Нижний уровень политики безопасности

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

При исследовании данной политики следует ответить на ряд вопросов:

· Кто имеет право доступа к объектам, поддерживаемым сервисом?

· При каких условиях можно читать и модифицировать данные?

· Как организован удаленный доступ к сервису?

При формулировке целей политики безопасности нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

С помощью целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

Обязанности различных категорий персонала:

1.Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:

· Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;

· Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

· Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;

· Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);

· Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.

2.Администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претвор­ния в жизнь политики безопасности. Они обязаны:

· Обеспечить защиту оборудования корпоративной сети, в том числе интерфейсов с другими сетями;

· Оперативно и эффективно реагировать на события, представляющих угрозу;

· Информировать администраторов сервисов о попытках нарушения защиты;

· Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

· Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;

· Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;

· Разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения;

· Оказывать помощь в обнаружении и ликвидации вредоносного кода;

· Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

· Выполнять все изменения сетевой аппаратно-программной конфигурации;

· Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· Периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

3.Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:

· Управлять правами доступа пользователей к обслуживаемым объектам;

· Оперативно и эффективно реагировать на события, таящие угрозу;

· Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставле­нии информации для их наказания;

· Регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· Ежедневно анализировать регистрационную информацию, относящуюся к сервису. Периодически проводить проверку надежности защиты сервиса.

4.Пользователи обязаны работать с корпоративной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситу­ациях. Они обязаны:

· Знать и соблюдать законы и установленные правила, принятые в организации, политику и процедуры безопасности;

· Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

· Использовать механизм защиты файлов и должным образом задавать права доступа;

· Выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

· Информировать администраторов или руководство о нарушениях безопас­ности и иных подозрительных ситуациях;

· Не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

· Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

· Обеспечивать резервное копирование информации с жесткого диска своего компьютера;

· Знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;

· Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.