика

18 подписчиков
0 за неделю
  Все выпуски  

Каждая сеть нуждается в политике безопасности, обозначающей основные направления, которым следует уделять особое внимание. Какие вопросы должны быть включены в политику?


Десять вещей, которые должны быть в каждой политике сетевой безопасности.

Каждая сеть нуждается в политике безопасности, обозначающей основные направления, которым следует уделять особое внимание. Какие вопросы должны быть включены в политику?

Каждая компания уникальна и имеет различные сетевые инфраструктуры и, соответственно, различные потребности в области безопасности. Есть 10 ключевых политик, которые должны быть включены в каждую политику сетевой безопасности, вне зависимости от размера компании и ее сферы деятельности. Ниже приведено краткое изложение этих политик.

1. Корневая политика безопасности: Эта политика устанавливает границы остальных политик. Она также служит в качестве главной политики, руководства для конкретных стратегий и программ. Она описывает общую политику в области безопасности - основные правила, охватывающие все сети и данные компании.

2. Политики рабочих станций: Эти политики должны описывать политику мониторинга компании. Они также должны описывать служебное и личное использование программ, аппаратных средств и данных, виды аппаратного и программного обеспечения, которые могут быть добавлены в систему, паролирование и процедуры защиты данных, требования к шифрованию данных, резервное копирование данных. Они должны разрешать/запрещать загрузку и скачивание программного обеспечения, описывать типы данных, к которым могут или не могут иметь доступ коллеги и деловые партнеры, а также определять инсайдерскую информацию.

3. Серверные политики: С учетом той важной роли, которую играют серверы на большинстве предприятий, то важное значение имеет определение конкретных стратегий для их развертывания, настройки, управления и защиты. Этот раздел должен описывать все серверы - в том числе серверы электронной почты, FTP и HTTP - и указывать, кто отвечает за каждую систему, определять круг задач и обязанностей для ответственных лиц.

4. Политики электронной почты: Это политики, описывающие разрешения для пользователей электронной почты, назначающие процедуры обработки возможного спама и вредоносных программ, налагающие запреты на определенные типы вложений, определяющие процедуры доступа, допустимое клиентское программное обеспечение, содержание (то, что пользователи могут и не могут включать в свои сообщения), политику мониторинга электронной почты компании.

5. Политики web-доступа: Эти политики описывают то, что сотрудники могут и не делать при доступе и использовании сети Интернет, в том числе утверждают браузеры и необходимые их настройки, правила веб-серфинга, ограничение и запрещение сайтов, приемлемые и запрещенные надстройки браузера, а также правила, касающиеся доступа и использования материалов, защищенных авторскими правами.

6. Политики удаленного доступа: Эти политики являются обязательными для любых компаний работающих в области телекоммуникаций либо имеющих удаленных сотрудников, которые подключаются к сети компании не из офиса. Эти политики должны включать требования к удаленному доступу, учет разрешений и ограничений. Они должны описывать разрешенные и запрещенные виды деятельности, допустимое ПО и аппаратные средства клиента, политики беспроводного доступа, политики паролирования доступа, а также условия предоставления доступа к сети несотрудникам, например деловым партнерам.

7. Мобильные политики: Эти политики посвящены вопросам, связанным с мобильными устройствами, такими как ноутбуки, КПК, медиа-плееры и портативные устройства хранения данных. Как мобильные устройства будут использоваться? Для чего они не могут быть использованы? Какова ответственность сотрудников, обеспечивающих безопасность мобильных систем и их данных? Какие личные устройства могут быть использованы на предприятии? Какие личные устройства запрещены? Эти вопросы должны найти ответ в мобильных политиках.

8. Политики беспроводного доступа: Беспроводные устройства, с одной стороны, очень полезны, но, с другой стороны, они представляют собой серьезную угрозу безопасности. Эти политики, базирующиеся на мобильных политиках, должны описать, каким беспроводным устройствам разрешен и запрещен доступ. Общие процедуры сетевого подключения и разрешения также должны быть включены в эти политики.

9. Конфигурация интернет-шлюза: любое устройство, которое взаимодействует с сетью Интернет должно быть настроено так, чтобы получать доступ к сети без ущерба для корпоративной сети, а также устройств и данных. В этих политиках необходимо описать все соответствующие устройства, в том числе свитчи, брандмауэры и маршрутизаторы, а также их параметры, необходимые протоколы взаимодействия.

10. Стратегия реагирования: пожары, ураганы, землетрясения, хакерские атаки, системные сбои и террористические акты могут поразить любой бизнес. Эти политики должны содержать описание процедур и действий, которые вступят в силу, когда наступит стихийное бедствие. Текст должен описывать круг лиц, уполномоченных объявлять чрезвычайное положение (в том числе номера телефонов, адреса электронной почты и физические адреса), а также шаги, которые должны быть приняты в случае конкретных типов инцидентов, как, например, обращения в государственные учреждения безопасности, обращения к юристам, старшему руководящему звену, техническому персоналу и так далее.

 

При создании политики безопасности необходимо проделать очень много работы, этот документ должен предупредить многие критические ситуации и обеспечить важную информацию надежной защитой, одновременно информация должна быть легко доступна легальным пользователям.

 

 Об этом и многом другом как всегда читайте на IT Security блоге.

В избранное