Політика безпеки для Internet
Хоча підключення до Інтернету та надає величезні вигоди через доступ до колосального обсягу інформації, воно ж є небезпечним для сайтів з низьким рівнем безпеки. Інтернет страждає від серйозних проблем з безпекою, які, якщо їх ігнорувати, можуть призвести до катастрофи для непідготовлених сайтів. Помилки при проектуванні TCP / IP, складність адміністрування хостів, вразливі місця в програмах, і ряд інших чинників у сукупності роблять незахищені сайти вразливими до дій зловмисників.
Організації повинні відповісти на наступні питання, щоб правильно врахувати можливі наслідки підключення до Інтернету в області безпеки:
Чи можуть хакери зруйнувати внутрішні системи? Чи може бути скомпрометована (змінена або прочитана) важлива інформація організації при її передачі по Інтернету? Чи можна перешкодити роботі організації?
Все це - важливі питання. Існує багато технічних рішень для боротьби з основними проблемами безпеки Інтернету. Тим не менше, всі вони мають свою ціну. Багато рішень обмежують функціональність заради збільшення безпеки. Інші вимагають йти на значні компроміси щодо легкості використання Інтернету. Треті вимагають вкладення значних ресурсів - робочого часу для впровадження і підтримки безпеки і грошей для купівлі та супроводу обладнання та програм.
Мета політики безпеки для Інтернету - прийняти рішення про те, якорганізація збирається захищатися. Політика зазвичай складається з двох частин - загальних принципів і конкретних правил роботи (які еквівалентні специфічній політиці, описаної нижче). Загальні принципи визначають підхід до безпеки в Інтернеті. Правила ж визначають що дозволено, а що - заборонено. Правила можуть доповнюватися конкретними процедурами і різними посібниками.
Правда, існує і третій тип політики, який зустрічається в літературі з безпеки в Інтернеті. Це - технічний підхід.
Щоб політика для Інтернету була ефективною, розробники політики повинні розуміти сенс компромісів, на які їм треба буде піти. Ця політика також не повинна суперечити іншим керівним документам організації.
Термін Політика комп'ютерної безпеки має різний зміст для різних людей. Це може бути директива одного з керівників організації з організації програми комп'ютерної безпеки., Що встановлює її мету та призначає відповідальних за її виконання. Або це може бути рішення начальника відділу щодо безпеки електронної пошти або факсів. Або це можуть бути правила забезпечення безпеки для конкретної системи (це такі типи політик, про які експерти в комп'ютерній безпеці говорять, що вони реалізуються програмно-апаратними засобами та організаційними заходами).
Як описано в "NIST Computer Security Handbook", зазвичай політика повинна включати в себе наступні частини:.
Предмет політики. Для того щоб описати політику по даній області, адміністратори спочатку повинні визначити саму область за допомогою обмежень і умов у зрозумілих усім термінах (або ввести деякі з термінів). Часто також корисно явно вказати мету або причини розробки політики - це може допомогти домогтися дотримання політики. У відношенні політики безпеки в Інтернеті організації може знадобитися уточнення, чи охоплює ця політика всі з'єднання, через які ведеться робота з Інтернетом (прямо або опосередковано) чи власне з'єднання Інтернет. Ця політика також може визначати, чи враховуються інші аспекти роботи в Інтернеті, не мають відношення до безпеки, такі як персональне використання з'єднань з Інтернетом.
Опис позиції організації. Як тільки предмет політики описаний, дано визначення основних понять і розглянуті умови застосування політики, треба в явній формі описати позицію організації (тобто рішення її керівництва) з даного питання. Це може бути твердження про дозвіл або заборону користуватися Інтернетом і за яких умов.
Застосовність. Проблемні політики вимагають включення до них опису застосовності. Це означає, що треба уточнити де, як, коли, ким і до чого застосовується дана політика.
Ролі та обов'язки. Потрібно описати відповідальних посадових осіб та їх обов'язки щодо розробки та впровадження різних аспектів політики. Для такого складного питання, як безпека в Інтернеті, організації може знадобитися ввести відповідальних за аналіз безпеки різних архітектурах або за утвердження використання тієї чи іншої архітектури.
Дотримання політики. Для деяких видів політик Інтернету може виявитися доречним опис, з деякою мірою детальності, порушень, які неприйнятні, і наслідків такої поведінки. Можуть бути явно описані покарання і це повинно бути пов'язане з загальними обов'язками співробітників в організації. Якщо до співробітників застосовуються покарання, вони повинні координуватися звідповідними посадовими особами і відділами. Також може виявитися корисним поставити завдання конкретного відділу в організації стежити за дотриманням політики.
Консультанти з питань безпеки та довідкова інформація. Для будь-якої проблемної політики потрібні відповідальні консультанти, з ким можна зв'язатися і отримати більш детальну інформацію. Так як посади мають тенденцію змінюватися рідше, ніж люди, їх займають, розумно призначити особу, яка обіймає конкретну посаду як консультанта. Наприклад, по деяких питаннях консультантом може бути один з менеджерів, за іншими - начальник відділу, співробітник технічного відділу, системний адміністратор або співробітник служби безпеки. Вони повинні вміти роз'яснювати правила роботи в Інтернеті або правила роботи на конкретній системі.
Для ефективності політика повинна бути наочною. Наочність допомагає реалізувати політику, допомагаючи гарантувати її знання і розуміння всіма співробітниками організації. Презентації, відеофільми, семінари, вечори питань та відповідей та статті у внутрішніх виданнях організації збільшують її наочність. Програма навчання в області комп'ютерної безпеки і контрольніперевірки дій у тих чи інших ситуаціях можуть досить ефективно повідомити всіх користувачів про нову політику. З нею також потрібно знайомити всіх нових співробітників організації.
Політики комп'ютерної безпеки повинні доводитися таким чином, щоб гарантувалася підтримка з боку керівників відділів, особливо, якщо на співробітників постійно сиплеться маса політик, директив, рекомендацій і наказів. Політика організації - це засіб довести позицію керівництва по відношенню до комп'ютерної безпеки і явно вказати, що воно очікує від співробітників щодо продуктивності їх роботи, дій у тих чи інших ситуаціях і реєстрації своїх дій.
Для того щоб бути ефективною, політика повинна бути узгоджена з іншими існуючими директивами, законами, наказами і загальними завданнями організації. Вона також повинна бути інтегрована в і узгоджена з іншими політиками (наприклад, політикою по прийому на роботу). Одним із способів координації політик є узгодження їх з іншими відділами в ході розробки.