- •Политика информационной безопасности
- •Когда необходимо иметь разработанные правила безопасности
- •Анализ данных защиты
- •1. Какие данные должны быть зарезервированы?
- •Права интеллектуальной собственности и политика безопасности
- •Физическая безопасность информационных ресурсов
- •Размещение компьютеров и монтаж оборудования
- •Средства управления доступом
- •Доступность системы
- •Телекоммуникации и удаленный доступ
- •Руководящие принципы эксплуатации оборудования
- •Административные обязанности
- •Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
- •Модемы и прочие лазейки
- •Администрирование электронной почты .:
- •Вирусы, "черви" и "троянские кони"
- •Правила эксплуатации стороннего программного обеспечения
- •Шифрование
- •Управление криптографией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Соображения о генерировании ключей
- •Управление ключами
- •Этапы разработки программного обеспечения
- •Замена версий и управление конфигурацией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Виртуальная частная сеть (vpn).
- •Внутренняя сеть (intranet). Экстрасеть (extranet).
Физическая безопасность информационных ресурсов
В мире уже много лет существует понятие функциональной безопасности информационных ресурсов. Основными ее составляющими являются:
1.Техническая безопасность:
система построения резервных центров;
организация системы бесперебойного питания;
"зеркалирование" систем обработки и хранения данных;
выбор качественного оборудования для организации ИТ-инфраструктуры.
2.Логическая безопасность:
антивирусные программы;
системы от несанкционированного доступа;
системы идентификации;
системы кодирования;
выбор качественного, лицензионного программного обеспечения.
3.Физическая безопасность:
защита от огня;
защита от воды и пожаротушащей жидкости
защита от коррозийных газов;
защита от электромагнитного излучения;
защита от вандализма;
защита от воровства и кражи;
защита от взрыва;
защита от падающих обломков;
защита от пыли;
защита от несанкционированного доступа в помещение.
В наши дни, когда достаточно высока вероятность техногенных катастроф, немаловажным становится вопрос физической безопасности информации. Для информационных центров этот вопрос наиболее актуален.
Размещение компьютеров и монтаж оборудования
Революционное наступление персональных компьютеров и бурный рост сетевых систем изменили положение дел. Оборудование стали устанавливать в помещениях со встроенными в стены кабелями, с соединительными разъемами, введенными за пределы офиса. Сетевое оборудование устанавливают в специально спроектированных помещениях или "шкафах", а для серверов выделяется отдельное помещение внутри офиса. Но при таком серьезном подходе к компьютеризации, тем не менее никто особо не ломает голову при выборе места для размещения компьютерных центров. Их размещение в здании рассматривается скорее с точки зрения удобств, а не безопасности.
Средства управления доступом
Средства управления доступом сводятся не только к аутентификации, но с их помощью определяется, кто имеет доступ к ресурсам организации. Средства управления доступом предусматривают несколько способов реализации. Наиболее распространенные алгоритмы привязаны к тем, что предлагаются операционными системами или программным обеспечением, поддерживающим работу предприятия. Это значит, что правила управления доступом привязаны к технологии, используемой для поддержки бизнеса.
Правила управления доступом должны быть сфокусированы на том, где использовать управление доступом, а не декларировать его использование. Специфика разработки правил управления доступом заключается в том, чтобы широкая формулировка правил не могла быть приложена к тому, что не требует управления доступом. Например, правила управления доступом, которые ограничивают доступ к информации организации, хранящейся в базе данных, не должны быть приложимы по отношению к документам, доступным через Intranet.
Общая безопасность компьютерных систем
Целью разработки правил безопасности универсальных компьютерных систем, является обеспечение работоспособности систем и обеспечение информационной поддержки бизнес-процесса. Поэтому такие факторы, как техническое обслуживание и аварийные отключения (ожидаемые и незапланированные), рассматриваются именно в этом разделе.
Профилактическое обслуживание
Основной причиной, препятствующей нормальному техническому обслуживанию, особенно в больших системах, является недоступность системы программными средствами из-за сбоев, которые можно было бы предотвратить. Некоторые люди утверждают, что профилактическое обслуживание является общепринятой рабочей процедурой, но автор сталкивался с компаниями, пренебрегающими этой работой. Не имея правила, требующего профилактического обслуживания компьютерных систем, организация рискует столкнуться с фундаментальными проблемами, угрожающими нарушить весь бизнес-процесс. Даже если вы считаете, что профилактическое обслуживание - это всего лишь текущая работа, все равно постарайтесь утвердить ее в виде предписания политики безопасности, чтобы гарантировать выполнение этой работы.