Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Фундамент информационной безопасности

Чад Корошек

Вне всякого сомнения, обеспечить информационную безопасность на предприятии не так-то просто. Необходимо выработать твердую политику и неукоснительно следовать ей. Не существует универсального средства ИТ-защиты, позволяющего противостоять всем возможным угрозам. Поэтому, начиная разрабатывать политику безопасности “с нуля” или перерабатывая ее заново, прежде всего определите ее цель.

Сформируйте комитет по управлению разработкой политики безопасности. В его состав введите бизнес-менеджеров и технических специалистов. Пусть комитет возглавит человек, имеющий соответствующий опыт. Задача комитета — осуществлять контроль и координировать процессы выработки и пересмотра политики безопасности. В составе комитета также должен быть, как минимум, один топ-менеджер, компетентный в вопросах безопасности и их влиянии на работу бизнес-приложений и деятельность компании в целом.

Политика безопасности должна определять роль и ответственность каждого работника вашей организации. Во избежание недоразумений четко сформулируйте все ее положения. Если ваша политика безопасности требует, чтобы на корпоративных ПК выполнялись только разрешенные к применению в вашей организации приложения, убедитесь, что все понимают это положение однозначно.

Полную версию данной статьи смотрите в 5-ом номере журнала за 2005 год.

Выработайте директивы для классификации конфиденциальной информации. Всеобъемлющая политика безопасности должна включать в себя безопасность не только корпоративных АИС, но и персональных данных, финансовых и прочих транзакций, а также физическую безопасность. Предприятия малого и среднего бизнеса могут ограничиться выработкой общей политики, крупным же организациям, помимо нее, придется выработать политику, стандарты и директивы безопасности для каждого подразделения.

На этапе проработки отдельных элементов политики безопасности полезно оценить эффективность предыдущей политики в отношении предотвращения вторжений и восстановления систем после атак. Детальные руководства и инструменталь-ные средства для выработки политики безопасности содержатся в Интернет-ресурсах Security Policy Project института SANS (www.sans.org/resources/policies) и ISO 17799 Security Standards (www.iso17799software.com) Международной организации по стандартизации.

Ниже приводятся краткие определения терминов, наиболее употребительных в сфере политики безопасности:

• Политика содержит правила и требования безопасности как для текущей деятельности вашей организации и ее подразделений, так и на перспективу. В политике необходимо описать последствия нарушений конфигурации систем защиты; эти описания должны быть универсальными, а не ограничиваться указаниями на применение лишь в отдельных серверных архитектурах.

• Стандарт составляет основу любой документации. В нем излагаются особенности отдельных методов, систем и технологий безопасности — например, таких, как инфраструктура открытых ключей. Стандарт содержит детальную информацию, и его следует регулярно пересматривать, чтобы гарантировать его актуальность.

• Директива — это практическая рекомендация, выработанная на основе передового опыта предприятия, касающаяся отдельных систем безопасности или их элементов.

• Процедура описывает то, как следует применять данную политику, стандарт или директиву безопасности. Она может содержать инструкции по инсталляции ПО, ведению документации и оповещению о попытках вторжения.

Организуйте обучение. Учебный процесс должен быть непрерывным и охватывать всех служащих вашей организации, начиная с момента их приема на работу. Программа обучения может включать в себя как ежегодные тренинги, так и короткие ежедневные брифинги и выездные семинары для персонала филиалов. Обучение даст вам в руки важнейший инструмент для усиления информационной безопасности и контроля над ней. Подготовив персонал, вы, например, сможете добиться того, чтобы конфиденциальные темы не обсуждались в нерабочее время. Сделайте так, чтобы корпоративная безопасность касалась всех. И наконец, наймите консультантов с целью регулярной оценки прочности вашей системы безопасности, чтобы своевременно устранять ее слабые места..





  
5 '2005
СОДЕРЖАНИЕ

бизнес

• Правила игры для операторов связи

• CeBIT 05 — новый виток конвергенции

• Информатизация в Югре

инфраструктура

• Маршрутизаторы для корпоративных сетей

• Лазеры VCSEL открывают новые возможности

• Тестируем WAN-акселераторы

• Обеспечение QoS в беспроводных ЛВС

информационные системы

• Как правильно выбрать систему CRM

сети связи

• Ethernet-сети общего пользования

кабельные системы

• Преимущества технологии PoE

• Экранированные витопарные кабели защитят от электромагнитных помех

защита данных

• Советы специалиста по информационной безопасности

• Фундамент информационной безопасности

• Доверяйте метрикам

• Обновляйте ПО!

• Узнайте лицо врага

• Конфиденциальность данных

• Wi-Fi против «плохих парней»

• Боремся с невеждами


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх