Шаблоны политики безопасности

Политика безопасности организации — это документ, описыва­ющий специфические требования или правила, которые должны выполняться. В области информационной и сетевой безопасно­сти политики обычно специфичны к области применения. Стан­дарт — это коллекция системно-специфических или процедур­но-специфических требований, которые должен выполнять каж­дый пользователь. Ведущие организации, занимающиеся вопросами обеспечения информационной безопасности, разработали шаб­лоны ПБ. Например, институт SANS (System Administration, Net­working, and Security) разработал серию шаблонов различных ПБ (www.sans.org/resources/policies/).

В число этих шаблонов входят, например, следующие политики:

• допустимая политика шифрования — определяет требования к криптографическим алгоритмам, используемым в организации;

• допустимая политика использования — определяет использо­вание оборудования и компьютерных служб для защиты пользо­вателей, ресурсов организации и собственно информации;

• антивирусная защита — определяет основные принципы эф­фективного уменьшения угрозы компьютерных вирусов для сети
организации;

• политика оценки приобретений — определяет возможности
покупок средств защиты организацией и определяет минималь­ные требования к оценке покупок, выполняемых группой инфор­мационной безопасности;

• политика аудита сканирования уязвимостей — определяет
требования и назначает ответственного для сопровождения ауди­та и оценки риска, чтобы удостовериться в целостности инфор­мационных ресурсов, исследовать инциденты, устанавливать соответствие политикам безопасности или проводить мониторинг пользовательской и системной активности;

• политика автоматически передаваемой почты — документи­рует требования того, что никакая почта не может быть автоматически перенаправлена внешнему источнику без соответствующей санкции менеджера или директора;

• политика кодирования полномочий к базе данных (БД) —
определяет требования для безопасного хранения и извлечения
имен пользователей и паролей к БД;

• политика доступа по телефонной линии — определяет соот­ветствующий доступ и его использование авторизованными пер­сонами;

• политика безопасности демилитаризованной зоны — определяет стандарты для всех сетей и оборудования, применяемых в лаборатории, расположенной в демилитаризованной зоне или во
внешних сетевых сегментах;

• политика критической информации — определяет требования
к классификации и безопасности информации организации путем
присвоения соответствующих уровней конфиденциальности;

• политика защиты паролей — определяет стандарты создания,
защиты и смены паролей;

• политика удаленного доступа — определяет стандарты со­единения с сетью организации из любого хоста или сети, являю­щихся внешними для организации;

• политика оценки риска — определяет требования и назначает
ответственного для идентификации, оценки и уменьшения риска
информационной инфраструктуры организации, ассоциированной с сопровождением бизнеса;

• политика безопасности маршрутизатора — определяет стандарты конфигурации минимальной безопасности для маршрути­заторов и коммутаторов внутри сети организации или используемых для работы (изготовления продукции);

• политика безопасности сервера — определяет стандарты кон­
фигурации минимальной безопасности для серверов внутри сети
организации или используемых как продукция;

• политика безопасности VPN — определяет требования для
удаленного Доступа IPSec или L2TP VPN соединений с сетью
организации;

• политика беспроводных соединений — определяет стандарты
для беспроводных систем, используемых для соединения с сетью
организации.

Поэтому, исходя из специфики построения и функционирова­ния организации, формируется соответствующий набор политик безопасности организации. Для обеспечения безопасности межсе­тевого взаимодействия особую роль играет сетевая политика безо­пасности.

Дата добавления: 2014-01-15; Просмотров: 1949; Нарушение авторских прав?; Мы поможем в написании вашей работы!