укр  |  рус 
Додати статтю | Реєстрація
Безпека бізнесу
Бізнес-розвідка
Безпека в торгівлі
Захист комерційної таємниці
Контролюючі органи
Небезпеки й погрози підприємницької діяльності
Шахрайство та крадіжки
Безпека банків
Безпека особистості
Безпека помешкання
Безпека та персонал
Безпека туризму та відпочинку
Документи для роботи
Захист інформації
Захист автомобіля
Зброя та спецзасоби
Пожежна безпека
Системи безпеки
Основні заходи безпеки при керуванні автомобілем 
Шахрайство в бізнесі, частина 2 
Реферат по дисциплине: Информационная безопасность и защита информации на тему: «Способы несанкционированного доступа к конфиденциальной информации» 
Кілька порад по забезпеченню безпеки в Інтернеті 
Особиста стратегія безпеки 
Фактори, які потрібно враховувати при покупці сейфа. 
ПРАВИЛА безопасной эксплуатации тепломеханического оборудования электростанций и тепловых сетей  
Типи крадіжок на підриємстві та їх причини 
Охоронне відеоспостереження. Скільки коштує й види охоронного відеоспостереження. 
Сучасні сейфи 
Як вибрати пожежний датчик 
Захист автомобіля: Імобілайзер. Питання й відповіді. 
Безпека на лижних маршрутах 
Захист й комбінована техніка з використанням гумового ціпка 
Переваги систем захисту від крадіжок різних технологій 
Каталог
Цифровые системы
Видеокамеры
Объективы
Устройства обработки
Оповещатели и указатели
Домофоны
Контроль доступа, замки, защелки
Корпуса, кожухи, аксессуары
Мониторы
ОБОРУДОВАНИЯ   организации   Какое   труда   ПРАВИЛА   Промислове   Психофизиологические   потерпевшего   сховані   автомоб¦?   Імобілайзе   семьям   оборудования,   факторы   менеджер  
Зберегти сторінку Зробити стартовою Відправити другу
 укр
 рус
Захист комерційної таємниці
Политика безопасности на предприятии.
Целью разработки официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.


6. ВЫРАБОТКА ОФИЦИАЛЬНОЙ ПОЛИТИКИ ПРЕДПРИЯТИЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
    6.1. ОРГАНИЗАЦИОННЫЕ ВОПРОСЫ.
   Целью разработки официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.
   Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, на военной базе и в университете существенно отличающиеся требования к конфиденциальности.
   Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.
   В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.
   КТО ДЕЛАЕТ ПОЛИТИКУ?
   Политика безопасности должна стать результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, а также руководителей, способных влиять на проведение политики в жизнь. Нереализуемая или неподдерживаемая политика бесполезна.
   Поскольку политика безопасности, так или иначе, затрагивает всех сотрудников организации, следует позаботиться о том, чтобы у Вас было достаточно полномочий для принятия политических решений. Хотя некоторой группе (например, группе технического обслуживания) может быть поручено проведение политики в жизнь, возможно, нужна группа более высокого ранга для поддержки и одобрения политики.
   КОГО ЗАТРАГИВАЕТ ПОЛИТИКА?
   Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы обязаны ликвидировать слабые места в защите и надзирать за работой всех систем.
   Важно с самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков. Возможно, на предприятии уже есть группа информационной безопасности; естественно, люди из этой группы считают безопасность своей вотчиной. Следует привлечь также специалистов по аудиту и управлению, по физической безопасности, по информационным системам и т. п. Тем самым будет подготовлена почва для одобрения политики.
   РАСПРЕДЕЛЕНИЕ ОТВЕТСТВЕННОСТИ.
   Ключевым элементом политики является доведение до каждого его обязанностей по поддержанию режима безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для каждого вида проблем существует ответственное лицо.
   В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего счета.
   Пользователь, допустивший компрометацию своего счета, увеличивает вероятность компрометации других счетов и ресурсов.
   Системные администраторы образуют другой уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню.
   
    6.2. ОЦЕНКА РИСКОВ ОБЩИЕ ПОЛОЖЕНИЯ.
   Один из главных побудительных мотивов выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом. Данное положение кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации ущерб от внутренних, "штатных" злоумышленников значительно больше.
   Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.
   В следующих пунктах будут затронуты два этапа процесса анализа рисков:
   • идентификация активов;
   • идентификация угроз.
