Mi a biztonsági politika
Mi a biztonsági politika.
A. Lukatckiy
Mivel ez lehetetlen, hogy a minőségi javítás egy lakásban anélkül, hogy a jó design projekt és lehetetlen kezelni információbiztonság (IS) a társaság, anélkül, hogy megfelelő stratégiákkal és információs biztonsági koncepció. Ez az a dokumentum, amelyben koncentrálódnak alapelveket védelmére vonatkozó valamennyi üzleti folyamatokat. Enélkül minden információs források biztonsági szakértő lenne kedve kéz nélkül. Elöljáróban „fogalmát az informatikai biztonság” és „információbiztonság politika” - teljesen eltérő körülmények között, de ebben a cikkben, annak érdekében, hogy megkönnyítse az elbeszélés, a két kifejezést szinonimaként használja.
Tehát szükség van-e a biztonsági politika?
Sajnos a gyakorlatban gyakran találkoznak ezen a helyzeten. Gyere el a fogyasztók, akik kell telepíteni és konfigurálni a tűzfalat, vagy behatolás-megelőző rendszer, és a kérdés, mint aki egy biztonsági politika kell nézni zavart és válaszolni: „Miért? Azt kell csak nyílt HTTP és SMTP ». Nyisd ... Egy perc hívás - „Van ICQ nem működik.” Majd újra: „Ez nem működik hozzáférést az online áruház” (jellemzően HTTPS). Ezt követi egy szélroham a telefonhívások és levelek: .... SSH, Telnet, IPSec, POP3, SQL * Net, SIP, H.323, stb, stb A rendszergazda az ügyfél meglepetten tapasztalta, hogy az internet már útközben két vagy három tucat különböző protokollokat, arról fogalma sem volt. De ez csak egy része a problémáját, állapotáról az informatikai biztonság, ami megoldja a biztonsági politika tudott.
Paradox helyzet. A vállalat egy hegyi dokumentumok különböző aspektusait tevékenységét, de nincs semmi, ami segítene, hogy válaszoljon a kérdésre: „Milyen információt tudjuk megvédeni? Abból, amit, és hogyan? „És mindez azért, mert a legtöbb vezetői az információ nem egy eszköz, amely előírja, annyi figyelmet, mint aranyrúd széf, nyilvános kötvények vagy értékpapírok belföldi monopóliumok.
Különbségek megközelítések biztonsági politika Magyarországon és a Nyugat
Egyik az „információs biztonsági koncepció” nyugati információbiztonsági anyag akkor nem fogja megtalálni a kifejezést. Ami az egyes vállalatok, egyszerűen nem létezik. Ha ez a fogalom megtalálható, ez csak azokra az egész államban. Magyarországon ez nem így van. Minden magára valamit is adó cég vagy kormányzati ügynökség költ jelentős forrásokat a fejlesztés ezen dokumentum, amely szerint a hagyományos értelmezés meghatározza nézetrendszer, célok és célkitűzések, alapelvek és módon lehet elérni a kívánt szintet adatok biztonságát. Nyugaton senki azt állítja, hogy olyan egységes rendszerre van szükség, de ez az úgynevezett „biztonsági politika» (Security Policy).
Mire jó ez a megközelítés? A legkisebb változás sem a politika nem igényelnek felülvizsgálatát az egész. A változások kizárólag egyetlen dokumentum, és nem érintik más szempontból a biztonsági információs források. A magyar gyakorlat felülvizsgálatára van szükség a hatalmas dokumentum egészét. Tekintettel arra, hogy ez általában támogatja a menedzsment a vállalat vagy ügynökség, az esetleges korrekciók gyakran vezet hosszú várakozás aláírások nem ismert, de a parancsok tiszteletben tartja a többoldalas „munkaerő”.
Mit kell tartalmaznia a biztonsági politika?
A koncepció tartalmaznia kell egy nézetrendszer magas szinten. Célok és célkitűzések IB, nem utasítható, a szabályok, a termék leírását, és a nevek felelős m. P. irányelvei leírják, az általános megközelítés IB nélkül részleteket. Mint ilyen, úgy néz ki egy tipikus biztonsági politika a Cisco? Ő írta le az egész család szakaszokat (számuk ritkán haladja meg a „mágikus” hét):
Ez a szerkezet lehetővé teszi, hogy tömör (2-3 oldal), hogy leírja az összes főbb szempontjai a témához kapcsolódó biztonsági politikát. Mindig meg kell jegyezni, hogy a koncepció - nem ez a módszer leírását a végrehajtás. Nem lehet „kapcsolódik” a konkrét műszaki megoldások, termékek és a termelők. Egyébként változások a politikai helyzet a cégnél, kivonását a piacról néhány gyártók, és így tovább. N. vezet, hogy módosítani kell az információ fogalmának biztonságot, de ez nem történhet meg.
Természetesen a biztonsági politika - nem statikus dokumentum, vagy inkább egy sor dokumentumot. Azt is meg kell vizsgálni. De nem annak az eredménye a változás a szoftver platform (jelszó kiválasztási szabályok és a Unix, mint a Windows, és a Cisco IOS azonos), vagy a nevét, a felelős a biztonságát egy adott szegmensben a vállalati információs rendszer, és hatása alatt tényezőkkel, mint az információs technológiát, az új az üzleti folyamatokat, és így tovább. n.
