Управление доступом
При установке требований к управлению доступом к электронным файлам, механизм доступа и аутентификационным механизм работают в паре, что обеспечивает получение доступа к файлам только авторизованным пользователям.
Аудит политики безопасности – определяет типы событий, отслеживаемых во всех системах:
· попытки входа в систему (успешные или неудачные);
· выход из системы;
· ошибки доступа к файлам или системным объектам;
· попытки удаленного доступа (успешные или неудачные);
· действия привилегированных пользователей (администраторов), успешные или неудачные;
· системные события (выключение и перезагрузка).
Каждое событие должно включать следующую информацию:
· ID пользователя (если имеется);
· дата и время;
· ID процесса (если имеется);
· выполненное действие;
· успешное или неудачное завершение события.
В политике безопасности устанавливается срок и способ хранения записей аудита. По возможности указывается способ и частота просмотра этих записей.
Сетевые соединения
Политика безопасности так же описывает правила установки сетевых соединений и используемые механизмы защиты.
Для соединений наборного доступа устанавливают технические правила аутентификации и аутентификации для каждого типа соединения (строгий контроль над разрешенными точками доступа).
В качестве устройств защиты выделенных линий используют межсетевые экраны.
Политика безопасности должна:
· определять механизмы, используемые при осуществлении удаленного доступа сотрудниками к внутренним системам. При этом политика безопасности должна определять процедуру прохождения авторизации для такого доступа. И самое главное при осуществлении удаленного доступа, чтобы все соединения были защищены шифрованием;
· определять условия, при которых разрешается использование беспроводных соединений (если таковые имеются), и то, каким образом будет осуществляться авторизация в такой сети (дополнительные требования, предъявляемые к аутентификации или шифрованию);
· быть определено размещение программ безопасности, с определенными требованиями, отслеживающих вредоносный код (вирусы, черви, “черные ходы” и “троянские кони”). Места для размещения – файловые серверы, рабочие станции и серверы электронной почты;
· определять приемлемые алгоритмы шифрования для применения внутри организации и ссылаться на информационную политику для указания соответствующих алгоритмов для защиты секретной информации.
Отказ от защиты
При запуске систем не отвечающим требованиям политики безопасности, в устройстве предусматривается механизм, оценивающий степень риска, которому подвергается организация, и последующий план действий предпринимаемых при возникновении непредвиденных обстоятельств.
Для этих целей предназначен процесс отказа от защиты. Менеджер проекта должен заполнять форму отказа следующей информацией:
· система с отказом от защиты;
· раздел политики безопасности, соответствие которому будет нарушено;
· ответвления организации (обуславливают повышенную степень риска);
· шаги, предпринимаемые для снижения или контроля степени опасности;
· план восстановления соответствия системы требованиям политики безопасности.
Запрос об отказе от защиты должен рассмотреть и предоставить свою оценку риска, рекомендации по его снижению и управлению потенциально опасными ситуациями, отдел информационной безопасности.
Ответственное за проект должностное лицо организации должно подписать отказ от защиты, заверяя свое понимание потенциальной опасности, связанной с отказом от защиты, и соглашается с необходимостью отказа организации от соответствия требованиям защиты. А так же согласие с тем, что шаги по контролю над степенью риска соответствуют требованиям и будут выполняться (при необходимости).
В приложениях или в отдельных описаниях процедур должны размещаться подробные сведения о конфигурации для различных операционных систем, сетевых устройств и другого телекоммуникационного оборудования, что позволяет модифицировать документы по мере необходимости без изменения политики безопасности организации.
Дата добавления: 2016-02-20; просмотров: 508;