   Главной целью деятельности в области информационной безопасности является обеспечение доступности, конфиденциальности и целостности каждого актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям.
   ИДЕНТИФИКАЦИЯ АКТИВОВ.
   Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.
   Предлагается следующая классификация активов:
   • Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, маршрутизаторы.
   • Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы.
   • Данные: обрабатываемые, непосредственно доступные, архивированные, cохраненные в виде резервной копии, регистрационные журналы, базы данных, передаваемые по коммуникационным линиям.
   • Люди: пользователи, обслуживающий персонал.
   • Документация: по программам, по аппаратуре, системная, по административным процедурам.
   • Расходные материалы: бумага, формы, красящая лента, магнитные носители.
   ИДЕНТИФИКАЦИЯ УГРОЗ.
   После того, как выявлены активы, нуждающиеся в защите, необходимо идентифицировать угрозы этим активам и размеры возможного ущерба. Это поможет понять, каких угроз следует опасаться больше всего.
   В следующих пунктах перечисляются некоторые из возможных угроз.
   НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП.
   Несанкционированный доступ к компьютерным ресурсам — угроза, типичная для большинства организаций. Несанкционированный доступ может принимать различные формы. Иногда это нелегальное использование счета другого пользователя для получения доступа к системе. В других случаях ресурсами пользуются без предварительно полученного разрешения.
   Степень важности проблемы несанкционированного доступа для разных организаций разная. Порой передача прав доступа неавторизованному пользователю может привести к разрушению магнитных носителей. Чаще несанкционированный доступ облегчает исполнение других угроз. Разнится и вероятность нападения: некоторые организации (известные университеты, правительственные и военные учреждения) как бы притягивают к себе злоумышленников. Следовательно, риск несанкционированного доступа меняется от предприятия к предприятию.
   НЕЛЕГАЛЬНОЕ ОЗНАКОМЛЕНИЕ С ИНФОРМАЦИЕЙ.
   Нелегальное ознакомление с информацией — другая распространенная угроза. Определите степень конфиденциальности информации, хранящейся в Ваших компьютерах. Расшифровка файла паролей откроет дорогу несанкционированному доступу. Мимолетный взгляд на Ваше коммерческое предложение может дать конкуренту решающее преимущество. Техническая статья способна вместить в себя годы напряженных исследований.
   ОТКАЗ В ОБСЛУЖИВАНИИ.
   Компьютеры и сети предоставляют своим пользователям множество ценных услуг, от которых зависит эффективная работа многих людей. Когда услуги вдруг становятся недоступными, страдает производительность труда.
   Отказ в обслуживании возникает по разным причинам и проявляется по-разному. Сеть может прийти в неработоспособное состояние от поддельного пакета, от перегрузки или по причине отказа компонента. Вирус способен замедлить или парализовать работу компьютерной системы. Каждая организация должна определить для себя набор необходимых сервисов и для каждого из них проанализировать последствия его недоступности.
   
    6.3. ПОЛИТИЧЕСКИЕ ВОПРОСЫ.
   При разработке политики безопасности необходимо дать ответы на ряд вопросов, а именно:
   • Кто имеет право использовать ресурсы?
   • Как правильно использовать ресурсы?
   • Кто наделен правом давать привилегии и разрешать использование?
   • Кто может иметь административные привилегии?
   • Каковы права и обязанности пользователей?
   • Каковы права и обязанности системных администраторов по отношению к обычным пользователям?
   • Как работать с конфиденциальной информацией?
   Ниже мы обсудим эти вопросы.
   КТО ИМЕЕТ ПРАВО ИСПОЛЬЗОВАТЬ РЕСУРСЫ?
   Одним из шагов в разработке политики безопасности является определение того, кто может использовать Ваши системы и сервисы. Должно быть явно сказано, кому дается право использовать те или иные ресурсы.
   КАК ПРАВИЛЬНО ИСПОЛЬЗОВАТЬ РЕСУРСЫ?
   После определения круга лиц, имеющих доступ к системным ресурсам, необходимо описать правильные и неправильные способы использования ресурсов. Для разных категорий пользователей (студентов, внешних пользователей, штатных сотрудников и т. д.) эти способы могут различаться, Должно быть явно сказано, что допустимо, а что — нет. Могут быть описаны также ограничения на использование определенных ресурсов. При этом Вам придется специфицировать уровни доступа разных групп пользователей.
