3. Реализация политики безопасности

Эта часть будет описывать границы ответственности и отчетности при претворении в жизнь политики, описанной в последующих разделах. Она определяет ответственных за реализацию политики после того, как описывает лиц в организации, к которым она применима.

1. Область действия

Эта политика применима к данной организации. В случае спора в отношении правильности интерпретации или реализации данной политики, последнее слово будет за главным инженером компании. Ответственность за выполнение этой политики в рассматриваемой организации возлагается на главного администратора компании, кто может в свою очередь переложить часть этой ответственности на других лиц.

2. Реализация

Каждое должностное лицо и служащий компании, который администрирует или использует сетевые ресурсы компании, отвечает за строгое соблюдение данной политики. Каждый человек должен обязательно сообщать о подозреваемых или реальных уязвимых местах в безопасности своему непосредственному начальнику.

3. Описание политики

   1. Сети

Политика безопасности, описываемая здесь, в равной степени применима ко всем сетевым компонентам компании.

Интересы организации

Сетевые ресурсы компании существуют лишь для того, чтобы поддерживать деятельность организации. В некоторых случаях тяжело провести черту между интересами организации ( служебными интересами) и другими интересами. Система конференций и электронной почты Интернета являются примерами смешения интересов организации и личных интересов сотрудников по использованию этих ресурсов. Компания понимает, что попытки использования ограничений типа “только в интересах компании” в этих случаях бессмысленны. Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения не только задач, стоящих перед компанией. Начальники отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны начальники отделов должны препятствовать некорректному использованию сетевых ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там где оно морально или повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела.

Принцип “знай только то, что ты должен знать для работы”

Доступ к информационным ценностям компании не будет осуществлен, если не будет необходимости знать эту информацию. Это значит, что очень критическая информация должна быть защищена и раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Персональная информация, например, требуется руководителям групп, но им не нужна полная информация о людях, то есть о сотрудниках, работа с которыми не входит в их круг обязанностей.

Выявление необходимости сотруднику знать какую-либо информацию осуществляется младшими начальниками, а ответственность за реализацию принятых решений возлагается на сетевых администраторов в рамках его ответственности. Споры и конфликты будут разрешаться главным администратором и главным инженером, но доступ к информации, явившейся предметом конфликта, будет запрещен до окончания разрешения конфликта. Другими словами, каждый должен знать только то, что ему положено.

Обмен данными

Одним из основных показателей значимости сетевых ресурсов является быстрый и точный обмен данными, а также уничтожение избыточных и устаревших данных. В этом вопросе компания поддерживает и поощряет совместное использование и обмен информацией между подразделениями компании там, где этот обмен не входит в противоречие с принципом “знать только то, что тебе нужно для работы”. Не должно происходить импорта и экспорта информационных ценностей между узлами сети без явного разрешения на это в соответствии с вышеупомянутым принципом. Причина выделения отдельного пункта состоит в необходимости подчеркнуть, что неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения ( вирусов и т.д.). Например, как следствие, запрещено вносить данные, полученные вне сетевой инфраструктуры компании, без тщательной проверки на отсутствие источников ее порчи. Из изложенного выше должно быть ясно, что все, что явно не разрешено, - запрещено, так как область обмена данными создает риск целостности данных.

Аутентификация

Доступ к любой информационной ценности компании не должен осуществляться без соответствующей аутентификации, кроме случаев, описанных в этом разделе. Руководители подразделений могут принять решение предоставить публичный доступ к некоторой информации компании для ее рекламы и продвижения на рынке. Сети могут иметь службы общего доступа, аналогичные тем, что имеются в BBS. Эти службы не требуют аутентификации или имеют слабую аутентификацию. Если такая служба делается доступной для пользователей сети, которые не являются постоянными сотрудниками компании или работающими в ней по контракту, или как-то иначе подпадающими под юрисдикцию компании, то они должна получать к ней доступ не из сети, а из интернета с применением соответствующих мер защиты периметра безопасности. Другими словами, если информация раскрывается вне компании, то это не может делаться через сеть, а должно осуществляться через интернет с использованием соответствующих средств защиты, например требования аутентификации для получения доступа к частным информационным ценностям.

Аутентификация должна осуществляться способом, согласованным с критичностью используемой информации. В большинстве случаев достаточно традиционных имени и пароля пользователя. В других случаях требуется более сильная аутентификация помимо традиционной. Эти случаи касаются интернетов и не будут рассматриваться в части относительно сетей.