Сергей Александрович Петренко

Политики безопасности компании при работе в Интернет


Скачать книгу

настоящее время ряд ведущих компаний в области безопасности выделяют следующие политики:

      • допустимого шифрования,

      • допустимого использования,

      • аудита безопасности,

      • оценки рисков,

      • классификации данных,

      • управления паролями,

      • использования ноутбуков,

      • построения демилитаризованной зоны (DMZ),

      • построения экстранет,

      • безопасности рабочих станций и серверов,

      • антивирусной защиты,

      • безопасности маршрутизаторов и коммутаторов,

      • безопасности беспроводного доступа,

      • организации удаленного доступа,

      • построения виртуальных частных сетей (VPN) и пр.,

      • безопасности периметра.

      Политика допустимого использования информационных ресурсов компании определяет права и ответственность сотрудников компании за надлежащую защиту конфиденциальной информации компании. В частности, политика допустимого использования определяет, могут ли сотрудники компании читать и копировать файлы, владельцами которых они не являются, но к которым имеют доступ. Также эта политика устанавливает правила допустимого использования корпоративной электронной почты, служб новостей и процедур доступа к сети компании.

      Примерный текст из описания политики допустимого использования:

      «Сотрудники несут личную ответственность за безопасность любой информации, используемой и/или сохраненной с применением их учетных записей в компании. Используйте руководство пользователя для получения рекомендаций по защите вашей учетной записи и информации с использованием стандартных методов безопасности на уровне операционной системы или при помощи программного обеспечения для шифрования типа PGP. Конфиденциальная информация компании или сторонних организаций не должна храниться (или быть переданной) на компьютерах, не принадлежащих компании».

      «Сотрудники не должны пытаться получить доступ к любым данным или программам, находящимся на рабочих станциях и серверах компании, если они не имеют соответствующего разрешения или явного согласия владельца этих информационных ресурсов».

      Политика организации удаленного доступа определяет допустимые способы удаленного соединения с корпоративной информационной системой. Представляет собой основной документ безопасности в крупных транснациональных компаниях с географически разветвленной сетью. Должна описывать все доступные способы удаленного доступа к внутренним информационным ресурсам компании: доступ по коммутируемым сетям (SLIP, РРР), доступ с использованием ISDN/Frame Relay, Telnet/SSH-доступ через Интернет, выделенную линию/VPN/DSL и пр.

      Примерный текст из описания политики организации удаленного доступа:

      1. Сотрудники, менеджеры по продажам и выездные специалисты компании, обладающие удаленным доступом к корпоративной сети компании, несут такую