   Пользователи должны знать, что они несут ответственность за свои действия независимо от применяемых защитных средств и что использовать чужие счета и обходить механизмы безопасности запрещено.
   Для регламентации доступа к ресурсам нужно дать ответы на следующие вопросы:
   • Разрешается ли использование чужих счетов?
   • Разрешается ли отгадывать чужие пароли?
   • Разрешается ли разрушать сервисы?
   • Должны ли пользователи предполагать, что если файл доступен всем на чтение, то они имеют право его читать?
   • Имеют ли право пользователи модифицировать чужие файлы, если по каким-либо причинам у них есть доступ на запись?
   • Должны ли пользователи разделять счета?
   В большинстве случаев ответы на подобные вопросы будут отрицательными.
   В политике могут найти отражение авторские и лицензионные права на программное обеспечение. Лицензионное соглашение с поставщиком налагает на организацию определенные обязательства; чтобы не нарушить их, необходимо приложить некоторые усилия. Кроме того, Вы, возможно, захотите проинформировать пользователей, что присваивать защищенное авторскими правами программное обеспечение запрещено законом.
   Более точно, Вы должны довести до сведения пользователей, что:
   • Копировать авторское и лицензионное программное обеспечение запрещено, за исключением явно оговоренных случаев.
   • Они всегда могут узнать авторский/лицензионный статус программного обеспечения.
   • В случае сомнений копировать не следует.
   Политика в области правильного использования ресурсов очень важна. Если явно не сказано, что запрещено, Вы не сможете доказать, что пользователь нарушил политику безопасности.
   Бывают исключительные случаи, когда в исследовательских целях пользователи или администраторы пытаются "расколоть" защиту сервиса или лицензионной программы. Политика должна давать ответ на вопрос, разрешены ли подобные исследования в Вашей организации, и каковы могут быть их рамки.
   Применительно к исключительным случаям следует дать ответы на такие вопросы:
   • Разрешены ли вообще подобные исследования?
   • Что именно разрешено: попытки проникновения, выращивание червей и вирусов и т. п.?
   • Какие регуляторы должны использоваться для контроля за подобными исследованиями (например, их изоляция в рамках отдельного сегмента сети)?
   • Как защищены пользователи (в том числе внешние) от подобных исследований?
   • Как получать разрешение на проведение исследований?
   В случае, когда получено разрешение на исследование, следует изолировать тестируемые сегменты от основной сети предприятия. Черви и вирусы не должны выпускаться в "живую" сеть.
   КТО НАДЕЛЕН ПРАВОМ ДАВАТЬ ПРИВИЛЕГИИ И РАЗРЕШАТЬ ИСПОЛЬЗОВАНИЕ?
   Политика безопасности должна давать ответ на вопрос, кто распоряжается правами доступа к сервисам. Кроме того, необходимо точно знать, какие именно права им позволено распределять. Если Вы не управляете процессом наделения правами доступа к Вашей системе, Вы не контролируете и круг пользователей. Если Вы знаете, кто отвечает за распределение прав, Вы всегда сможете узнать, давались ли определенные права конкретному пользователю, или он получил их нелегально.
   Существует много возможных схем управления распределением прав доступа к сервисам.
   При выборе подходящей целесообразно принять во внимание следующие моменты:
   • Будут ли права доступа распределяться централизованно или из нескольких мест?
   Можно установить единый распределительный пункт или передать соответствующие права подразделениям и отделам. Все зависит от того, какое соотношение между безопасностью и удобством Вы считаете допустимым. Чем сильнее централизация, тем проще поддерживать режим безопасности.
   • Какие методы предполагается использовать для заведения счетов и запрещения доступа?
   Вы должны проверить механизм заведения счетов с точки зрения безопасности. В наименее ограничительном режиме уполномоченные лица непосредственно входят в систему и заводят счета вручную или с помощью утилит. Обычно подобные утилиты предполагают высокую степень доверия к использующим их лицам, которые получают значительные полномочия. Если Вы останавливаете свой выбор на таком режиме, Вам необходимо найти достаточно надежного человека. Другой крайностью является применение интегрированной системы, которую запускают уполномоченные лица или даже сами пользователи. В любом случае, однако, остается возможность злоупотреблений.