Ha igen, a magyar hagyomány, a legfontosabb dolog az, anélkül, hogy a dokumentum nem, akkor csak rövid időre, és egy bizonyos csúcsa, amelynek eredete meghatározó dokumentumokat különböző aspektusait adatok biztonságát. Még 30-40 oldalt (nevezetesen, hogy az összeg megtalálható a „fejlettebb” a magyar biztonsági szervek) - már túl sok; jobban korlátozni 12-15.
Ki kell írni egy biztonsági politika?
Emlékezzünk, hogy a javítás a lakásban. Tanulmányozása után a jelenlegi helyzet (amit adtak, és hogyan jutottunk ilyen életet) elkezdődik az alkotói folyamat kidolgozása tervezési projekt egy új képet a haza. Természetesen a „tervezési projekt” annyira tágas és sokoldalú, nem feltételezik, hogy a pontos értelmezését. Bizonyos, hogy elég vázlatok egy szalvétára egy kávézóban, és valaki Adj 50-70 oldalas füzetek, a részletek és a színek, közvetíteni a karakter egy új lakást. Biztonságos is. Valaki elég sajátosságait oldalak 10-12, és valaki, és 100 oldalt részletek hiányoznak.
Amit nem szabad elfelejteni, hogy tartalmazza a biztonsági politika?
Mi mást még soha nem láttam a hazai fogalmak az informatikai biztonság?
Kapcsolatos kérdések biztonság:
* Hordozható mobil eszközök - USB-meghajtó, „flash meghajtók», iPod # „s és MP3-lejátszók, digitális kamerák. Az első két fajta miniatűr eszközök, ami azt jelenti, zökkenőmentesen végezze be az irodába, és bizalmas adatokat. Mások ezeket az eszközöket az adathordozó nem érzékelhető, de ha szükséges, tökéletesen megbirkózni ezt a szerepet;
* A mobil felhasználók. Számuk folyamatosan nő. Miközben teljes hozzáférést a vállalati erőforrások bárhol a világon, ők kívül a vállalati biztonsági sávot biztonsági zóna és megtámadják őket sokkal könnyebb, mint a központi iroda a cég;
* Extranet felhasználók. A „extranet”, vagy a hálózat nyitott a partnerek, beszállítók, ügyfelek és más típusú külső felhasználók nem csak javítja az üzleti teljesítményt (csökkenti leltár, megkönnyíti és felgyorsítja a logisztika, csökkenti a termék árát és így tovább. D.), de Megnyílik egy potenciális biztonsági szabályok megsértése;
* A vezeték nélküli felhasználók számára. Wi-Fi technológia nem csak növeli az alkalmazottak termelékenységét, hanem a kockázat kontrollálatlan penetráció belül a védett hálózat. Szükséges, hogy a politika az a vezeték nélküli hozzáférési pontok a cég. Még ha nem szabad használni ezt az új és hatékony információs technológia, a felhasználók ragaszkodnak az ellenkező véleményt. A statisztikák szerint majdnem 99% -a az összes létesítmény engedélyezett vezeték nélküli hozzáférési pontok végre „türelmetlen” személyzet, alig várja, hogy a mobilitás és hatékonyságának növelése. Ezért érdemes rendszeresen figyelemmel kíséri az éterben keresve engedélyezett vezeték nélküli zárványok;
* Vendég hozzáférés. Annak érdekében, hogy növelje a hűség az ügyfelek, akkor nekik is szabad vendég hozzáférést az internethez az irodában? Gondolt már a biztonsági ilyen visszavonás? Szednek egyidejűleg Illetéktelenektől információt a számukra? függetlenül attól, hogy védve legyenek az internetet? Végül is, ha ők szenvednek a járvány idején, hogy az irodában, akkor csak hibáztatni. Jelenlétében a biztonsági politika a vendég bejáratánál ilyen problémák nem merülnek fel;
* Laboratories és a lelátókon. Én már többször szembesülnek a helyzet, amikor egy állványt, amelyre „járatni” új megoldások bevezetése előtt őket egy „katonai” művelet, már csatlakozik a termelési hálózat. Egy kis probléma a laborban, amely túlmutat az ő „kis világ”, lett egy nagy fejfájást minden IT szakemberek. Ennek megelőzése érdekében, akkor „elkerített” próbapadon minden más rendszerek és megtiltja szervezet a biztonsági politika.
Nagyon ritkán, a fejlesztők a koncepció „emlékszik” a jelenlét leptopov a cég, és hiába. Leptopy (különösen azok, amelyek a hatóságok) tartalmaznak hatalmas betétek a legfontosabb információk minden szempontból a cég képes élni - a know-how, a fejlett fejlődés, árpolitikákra bizalmas szerződéseket, és így tovább ..
A biztonsági politika is meg kell jelennie kérdéseket:
* Együttműködés a média esetében egy sikeres betörést vagy kiveszik a járvány;
* Vizsgálata események;
Tréning az összes foglalkoztatott (a felső vezetés, hogy az alacsonyabb szintek);
* Kölcsönhatás más területein biztonság (titkos iratkezelés, a fizikai biztonság, stb ...);
* Együttműködés a bűnüldöző hatóságok, illetve a szolgáltató, és így tovább. N.
Az egyik cikk nagyon nehéz beszélni a buktatókat az írás a biztonsági előírásokat. A legfontosabb dolog - ne feledjük, hogy e nélkül információhalmazt biztonsági okmányok minden olyan tevékenység, nem lenne hatékony, és hasonló a folt lyukak rukkolnak elő. A rendszerek megközelítés nem lesz fogoly körülmények között, hogy az egész helyzetet ellenőrzés alatt, ami viszont a legfontosabb, hogy sikeres védelme az információs források.