- •Политика информационной безопасности
- •Когда необходимо иметь разработанные правила безопасности
- •Анализ данных защиты
- •1. Какие данные должны быть зарезервированы?
- •Права интеллектуальной собственности и политика безопасности
- •Физическая безопасность информационных ресурсов
- •Размещение компьютеров и монтаж оборудования
- •Средства управления доступом
- •Доступность системы
- •Телекоммуникации и удаленный доступ
- •Руководящие принципы эксплуатации оборудования
- •Административные обязанности
- •Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
- •Модемы и прочие лазейки
- •Администрирование электронной почты .:
- •Вирусы, "черви" и "троянские кони"
- •Правила эксплуатации стороннего программного обеспечения
- •Шифрование
- •Управление криптографией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Соображения о генерировании ключей
- •Управление ключами
- •Этапы разработки программного обеспечения
- •Замена версий и управление конфигурацией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Виртуальная частная сеть (vpn).
- •Внутренняя сеть (intranet). Экстрасеть (extranet).
1. Какие данные должны быть зарезервированы?
Только пользовательские данные?
Вся система?
Вся база данных или файлы журналов?
Архивное хранение резервных копий
При рассмотрении архивирования резервных копий в первую очередь нужно определить, где будут храниться эти данные: на месте эксплуатации или вне систем? Некоторые организации имеют хранилища для хранения магнитных лент и дисков. В этом случае достаточно иметь правила хранения резервных копий на месте эксплуатации. В противном случае в создании реальных правил может помочь изучение повседневной и наиболее производительной работы
Уничтожение данных
"Разгребание мусора" является общепринятой практикой индустриального шпионажа для поиска ценной информации. Коллега, с которым автор книги работал в данной области, рассказывал потрясающие истории о том. чего только не выбрасывали в утиль некоторые компании. Однажды ему выпала необыкновенная удача. Он собрал более двух дюжин бобин с магнитной лентой из мусорной корзины конкурента, на которых содержалась конфиденциальная информация компании.
Каким образом организация удаляет данные? Если это делается путем выбрасывания лент без стирания записанной на них информации, то собиратели мусора непременно обнаружат секреты компании. Определение процедуры утилизации данных имеет такую же важность, как и определение того, какие данные выбрасывать. Необходимо быть уверенным, что правилами четко определены процедуры удаления или утилизации данных, а также установлены требования к обеспечению того, что данные не смогут быть считаны.
.
Права интеллектуальной собственности и политика безопасности
Каждая организация независимо от ее функций имеет интеллектуальную собственность, которую необходимо защищать. Даже если организация не проводит политику информационной безопасности, она, возможно, имеет разработанные правила и процедуры для защиты ее интеллектуальной собственности. Однако разные организации определяют эту собственность по-разному. Например, компания, являющаяся ценообразователем на рынке, будет защищать технологические процессы от разоблачения их конкурентами, чтобы те не выяснили, какие проводятся меры для снижения уровня цен.
Для большинства профессионалов информационной безопасности разработка правил защиты интеллектуальной собственности, является одной из самых сложных задач. Не только такие правила влияют на бизнес-процессы, но и совокупность правовых нормативов интеллектуальной собственности, которые могут различаться в разных штатах и странах. Когда планируется и разрабатывается политика в определенной области, весьма разумно проконсультироваться с юристом, который специализируется в данной области. На предварительных стадиях планирования стоит рассмотреть несколько вопросов, касающихся правил защиты интеллектуальной собственности.
Обязанности в области информационной безопасности
информационной безопасности поддержка руководства является наиболее важным моментом. Наряду с этой поддержкой должна быть и ответственность за дальнейшее участие в этой программе. В этой главе расписываются обязанности руководства и тех, кто претворяет программу в жизнь. Понимание роли этих групп необходимо для успешной реализации программы безопасности.
Обучение и поддержка в области защиты информации
После разработки правил безопасности необходимо организовать обмен мнениями между разработчиками, руководством и каждым сотрудником организации, чтобы всем разъяснить предписания политики и ее значение. На этом заключительном этапе планирования необходимо запланировать обучение персонала. Это обучение необходимо каждому, кто имеет доступ к компьютерам и сетям компании. Сотрудники должны располагать необходимыми записями, включая программу обучения и сам курс обучения, а также все утвержденные документы принятых корпоративных правил безопасности.
Руководство должно не только выделить время на обучение, оно должно всячески поощрять его. Автор был привлечен в одну компанию для проведения обучения в специально выделенное время, а именно, когда служащие не были заняты с клиентами или не были больны, они должны были посещать занятия. Предписания политики позволяли не выплачивать служащим жалованье до тех пор, пока они не пройдут курс обучения или не просмотрят его на видеопленке. Необязательно доходить до таких крайностей, но такой способ дает гарантию 100%.