Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Политика использования компьютеров



Политика использования компьютеров определяет:

· кто может использовать компьютерные системы, и каким образом они могут использоваться;

· что все компьютеры принадлежат организации, и что они предоставляются сотрудникам для работы в соответствии с их должностными обязанностями. Запрещать использование компьютеров, для подключения к внутренним системам компании через систему удаленного доступа, не принадлежащих организации, для выполнения работы, связанной с деловой деятельностью этой организации;

· что вся информация, хранимая или используемая на компьютерах организации, принадлежит организации;

· что на компьютерных системах запрещена загрузка неавторизованного программного обеспечения;

· что сотрудник не должен подразумевать частный статус любой информации, хранимой, отправляемой или получаемой на любых компьютерах организации. Он должен понимать, что любая информация, включая электронную почту, может просматриваться администраторами. А сотрудники отдела безопасности могут отслеживать все действия, связанные с компьютерами, включая посещение веб-сайтов.

Политика использования интернета

Политика использования интернета определяет соответствующее назначение и нецелевое использование интернета.

При принятии решения определить специальную политику электронной почты – эта политика должна оговаривать как внутренние проблемы, так и внешние.

Внутренние проблемы: политика работы с электронной почтой не должна конфликтовать с другими политиками, связанными с персоналом организации, но должна определять, что сотрудник не должен считать электронную почту частной.

Внешние проблемы: политика почты должна определять, при каких условиях это обстоятельство допустимо, и в ней должны присутствовать ссылки на информационную политику, определяющую методы защиты секретных данных. Так же оговариваются вопросы, связанные с входящей электронной почтой. Она должна ссылаться на политику безопасности организации, в которой говорится о соответствующих мерах, направленных на борьбу с вирусами.

Процедуры управления пользователями

Процедуры управления пользователями – это процедуры, выполняемые в рамках обеспечения безопасности. Механизмы защиты систем от несанкционированного доступа посторонних лиц – отличные средства безопасности, однако они бесполезны при отсутствии должного управления пользователями компьютерных систем.

Мы не будем рассматривать процедуры нового и перемещенного сотрудника, т.к. там вся суть заключается в определении прав доступом. А при процедуре удаления сотрудника укажем только тот факт, что лучше отключать учетные записи сотрудника перед уведомлением сотрудника о его удалении.

Процедура системного администрирования определяет осуществление совместной работы отдела безопасности и системных администраторов с целью обеспечения безопасности систем и определяет, каким образом и как часто должны выполняться задачи системного администрирования, связанные с безопасностью. Она отмечается в политике использования компьютера и является отражением того, каким образом предполагается осуществлять управление системами.

Следует предусмотреть выполнение предварительного тестирования перед обновлением программного обеспечения.

В процедуре сканирования уязвимостей определяется, насколько часто необходимо проводить сканирование.

Процедура проверки политики определяет, насколько часто должна проводиться эта проверка. В ней описывается, кто получает результаты проверки, и каким образом разрешаются вопросы, возникающие при обнаружении несоответствий.

Следует регулярно изучать журналы, полученные от различных систем.

В организации должна быть определена процедура, указывающая, когда следует осуществлять отслеживание сетевого трафика.

Политика резервного копирования определяет, каким образом осуществляется резервное копирование данных. Как правило, конфигурация предусматривает проведение полного резервного копирования данных один раз в неделю с дополнительным резервным копированием, проводимым в остальные дни. Все резервные копии необходимо хранить в защищенных местах. Файлы данных, в особенности часто изменяющиеся, должны резервироваться регулярно. В большинстве случаев необходимо осуществлять их ежедневное резервное копирование.

Процедура обработки инцидентов

Процедура обработки инцидентов (IRP) определяет способы реагирования на возникновение инцидентов, связанных с безопасностью. IRP определяет, кто имеет право доступа и что необходимо сделать, а так же определяет цели организации, достигаемые при обработке инцидента. Это:

· защита систем организации;

· защита данных организации;

· восстановление операций;

· пресечение деятельности злоумышленника;

· снижения уровня антирекламы или ущерба, наносимого торговой марке.

Идентификация инцидента – наиболее важная и сложная часть процедуры обработки инцидента. Очевидные события (несанкционированное изменение содержимого веб-сайта) – события означавшие либо вторжение, либо просто ошибку пользователя (например, удаление файлов).

При обнаружении инцидента необходимо обеспечить контроль информации об инциденте. Количество получаемой информации зависит от того, какое влияние окажет инцидент на организацию и ее клиентскую базу. Обрабатывается инцидент в зависимости от целей, определенных в IRP.

Для того, чтобы можно было разобраться в последствиях инцидента, процедура IRP должна определять, каким образом группа обработки инцидентов будет фиксировать свои действия, включая описание данных, подлежащих сбору и сохранению.

И самое главное процедура IRP должна пройти тестирование в реальных условиях.

Начальное состояние системы

Когда новая система начинает работу, это состояние следует задокументировать. Как минимум, в этой документации необходимо указывать следующие параметры:

· операционную систему и ее версию;

· уровень обновления;

· работающие приложения и их версии;

· начальные конфигурации устройств, программные компоненты и приложения.

 

Кроме того, может понадобиться создать криптографические проверочные суммы для всех системных файлов и любых других файлов, которые не должны изменяться в процессе функционирования системы.

Процедура контроля над изменениями призвана обеспечить резервирование старых данных конфигурации и тестирование предлагаемых изменений перед их реализацией. После внесения изменения конфигурацию системы нужно обновить для отражения нового состояния системы.

Так же в каждой организации должен быть предусмотрен план восстановления после сбоев (DRP) для выхода из таких экстремальных ситуаций, как пожары, атаки на переполнение буфера и другие события, выводящие систему из строя. Наиболее часто происходит сбой отдельной системы или устройства. Такие сбои происходят в сетевых устройствах, жестких дисках, материнских платах, сетевых картах или программных компонентах. Для каждого сбоя должен быть разработан план, позволяющий возобновить функционирование системы за приемлемый промежуток времени. А DRP указывает, что необходимо предпринять для продолжения работы системы без потерявших работоспособность компонентов.

План DRP, обычно подразумевает события, наносящие ущерб организации в целом. Такие события происходят не часто, но представляют наибольшую опасность. Чтобы предусмотреть в плане DRP подобные события, необходимо, чтобы каждое подразделение организации участвовало в создании этого плана. Первым шагом является выявление первоочередных систем, которые нужно восстановить для обеспечения жизнедеятельности организации.

План DRP – сложный документ, который написать с первого раза довольно сложно. И даже после того, как он будет готов, необходима его тестировка.

Создание политики

Основные моменты при создании политики организации:

1. Определение найболее важных политик.

2. Определение допустимого поведения сотрудников, в зависимости от порядков, установленных в организации.

3. Определение руководителей, т.е. в разработке политики должны быть задействованы те лица, на которые данная политика будет распространяться, чтобы сотрудники понимали, чего ожидать в той или иной ситуации.

4. Определение схем политик.

5. Разработка.

Развертывание политики

Чтобы эффективно применить политику, необходимо работать со всей организацией в целом.

1. Понимание политики.

2. Обучение. Сотрудники, на которых распространяется новая политика, должны пройти обучение согласно доли своей ответственности.


Поделиться:



Последнее изменение этой страницы: 2017-03-15; Просмотров: 979; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.022 с.)
Главная | Случайная страница | Обратная связь