LibCat » Книги » Компьютеры и интернет » Интернет » Сергей Петренко - Политики безопасности компании при работе в Интернет

Сергей Петренко - Политики безопасности компании при работе в Интернет

Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Политики безопасности компании при работе в Интернет
Автор:
Сергей Александрович Петренко
Жанр:
Интернет / на русском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Требования по соответствию. Сотрудники обязаны выполнять все требования этой политики и любых последующих ее версий. Доступ к инфраструктуре компании и ее данным является привилегией, не правом. То есть компания может изменить привилегии доступа сотрудника любым способом в любое время. К сотруднику, нарушившему эту политику, могут быть применены дисциплинарные и административные меры, вплоть до увольнения.

Политика идентификации и аутентификации. Политика идентификации и аутентификации определяет процедурные и технические методы, используемые для идентификации и аутентификации.

Руководство по управлению паролями. Следующие принципы определяют правила выбора пароля:

• пароли, если возможно, должны использовать строчные и прописные буквы, знаки препинания и числа, должны иметь длину как минимум восемь символов;

• изменять пароли следует ежеквартально;

• нельзя записывать пароли;

• нельзя сообщать пароли кому бы то ни было.

Руководство по аутентификации. Компания должна использовать защищенную базу учетных записей на основе протокола TACACS+ для аутентификации.

Политика доступа в Интернет. Компания осознает важность доступа сотрудников в Интернет для ведения бизнеса и принимает возможные риски, связанные с этими подключениями.

Политику доступа в Интернет определяет Руководство по доступу в Интернет.

Допустимое использование. Исходящий доступ в Интернет может быть свободно использован сотрудниками для выполнения служебных обязанностей. Должно быть определено и реализовано разумное ограничение на общее время работы в Интернете.

Политика межсетевого экрана. Межсетевой экран, состоящий как минимум из пограничного маршрутизатора и защищенного компьютера, должен быть использован для защиты от несанкционированного доступа к внутренней сети компании из Интернета. Необходимо разработать правила фильтрации пакетов для управления доступом через периметр с регистрацией попыток нарушения доступа на сервере syslog.

Политика публичных сервисов. Входящий доступ из Интернета во внутреннюю сеть компании будет запрещен, если только не используется шифрование на сетевом уровне. Входящий доступ должен быть ограничен сервисами защищенного хоста, такими, как SMTP, HTTP, FTP, DNS.

Политика доступа во внутреннюю сеть компании. Политика доступа во внутреннюю сеть компании определяет процесс выдачи прав доступа сотруднику к ресурсам.

Доверительные отношения. Доступ к компьютерам внутренней сети разрешен для всех сотрудников компании на основе уровня доверия, определяемого руководителем сотрудника. Компания старается балансировать между прозрачным доступом сотрудника к ресурсам и безопасностью сети. Компания устанавливает пять уровней доверия. Каждый сотрудник получает определенный уровень доверия в соответствии с его служебными обязанностями. Для соблюдения требуемых уровней доверия должны быть реализованы соответствующие технические средства защиты.

Доступ к компьютерам внутренней сети сторонним организациям запрещен, если специально не разрешен отделом информационных технологий и соответствующим руководителем.

Безопасность сетевого оборудования. Административный доступ к сетевому оборудованию запрещен, за исключением сотрудников отдела информационных технологий, определяемых начальником этого отдела. Для защиты управляющего трафика между внутренними серверами используется шифрование на сетевом уровне.

Политика удаленного доступа. Сотрудники, получающие доступ во внутреннюю сеть компании с домашних компьютеров или через телефонные сети общего доступа, должны четко понимать и выполнять обязанности по защите ресурсов компании при получении такого доступа.

Поэтому сотрудники, получающие этот вид доступа, несут определенную ответственность. Компьютер, с которого сотрудник получает удаленный доступ в сеть, должен быть защищен паролем и сконфигурирован таким образом, чтобы не допустить доступ посторонних во внутреннюю сеть компании.

Аутентификация удаленного доступа должна происходить с использованием TACACS+ или токенов.

Мобильные компьютеры. Сотрудники компании, нуждающиеся в удаленном доступе в сеть компании с мобильных компьютеров, получают такой доступ через серверы сетевого доступа, находящиеся под управлением отдела информационных технологий. Сотрудники должны использовать компьютеры с операционными системами Windows 95, Windows 98, Windows 2000 или Apple Macintosh с программным обеспечением для организации удаленного доступа, утвержденным отделом информационных технологий.