Разделы политики безопасности

Расммотрим основные разделы политики безопасности.

Каждая политика и процедура имеют четко определенную цель, которая ясно описывает, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.

Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяет­ся ко всем компьютерным и сетевым системам. Информационная по­литика применяется ко всем служащим.

В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур. Этот человек должен быть надлежащим образом обучен и знать все требования по­литики.

Информационная политика определяет секретную информацию внутри организации и способы ее защиты. Политика разрабатывается таким образом, чтобы охватить всю существующую информацию. Каждый слу­жащий отвечает за безопасность секретной информации, с которой он сталкивается в работе. Информация может быть представлена на бумаж­ных носителях или в виде файлов на компьютере. Политика должна пре­дусмотреть защиту для всех форм представления информации.[12]

Политика безопасности определяет технические требования к защите компьютерных систем и сетевой аппаратуры, способы настройки систем администратором с точки зрения их безопасности. Эта конфигура­ция будет оказывать влияние на пользователей, и некоторые требова­нии, установленные в политике, связаны со всем коллективом Пользователей. Главная ответственность за развертывание этой полити­ки ложится на системных и сетевых администраторов при поддержке руководства.

Политика безопасности определяет требования, выполнение которых должно быть обеспечено на каждой системе. Однако политика сама по Себе не определяет конкретную конфигурацию различных операцион­ных систем. Это устанавливается в отдельных процедурах по настройке. Такие процедуры могут быть размещены в приложении к политике.

Политика безопасности определяет порядок идентификации пользова­телей: либо стандарт для идентификаторов пользователей, либо раздел к процедуре системного администрирования, в котором определяется этот стандарт.[13]

Очень важно, чтобы был установлен основной механизм для аутенти­фикации пользователей и администраторов. Если это пароли, то в поли­тике определяется минимальная длина пароля, максимальный и мини­мальный возраст пароля и требования к его содержимому.

Политика безопасности устанавливает стандартные требования к управле­нию доступом к электронным файлам, в которых предусматриваются фор­мы управления доступом пользователей по умолчанию, доступные для каж­дого файла в системе. Этот механизм работает в паре с аутентификационным механизмом и гарантирует, что только авторизованные пользователи полу­чают доступ к файлам. Также четко оговариваются пользователи, имеющие доступ к файлам с разрешениями на чтение, запись и исполнение.

Настройки по умолчанию для новых файлов устанавливают разреше­ния, принимаемые при создании нового файла. В этом разделе полити­ки определяются разрешения на чтение, запись и исполнение, которые даются владельцам файлов и прочим пользователям системы.

В политике безопасности должно быть определено размещение программ безопасности, отслеживающих вредоносный код (вирусы, черви, «чер­ные ходы» и «троянские кони»). В качестве мест размещения указывают­ся файловые серверы, рабочие станции и серверы электронной почты.

Политика безопасности должна предусматривать определение требо­ваний для таких защитных программ. В эти требования может входить проверка определенных типов файлов и проверка файлов при откры­тии или согласно расписанию.

В политике также указываются требования к периодическому (напри­мер, ежемесячному) обновлению признаков вредоносного кода для за­щитных программ.

Политика безопасности должна определять приемлемые алгоритмы шифрования для применения внутри организации и ссылаться на инфор­мационную политику для указания соответствующих алгоритмов для за щиты секретной информации. В такой политике совершенно не обяза­тельно указывать какой-либо один конкретный алгоритм. Политика безопасности также определяет процедуры управления ключами.

Политика использования интернета, как правило, включается в главную политику использования компьютеров. Однако в некоторых случаях эта политика представляется в виде отдельной политики в силу своих осо­бенностей. Организации предоставляют своим сотрудникам доступ в интернет, чтобы они выполняли свои обязанности более эффективно и, следовательно, приносили большую прибыль. К сожалению, веб-сайты, посещаемые сотрудниками в интернете, далеко не всегда связаны с их работой.[14]

Процедуры управления пользователями — это процедуры, выполняемые в рамках обеспечения безопасности, которым зачастую не уделяется должного внимания, что представляет собой огромный риск.

Процедура системного администрирования определяет, каким образом осуществляется совместная работа отдела безопасности и системных администраторов с целью обеспечения безопасности систем. Данный документ состоит из нескольких специальных процедур, определяющих, каким образом и как часто должны выполняться задачи системного ад­министрирования, связанные с безопасностью.

Политика резервного копирования определяет, каким образом осуществляется резервное копирование данных. Политика резервного копирования должна определять частоту резерв­ного копирования данных. Как правило, конфигурация предусматривает проведение полного резервного копирования данных один раз в неделю с дополнительным резервным копированием, проводимым в остальные дни. Дополнительное резервное копирование сохраняет только файлы, изменившиеся с момента последнего резервирования, что сокращает время процедуры и обеспечивает меньший объем пространства на резервном носителе.[15]