LibCat » Книги » Компьютеры и интернет » Интернет » Сергей Петренко - Политики безопасности компании при работе в Интернет

Сергей Петренко - Политики безопасности компании при работе в Интернет

Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Политики безопасности компании при работе в Интернет
Автор:
Сергей Александрович Петренко
Жанр:
Интернет / на русском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Процедуры доклада об инцидентах. Необходимо отладить процедуру доклада об инцидентах, чтобы иметь их детальное описание вместе с принятыми мерами. Каждый инцидент должен разбираться подгруппой информационной безопасности предприятия с целью уяснения его сути и выработки предложений по совершенствованию политики и процедур безопасности.

Приложение 4 ПОЛИТИКИ БЕЗОПАСНОСТИ, РЕКОМЕНДУЕМЫЕSANS

Институт SANS подготовил ряд политик безопасности, которые можно найти на сайте института (www.sans.org). К ним относятся:

1) политика допустимого шифрования,

2) политика допустимого использования,

3) руководство по антивирусной защите,

4) политика аудита уязвимостей,

5) политика хранения электронной почты,

6) политика использования электронной почты компании,

7) политика использования паролей,

8) политика оценки рисков,

9) политика безопасности маршрутизатора,

10) политика обеспечения безопасности серверов,

11) политика виртуальных частных сетей,

12) политика беспроводного доступа в сеть компании,

13) политика автоматического перенаправления электронной почты компании,

14) политика классификации информации,

15) политика в отношении паролей для доступа к базам данных,

16) политика безопасности лаборатории демилитаризованной зоны,

17) политика безопасности внутренней лаборатории,

18) политика экстранета,

19) политика этики,

20) политика лаборатории антивирусной защиты.

1. Политика допустимого шифрования

Цель

Основной задачей этой политики является определение разрешенных к использованию алгоритмов шифрования. Политика обеспечивает гарантии соблюдения федеральных законов и юридического разрешения для распространения и использования технологий шифрования за пределами США.

Область действия Политика обязательна для всех сотрудников компании.

Суть политики

Для шифрования должны быть использованы испытанные стандартные алгоритмы типа DES, Blowfish, RSA, RC5 и IDEA. Эти алгоритмы могут быть использованы в приложениях, разрешенных к применению в компании. Например, PGP производства NAI применяет комбинацию IDEA и RSA или Diffie-Hellman, в то время как SSL – шифрование RSA. Ключи для симметричного шифрования должны иметь длину как минимум 56 бит. Ключи для асимметричного шифрования должны иметь длину, соответствующую аналогичной стойкости. Требования к длине ключей должны пересматриваться в компании ежегодно.

Использование других алгоритмов шифрования разрешено, если это рекомендовано квалифицированной группой экспертов и получено разрешение отдела информационной безопасности. Экспорт технологий шифрования за пределы США ограничен экспортными законами. Резиденты за пределами США, использующие шифрование, обязаны ориентироваться на законы стран, в которых они находятся.

Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Термины и определения

Симметричное шифрование – метод шифрования, при котором один и тот же ключ используется и для шифрования, и для дешифрования.

Асимметричное шифрование – метод шифрования, при котором один ключ используется для шифрования, а другой – для дешифрования.

2. Политика допустимого использования Основной задачей издания этой политики отделом информационной безопасности является не наложение ограничений на установленную в компании культуру открытости, доверия и целостности, а защита сотрудников и партнеров компании от преднамеренных и непреднамеренных противоправных действий со стороны других людей. Системы компании, связанные с Интернетом/интранетом/экстранетом, включая компьютерное оборудование, программное обеспечение, операционные системы, системы хранения данных, учетные записи для доступа к электронной почте, к Web-pecypcaм, являются собственностью компании. Эти системы должны использоваться только с деловой целью в интересах компании и ее клиентов.

Цель Цель этой политики состоит в определении допустимого использования компьютерного оборудования в компании. Эти правила предназначены для защиты компании и ее сотрудников, чтобы не подвергать их рискам, включая вирусные атаки, взлом систем, и не допускать возникновения юридических проблем.

Область действия Политика обязательна для всех сотрудников, подрядчиков, консультантов, временных сотрудников и других работающих в компании, включая весь персонал сторонних компаний, пользующихся информационными системами или оборудованием компании. Положения этой политики относятся и ко всему оборудованию, которое является собственностью компании или взято ею в аренду.