К дипломному проекту icon

К дипломному проекту



страницы: 1   ...   5   6   7   8   9   10   11   12   13
вернуться в начало
скачать
^

Глава 8. Планирование и анализ политики безопасности. ISO 17799.


      Цель, которую преследуют при введении политики безопасности: обеспечение решения вопросов информационной безопасности и вовлечение высшего руководства организации в данный процесс.
           Разработка и реализация политики информационной безопасности организации осуществляется высшим руководством путем выработки четкой позиции в решении вопросов информационной безопасности. Причем не только сети. Зачастую политика безопасности охватывает все области передачи/хранения/обработки информации в компании.     

 Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:

а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации; 

б) изложение целей и принципов информационной безопасности, сформулированных руководством;   

в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

 1) соответствие законодательным требованиям и договорным обязательствам;  

2) требования в отношении обучения вопросам безопасности;

3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

4) управление непрерывностью бизнеса;

5) ответственность за нарушения политики безопасности;

г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

д) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

 Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме. Меня как человека ответственного за разработку корпоративной сети будут интересовать те аспекты политики безопасности, которые связаны с рабой сети.

Информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты.

Информация имеет различные степени чувствительности и критичности. Некоторые виды информации могут требовать дополнительного уровня защиты или специальных методов обработки. Систему классификации информации следует использовать для определения соответствующего множества уровней защиты и потребности в специальных методах обработки.

Информацию фирмы можно разделить на 3 класса: финансовая документация, графические материалы, рабочие данные.

Рабочие данные – это материалы сотрудников компании, собранные ими в процессе работы с клиентами. Это информация, которой сотрудники постоянно пользуются в процессе рабочего дня. Обычно она не несет в себе ничего секретного. Такие данные в случае утери легко восстановить, не используя технологичные средства (просто позвонить и спросить клиента). Однако, их утеря может существенно отразиться на производительности, на то время пока они не будут восстановлены. Эти данные хранятся на пользовательских компьютерах в единственном экземпляре. Время хранения определяет пользователь.

Финансовая документация – это документы, с которым в основном работают бухгалтеры и в основном они используют 1С бухгалтерию. В случае утери этих данных зачастую их можно восстановить, не используя экономические средства, но при этом придется полгаться на честность своего партнера. Утеря этих данных может привести к финансовым потерям. Данные хранятся в базах на 1С сервере. Раз в неделю сохраняется резервная копия баз на сетевом диске на сервере. Через неделю копия переписывается. Данные на сервере 1С хранятся

Графические материалы – это различные рабочие материалы, каких-либо проектов, включающие в себя графические изображения, которые планируется использовать в проекте в качестве дизайнерского макета продукции. В случае утери этих данных восстановление их технологическим путем зачастую невозможно – в восстановленном изображении могут быть искажения. Утеря этих данных в определенные моменты может привести к срыву всего проекта и значительным финансовым потерям фирмы. Эти данные хранятся на дизайнерских компьютерах, одна копия хранится на сетевом диске на сервере и одна копия отправляется клиенту.

Использование сторонних подрядчиков для управления средствами обработки информации является потенциальной угрозой для безопасности, поскольку возникает возможность компрометации, повреждения или потери данных в организации подрядчика. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.

В этих условиях требуется решение специальных вопросов:

  • идентификация важных или критических бизнес-приложений, которые лучше оставить в организации;

  • получение одобрения владельцев коммерческих бизнес-приложений;

  • оценка влияния на планы обеспечения непрерывности бизнеса;

  • определение перечня стандартов безопасности, которые должны быть включены в контракты, и процедур проверки выполнения их требований;

  • распределение конкретных обязанностей и процедур для эффективного мониторинга всех применяемых видов деятельности, связанных с информационной безопасностью;

  • определение обязанностей и процедур в отношении информирования и управления процессами ликвидации последствий инцидентов нарушения информационной безопасности.

С целью обнаружения и предотвращения проникновения вредоносного программного обеспечения необходимо рассматривать следующие мероприятия по управлению информационной безопасностью:

  • при работе используется только лицензионное и авторизованное программное обеспечение;

  • доступ к сети Internet на пользовательских компьютерах настраивается только по указанию его вышестоящего начальника и это фиксируется в письменной форме;

  • регулярное обновление антивирусного программного обеспечения происходит автоматически;

  • у пользователей нет прав устанавливать программное обеспечение на компьютерах;

  • автозагрузка со съемных носителей информации отключена. Перед работой с такими носителями пользователь должен просканировать их установленным антивирусом;

  • перед запуском любых вложений электронной почты и скачиваемой информации пользователь должен просканировать их установленным антивирусом.

Для контроля над доступом пользователей к информационным ресурсам ведется групповая политика в active directory. Для обеспечения правильности прохождения процедуры авторизации и аутентификации при доступе к данным, пользователю присвоены уникальное имя и пароль. Пароль назначается администратором. Пользователь не должен передавать свой пароль третьим лицам. Предусмотрена процедура подписания пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей. Права доступа пользователей пересматриваются регулярно раз в 6 месяцев.

Все пользователи должны быть осведомлены о необходимости:

а) сохранения конфиденциальности паролей;

б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;

в) изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;

г) выбора качественных паролей с минимальной длиной в шесть знаков, которые:

     1) легко запомнить;

     2) не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.;

     3) не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;

д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли); е) изменения временных паролей при первой регистрации в системе;

ж) запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;

з) исключения коллективного использования индивидуальных паролей.

Для обнаружения отклонения от требований политики контроля доступа и регистрации событий и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности проводится мониторинг системы. Мониторингу подвергаются: авторизованный доступ, все привилегированные действия, попытки неавторизованного доступа, предупреждения или отказы системы.

С целью обеспечения безопасности оборудования должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и целостности. В этих целях следует применять следующие мероприятия:

  • оборудование следует обслуживать в соответствии с инструкциями и периодичностью, рекомендуемыми поставщиком;

  • необходимо, чтобы техническое обслуживание и ремонт оборудования проводились только авторизованным персоналом;

  • следует хранить записи обо всех случаях предполагаемых или фактических неисправностей и всех видах профилактического и восстановительного технического обслуживания;

  • необходимо принимать соответствующие меры безопасности при отправке оборудования для технического обслуживания за пределы организации.

Вывод: в любой систем для обеспечения должного уровня безопасности системы необходимо соблюдать определенные правила при работе с ней. Не соблюдение этих правил может привести к возникновению уязвимостей в системе, которыми смогут воспользоваться злоумышленники. Соблюдение же перечисленных правил позволит гарантировать безопасную работу на всех участках системы.




оставить комментарий
страница8/13
Дата22.09.2011
Размер1,07 Mb.
ТипДиплом, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   ...   5   6   7   8   9   10   11   12   13
Ваша оценка этого документа будет первой.
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Документы

наверх