- •Политика информационной безопасности
- •Когда необходимо иметь разработанные правила безопасности
- •Анализ данных защиты
- •1. Какие данные должны быть зарезервированы?
- •Права интеллектуальной собственности и политика безопасности
- •Физическая безопасность информационных ресурсов
- •Размещение компьютеров и монтаж оборудования
- •Средства управления доступом
- •Доступность системы
- •Телекоммуникации и удаленный доступ
- •Руководящие принципы эксплуатации оборудования
- •Административные обязанности
- •Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
- •Модемы и прочие лазейки
- •Администрирование электронной почты .:
- •Вирусы, "черви" и "троянские кони"
- •Правила эксплуатации стороннего программного обеспечения
- •Шифрование
- •Управление криптографией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Соображения о генерировании ключей
- •Управление ключами
- •Этапы разработки программного обеспечения
- •Замена версий и управление конфигурацией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Виртуальная частная сеть (vpn).
- •Внутренняя сеть (intranet). Экстрасеть (extranet).
Административные обязанности
После того, как разработаны правила подсоединения к Internet, самое время сконцентрироваться на специфических областях, которые влияют на использование этого подключения. Начнем с правил администрирования. За исключением самых простых правил, о правилах администрирования забывают, поскольку разработчики правил полагают, что все эти вопросы рассматривались в других областях. Это может быть и так, но все же имеет смысл их здесь описать.
Профилактическое обслуживание
Первая обязанность, о которой нужно поговорить, — это профилактическое обслуживание. В правилах должно быть требование к системным администраторам проводить регулярное обслуживание для поддержания порядка в общедоступных данных. Хоть и звучит это довольно обыденно, есть организации, которые не проводят обслуживание Web-серверов, ftp-архивов и других, требующих обслуживания систем. Не выдвигая такого жесткого требования, в некоторых организациях просто игнорируют общедоступные в информационном плане части системы. Друг автора книги работал в компании с небольшим Web-сервером, чья загрузочная область стала местом хранения средств хакеров. Сервер никогда не проверялся, и Web-сервер был взломан для того, чтобы на нем можно было хранить файлы.
Эти проблемы касаются не только организаций, имеющих собственные серверы. Организации, получающие услуги Internet со стороны, должны иметь правила с требованиями о том, чтобы в договоры на услуги были включены соглашения об обслуживании или профилактических работах, которые позволят администраторам организации проводить такой тип обслуживания. В любом случае следует записать в правилах, что обслуживание должно проводиться, но не должно быть записано, как это обслуживание будет проводиться. Это относится к процедурам, а не к правилам.
Соглашения с внешними источниками
Соглашения с внешними источниками представляют собой довольно интересную проблему, поскольку организации вообще могут не управлять серверами. Это также становится проблемой для организаций, которые могут поддерживать собственные серверы, но управление отдельными их функциями передать внешним источникам. В таком случае достаточно иметь инструкции, но в правила следует включить требование того, чтобы обслуживание входило в условия контракта. Некоторые организации используют формулировку правил, подобную следующей.
Администраторы несут ответственность за процедуры обслуживания серверов, предоставляющих информацию или усгуги пользователям Internet. Совместно используемые серверы или принадлежащие внешним провайдерам также должны обслуживаться по инструкциям, согласованным в контрактах на предоставление услуг.
Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
В результате расширения Internet, а также Internet-технологий появились новые возможности расширения сетевой инфраструктуры организации за счет подключения удаленных офисов, покупателей и даже для связи служащих друг с другом через общедоступные сети. Мы осуществляем эти дополнительные услуги путем создания туннеля между локальной сетью и удаленным узлом.
В сетевой терминологии туннель использует Internet в качестве отдельной частной защищенной сети, определяемой возможным прохождением трафика. Обычно, для предотвращения прослушивания, эти туннели шифруются, но шифрование не является обязательным требованием. В конце концов, протокол двухточечной связи РРР (point-to-point protocol) является протоколом туннелирования. Однако, если организации собираются расширить свои сети на множество офисов или для предоставления доступа клиентам, то шифрование предназначается для создания виртуальных частных сетей (VPN — Virtual Private Network).