Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• общее время непрерывного соединения ограничено 24 часами;
• владельцы компьютеров, не являющиеся сотрудниками компании, должны сконфигурировать свои компьютеры в соответствии с политиками информационной безопасности компании;
• в качестве программных и аппаратных клиентов для организации виртуальной частной сети могут выступать только утвержденные отделом информационной безопасности средства;
• при использовании технологии виртуальных частных сетей компьютеры становятся частью корпоративной сети и должны быть сконфигурированы в соответствии с политиками информационной безопасности компании.Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
IPSec-концентратор – устройство, на котором терминируется трафик виртуальной частной сети.
11. Политика беспроводного доступа в сеть компанииЦель
Эта политика запрещает доступ к корпоративной сети компании через незащищенные беспроводные подключения. Доступ с использованием беспроводных устройств в сеть компании разрешен только с устройств, соответствующих требованиям этой политики или имеющих разрешение отдела информационной безопасности.Область действия Эта политика относится ко всем устройствам с возможностью беспроводного доступа во внутреннюю сеть компании (персональным компьютерам, мобильным телефонам, персональным органайзерам и др.). Беспроводные устройства, не имеющие входа во внутреннюю сеть компании, не подпадают под действие этой политики.
Суть политики
Регистрация точек доступа и беспроводных карт. Все беспроводные точки доступа во внутреннюю сеть компании необходимо зарегистрировать в отделе информационной безопасности и получить разрешение.
Эти точки доступа должны периодически проверяться отделом информационной безопасности на защищенность. Все беспроводные сетевые адаптеры, используемые в переносных и персональных компьютерах, должны быть зарегистрированы в отделе информационной безопасности.
Разрешенная технология. Весь беспроводной доступ во внутреннюю сеть компании настраивается в соответствии с рекомендациями по защите производителя оборудования и лучшими практиками в этой области.
Использование шифрования и аутентификации. Все компьютеры с устройствами для беспроводного доступа должны использовать для подключения виртуальную частную сеть, сконфигурированную для блокирования незашифрованного и неаутентифицированного трафика. Для соответствия этой политике устройства должны поддерживать аппаратное шифрование «точка-точка» с длиной ключа как минимум 56 бит. Кроме того, все устройства должны иметь уникальный аппаратный адрес, который может быть зарегистрирован и журналирован, например МАС-адрес. Все соединения должны быть аутентифицированы на уровне пользователя с проверкой во внешней базе данных, например TACACS+ или RADIUS.
Установка SSID. SSID должен быть сконфигурирован таким образом, чтобы он не содержал какой-либо информации о компании, например названия компании, отдела, имени сотрудника или идентификатора продукта.Ответственность
Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
12. Политика автоматического перенаправления электронной почты компанииЦель
Недопущение преднамеренного или случайного разглашения конфиденциальной информации компании.Область действия Эти политика описывает автоматическое перенаправление электронной почты компании и потенциально возможную непреднамеренную передачу конфиденциальной информации сотрудниками компании, вендорами и агентами, действующими от имени компании за ее пределами.
Суть политики Сотрудники должны действовать очень внимательно при отправке любых почтовых сообщений за пределы компании. Почтовые сообщения не должны автоматически перенаправляться за пределы компании, если только не получено разрешение от отдела информационной безопасности. Конфиденциальная информация (подробнее см. в описании политики классификации информации), не должна перенаправляться, кроме случаев, когда это является критически важным для бизнеса, при передаче информация должна быть зашифрована в соответствии с политикой допустимого шифрования.
Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Электронное почтовое сообщение (почтовое сообщение) – передача информации с помощью почтового протокола типа SMTP или IMAP. Почтовыми клиентами могут быть, например, Eudora или Microsoft Outlook.
Переадресация почты – электронная почта, полученная на почтовый адрес компании и перенаправленная на почтовый адрес, не принадлежащий компании.
Разглашение информации – намеренное или неумышленное раскрытие ограниченной для распространения информации людям, которые не должны ее знать.13. Политика классификации информации
Цель
Помочь сотрудникам в определении информации, которая может быть разглашена ими людям, не являющимся сотрудниками компании, и информации, которая не может быть разглашена ими за пределами компании без получения соответствующего разрешения.
Информация, описываемая в этой политике, – любая информация, хранимая или передаваемая внутри компании на бумажных, электронных и других носителях, получаемая или передаваемая посредством голоса или визуально (телефон, видеоконференция).
Все сотрудники должны ознакомиться с правилами хранения и маркирования информации, описанными в этой политике. Уровни важности информации, приведенные ниже, являются руководством и акцентируют внимание на требуемых шагах по защите конфиденциальной информации (например: конфиденциальная информация не должна оставаться без присмотра в комнатах для конференций).Область действия
Вся информация в компании делится на:
• публичную,
• конфиденциальную.Публичная информация – информация, которая может быть объявлена публично сотрудником, уполномоченным на это, и разглашение этой информации не нанесет ущерба компании.
Конфиденциальная информация – вся остальная информация. Необходимо понимать, что информация бывает более важной и менее важной, более важная должна быть и защищена более тщательно. К информации, которую нужно защищать очень тщательно, относятся торговые секреты, списки возможных приобретений и другая информация, от которой зависит успех компании. К конфиденциальной информации, которую тоже нужно защищать, хотя и менее тщательно, относятся списки телефонов компании, общая информация о структуре компании, списки сотрудников и т. д.
Читать дальшеИнтервал:
Закладка:
