Управление доступом

При установке требований к управлению доступом к электронным файлам, механизм доступа и аутентификационным механизм работают в паре, что обеспечивает получение доступа к файлам только авторизованным пользователям.

Аудит политики безопасности – определяет типы событий, отслеживаемых во всех системах:

· попытки входа в систему (успешные или неудачные);

· выход из системы;

· ошибки доступа к файлам или системным объектам;

· попытки удаленного доступа (успешные или неудачные);

· действия привилегированных пользователей (администраторов), успешные или неудачные;

· системные события (выключение и перезагрузка).

Каждое событие должно включать следующую информацию:

· ID пользователя (если имеется);

· дата и время;

· ID процесса (если имеется);

· выполненное действие;

· успешное или неудачное завершение события.

В политике безопасности устанавливается срок и способ хранения записей аудита. По возможности указывается способ и частота просмотра этих записей.

Сетевые соединения

Политика безопасности так же описывает правила установки сетевых соединений и используемые механизмы защиты.

Для соединений наборного доступа устанавливают технические правила аутентификации и аутентификации для каждого типа соединения (строгий контроль над разрешенными точками доступа).

В качестве устройств защиты выделенных линий используют межсетевые экраны.

Политика безопасности должна:

· определять механизмы, используемые при осуществлении удаленного доступа сотрудниками к внутренним системам. При этом политика безопасности должна определять процедуру прохождения авторизации для такого доступа. И самое главное при осуществлении удаленного доступа, чтобы все соединения были защищены шифрованием;

· определять условия, при которых разрешается использование беспроводных соединений (если таковые имеются), и то, каким образом будет осуществляться авторизация в такой сети (дополнительные требования, предъявляемые к аутентификации или шифрованию);

· быть определено размещение программ безопасности, с определенными требованиями, отслеживающих вредоносный код (вирусы, черви, “черные ходы” и “троянские кони”). Места для размещения – файловые серверы, рабочие станции и серверы электронной почты;

· определять приемлемые алгоритмы шифрования для применения внутри организации и ссылаться на информационную политику для указания соответствующих алгоритмов для защиты секретной информации.

Отказ от защиты

При запуске систем не отвечающим требованиям политики безопасности, в устройстве предусматривается механизм, оценивающий степень риска, которому подвергается организация, и последующий план действий предпринимаемых при возникновении непредвиденных обстоятельств.

Для этих целей предназначен процесс отказа от защиты. Менеджер проекта должен заполнять форму отказа следующей информацией:

· система с отказом от защиты;

· раздел политики безопасности, соответствие которому будет нарушено;

· ответвления организации (обуславливают повышенную степень риска);

· шаги, предпринимаемые для снижения или контроля степени опасности;

· план восстановления соответствия системы требованиям политики безопасности.

Запрос об отказе от защиты должен рассмотреть и предоставить свою оценку риска, рекомендации по его снижению и управлению потенциально опасными ситуациями, отдел информационной безопасности.

Ответственное за проект должностное лицо организации должно подписать отказ от защиты, заверяя свое понимание потенциальной опасности, связанной с отказом от защиты, и соглашается с необходимостью отказа организации от соответствия требованиям защиты. А так же согласие с тем, что шаги по контролю над степенью риска соответствуют требованиям и будут выполняться (при необходимости).

В приложениях или в отдельных описаниях процедур должны размещаться подробные сведения о конфигурации для различных операционных систем, сетевых устройств и другого телекоммуникационного оборудования, что позволяет модифицировать документы по мере необходимости без изменения политики безопасности организации.