Компьютерные сети и технологии
Привет
Пользователь:

Пароль:



[ ]
[ ]

В сети
Гостей: 19
Участников: 0
На странице: 1
Участников: 4002, Новичок: yanaromkina

Разное


Роль Политики безопасности
на Wednesday 12 February 2020
от список авторов
в Сетевая безопасность > Общие вопросы безопасности

Разумная политика – первая линия вашей обороны . Правильно разработанная политика исследует любую угрозу ( или пытается сделать это ) и обеспечивает поддержку конфиденциальности , целостности и наличия ( или , по край­ней мере , оценивает известные риски ). Как мы увидим ниже , определение политики начинается с четкой идентификации и перечисления ресурсов , которые используются в рамках определенных стандартов и определяют функционирование сети в безопасном режиме . После определения основного стандарта вы начинаете выстраивать методы функционирования индиви­дуальных приложений и услуг .

Многие производители беспроводного оборудования отвечают на рост угроз безопасности тем , что ужесточают версии своих продуктов . Ваша политика безопасности должна всегда требовать , чтобы вся технология , существующая или вновь разворачиваемая , включала бы в себя все новинки в области безопасности . Однако поскольку проектирование и внедрение этих новинок требуют определенного времени , политика и ее внедрение должны стать первым уровнем обороны против известных и неизвестных угроз .

Хорошо разработанная политика должна быть чем - то большим , чем просто списком рекомендаций . Она должна стать существенным и даже основным элементом обеспечения безопасности в вашей организации . Правильная политика может обеспечить защиту от уязвимости из - за действий сотрудников , а также может служить основой для контроля торговых секретов компании . Она должна быть разработана с учетом интересов всех сотрудников организации , принимая во внимание внутренний и внешний аудит , чтобы убедиться в том , что все активы компании защищены и все уровни защиты надежно контролируются , как это указано в стандартах , политике и стратегии .

Ущерб и защита

Стремление к управлению

Управление компанией всегда должно стремиться к обеспечению безопасности корпоративных активов , что должно включать в себя и защиту информации.

Надо предпринять меры для защиты ее от несанкционированной модификации , разрушения или раскрытия ( случайного или намеренного ) и уверенности в ее аутентификации , целостности , нахождения в наличии и конфиденциальности .

Основополагающим для успеха любой программы безопасности являются стремление руководства к реализации процесса обеспечения информационной безопасности и понимание того , насколько важны управление информационной безопасностью и ее защита для работоспособности компании . Утверждения руководства обычно содержат следующие элементы :

1) признание важности вычислительных ресурсов для бизнес - модели ;

2) поддержку информационной безопасности в компании ;

3) стремление контролировать процессы и управлять ими на нижнем уровне стандартов , процедур и руководств .

Главная часть любой политики – это определение того , на что она направлена. Главная цель любой политики – это снижение угроз безопасности и уязвимости тех ресурсов , которые надо защищать. Процесс определения политики обычно включает в себя перечисление того эффекта, который может оказать реализация угроз на действия компании , и определение вероятности реализации угроз . Анализ рисков ( АР ) – это процесс анализа угроз и их относительной опасности .

На рисунке показана матрица изображения угроз и вероятности их воплощения в плоскости ( X - Y ). Цель АР заключается в уменьшении уровня воздействия угроз и вероятности их реализации . Правильное управление должно перемещать нанесенные точки в плоскости ( X - Y ) из правого верхнего угла в левый нижний .

Неадекватно сконструированное и развернутое управление не окажет никакого влияния на расположение точек на графике до и после его внедрения.

Идентификация ресурсов

Для доступа ресурсов и их защиты надо их прежде всего идентифицировать, классифицировать и пометить таким образом, чтобы в процессе анализа рисков вы смогли бы перечислить все возможные риски для каждого элемента вашей системы и определить возможное решение для минимизации этих рисков.

Классификация в сфере безопасности дает такие преимущества:

  • демонстрирует стремление компании обеспечить безопасность своих действий;
  • помогает уяснить, какая информация наиболее важна или жизненно необходима для компании;
  • поддерживает доктрины конфиденциальности, целостности и наличия данных;
  • помогает определить, какую защиту следует применять к той или иной информации;
  • может требоваться по причинам регулирования, совместимости или законодательства.

Вот какие категории используются для классификации ресурсов.

  • Публичные . Это ресурсы, доступ к которым не предоставляет риска и может быть предоставлен всем желающим, пока они не нарушают элементарных правил сохранения конфиденциальности, а знание этой информации не может привести организацию к потере денег, затруднить ее функционирование или снизить безопасность ее активов. Примеры публичной информации включают в себя маркетинговые брошюры, опубликованные ежегодные отчеты, пресс-релизы и бизнес-карточки.
  • Для внутреннего пользования. Это элементы с низким уровнем риска, доступ к которым из-за своего влияния на бизнес процессы или техническое функционирование системы ограничен только сотрудниками компании или теми, кто работает по контракту, но подписал соглашение о неразглашении информации. Если возникнет ситуация несанкционированного доступа, утечки информации или уничтожения документов, все это будет иметь только незначительное воздействие на компанию, ее клиентов и сотрудников. Примерами такой информации для внутреннего пользования являются рабочие тетради сотрудников, телефонные книги, перспективные планы компании и описание ее стратегии.
  • Конфиденциальные . Это элементы со средним уровнем риска, чье неавторизованное раскрытие, прослушивание или разрушение прямо или косвенно влияет на всю компанию, ее клиентов и сотрудников и может привести к финансовым потерям, ущербу имиджа компании, потере бизнеса или даже определенным действиям законодательных структур. Они должны использоваться только внутри организации, и доступ к ним должен быть ограничен. Примеры такой информации включают в себя структуру конфигурации системы, личное ПО, сведения о сотрудниках, сведения о клиентах, бизнесплан, информацию о бюджете, планы и стандарты обеспечения безопасности.
  • Ограниченные . Это информация с высокой степенью риска, несанкционированный доступ к которой, ее раскрытие или уничтожение могут привести к очень серьезному ущербу для компании и предоставлению серьезных выгод конкурентам, а также к штрафам и другим потерям у самой компании, ее сотрудников и клиентов. Информация этого рода предназначена для ограниченного пользования внутри компании только определенным кругом лиц. Примерами подобной информации являются ключи шифрования, стратегические планы, информация для аутентификации (пароли, PIN и т. д.), а также IP -адреса серверов, связанных с обеспечением безопасности.

Вся информация в любом виде - бумажная, голосовая или в электронной форме - должна быть классифицирована, помечена соответствующим образом и распределена в соответствии с вашей классификацией информации и процедурами работы с ней. Это поможет вам определить, какая информация несет с собой максимальную угрозу для компании и каким путем обеспечить ее безопасность.

Ваша беспроводная сеть также содержит несколько внутренних элементов , которые стоит классифицировать , но общая классификация всех сетевых устройств должна происходить на уровне информации , которая передается по ее каналам . Используя системы электронной почты и получая доступ к внутренним сайтам через вашу беспроводную сеть , вы обнаружите , что ва­ша сеть содержит информацию ограниченного использования . Однако если вы сможете зашифровать пароль , классификация данных в сети может быть проведена на основе неаутентифицированной информации , передающейся через беспроводную сеть.

Критерии классификации

Есть несколько дополнительных критериев , которые могут быть использованы при определении классификации информационных ресурсов.

  • Ценность. Это наиболее часто используемый для классификации дан­ных в частном секторе критерий. Если какая - то информация имеет ценность для человека или компании , то ее надо правильно иденти­фицировать и классифицировать .
  • Возраст. Информация теряет ценность и должна переклассифицироваться на более низкий уровень по мере того, как проходит время . Во многих правительственных организациях после определенного периода времени классифицированные документы автоматически теряют свою классификацию .
  • Полезная жизнь . Если информация устаревает из - за появления новой информации или ресурсов , она обычно переклассифицируется .
  • Связь с персоналом. Если информация ассоциируется с конкретным человеком или сокрыта благодаря законам охраны частной информации , то может возникнуть необходимость в ее переклассификации .

Внедрение политики

Процедуры классификации информации предлагают несколько шагов для создания системы классификации , повышающей стандарты вашей безопасности . Вот эти шаги :

  • идентифицировать администратора или охранника ;
  • определить критерии того , как информация будет классифицироваться и помечаться ;
  • классифицировать данные их владельцем , который должен контролироваться неким супервизором ;
  • определить и документировать любые исключения в политике классификации ;
  • определить управление , которое будет применено к каждому уровню классификации ;
  • определить процедуру прекращения деклассификации информации или передачи охраны информации другим организациям ;
  • создать программу информирования компании об управлении классификацией .

После того как ваша информация и ресурсы соответственным образом идентифицированы и классифицированы, вы сможете определить необходимое управление , для того чтобы обеспечить конфиденциальность и безопасность информации для сотрудников и клиентов. Во многих отраслях промышленности есть потребность, в соответствии с законодательством или внутренними нормами, обеспечить адекватную политику безопасности и сохранения конфиденциальности для различной информации . Взаимоотношения между политикой , стратегиями и стандартами показаны на рисунке .

Стратегии относятся к методологиям систем обеспечения безопасности . Стратегии – это более гибкий инструмент , чем стандарты или политики, они принимают во внимание различные информационные системы в процессе своего развития и развертывания , предлагая обычно специальные процессы для безопасного использования информационных ресурсов . У многих организаций есть общие стратегии обеспечения безопасности в отношении к имеющимся платформам : Windows , SCO - Unix , Debian Linux , Red Hat Linux , Oracle и т . д .

Стандарты определяют использование различных технологий стандартизованным образом . Они часто не такие гибкие, как стратегии, они предлагают более широкие взгляды на конкретную технологию . Обычно они являются стандартами для использования шифрования , классификации информации и других важнейших процессов.

Политики - это обычно набор положений , созданных по стратегическим или правовым причинам , из которых определяются стандарты и стратегии . Некоторые политики основываются на собраниях норм и правил для отраслей промышленности , таких как необходимое медицинское страхование , другие могут иметь в своей основе законодательные требования по сохранению персональной информации своих клиентов .

Политики , стандарты и стратегии должны быть четко сформулированы и сфокусированы и должны отражать такие моменты :

  • разграничение уровней ответственности и прав руководства ;
  • управление доступом ;
  • степень , до которой требуется верификация формата ;
  • управление , действующее по своему усмотрению или на основе мандата ( обычно уместное только в ситуации , связанной с правительством или политикой );
  • расстановка меток ;
  • управление средой ;
  • импорт и экспорт информации ;
  • уровни безопасности и классификации ;
  • трактовка выходной информации системы .

Политика должна определить , что ожидает организация в сфере информационной безопасности . Разумная политика должна отражать все законы и нормы , которые оказывают влияние на использование информации внутри компании .


Поиск Компьютерные сети и технологии


Copyright © 2006 - 2020
При использовании материалов сайта ссылка на xnets.ru обязательна!
Render time: 0.0638 second(s); 0.0166 of that for queries. DB queries: 27. Memory Usage: 5,008kb