   Следует разработать и тщательно документировать специальные процедуры заведения новых счетов, чтобы избежать недоразумений и уменьшить число ошибок. Нарушение безопасности при заведении счетов возможно не только по злому умыслу, но и в результате ошибок. Наличие ясных и хорошо документированных процедур внушает уверенность, что подобные ошибки не случатся. Кроме того, необходимо удостовериться, что люди, исполняющие процедуры, понимают их.
   Наделение пользователей правами доступа — одна из самых уязвимых процедур. Прежде всего, следует позаботиться, чтобы начальный пароль не был легко угадываемым. Целесообразно избегать использования начальных паролей, являющихся функцией от имени пользователя или его полного имени. Не стоит автоматически генерировать начальные пароли, если результат генерации легко предсказуем. Далее, нельзя разрешать пользователям до бесконечности полагаться на начальный пароль. По возможности следует принуждать пользователей менять начальный пароль при первом входе в систему. Правда, даже такая мера бессильна против людей, которые вообще не пользуются своим счетом, сохраняя до бесконечности уязвимый начальный пароль. В некоторых организациях неиспользуемые счета уничтожают, заставляя их владельцев повторно проходить процедуру регистрации.
   КТО МОЖЕТ ИМЕТЬ АДМИНИСТРАТИВНЫЕ ПРИВИЛЕГИИ?
   Одно из решений, которое должно быть тщательно взвешено, относится к выбору лиц, имеющих доступ к административным привилегиям и паролям для Ваших сервисов. Очевидно, подобный доступ должны иметь системные администраторы, но неизбежны ситуации, когда за привилегиями будут обращаться другие пользователи, что следует с самого начала предусмотреть в политике безопасности. Ограничение прав — один из способов защититься от угроз со стороны своих пользователей. Необходим, однако, сбалансированный подход, когда ограничение прав не мешает людям делать свое дело. Разумнее всего давать пользователям ровно те права, которые нужны им для выполнения своих обязанностей.
   Далее, сотрудники, имеющие специальные привилегии, должны быть подотчетны некоторому должностному лицу, и это также необходимо отразить в политике безопасности предприятия. Если "привилегированные" люди перестают быть подотчетными, Вы рискуете потерять контроль над своей системой и лишиться возможности расследовать случаи нарушения режима безопасности.
   КАКОВЫ ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ?
   Политика безопасности должна содержать положения о правах и обязанностях пользователей применительно к использованию компьютерных систем и сервисов предприятия. Должно быть явно оговорено, что пользователи обязаны понимать и выполнять правила безопасной эксплуатации систем.
   Ниже приведен перечень тем, которые целесообразно осветить в данном разделе политики безопасности:
   • Каковы общие рамки использования ресурсов? Существуют ли ограничения на ресурсы, и каковы они?
   • Что является злоупотреблением с точки зрения производительности системы?
   • Разрешается ли пользователям совместное использование счетов?
   • Как "секретные" пользователи должны охранять свои пароли?
   • Как часто пользователи должны менять пароли? Каковы другие аналогичные ограничения и требования?
   • Как обеспечивается резервное копирование — централизованно или индивидуально?
   • Как реагировать на случаи просмотра конфиденциальной информации?
   • Как соблюдается конфиденциальность почты?
   • Какова политика в отношении неправильно адресованной почты или отправлений по спискам рассылки или в адрес дискуссионных групп (непристойности, приставания и т. п.)?
   • Какова политика по вопросам электронных коммуникаций (подделка почты и т. п.)?
   Ассоциация электронной почты (The Electronic Mail Association, EMA) подготовила статью о конфиденциальности электронной почты в организациях.
   Основное положение статьи состоит в том, что каждая организация должна разработать политику защиты права сотрудников на тайну, Рекомендуется, чтобы эта политика охватывала все возможные среды, а не только электронную почту.
   Предлагается пять критериев оценки подобной политики:
   • Согласуется ли политика с существующим законодательством и с обязанностями по отношению к третьим сторонам?
   • Не ущемляются ли без нужды интересы работников, работодателей или третьих сторон?
   • Реалистична ли политика и вероятно ли ее проведение в жизнь?
   • Затрагивает ли политика все виды передачи и хранения информации, используемые в организации?
   • Объявлена ли политика заранее и получила ли она одобрение всех заинтересованных сторон?
   КАКОВЫ ПРАВА И ОБЯЗАННОСТИ СИСТЕМНЫХ АДМИНИСТРАТОРОВ ПО ОТНОШЕНИЮ К ОБЫЧНЫМ ПОЛЬЗОВАТЕЛЯМ?
   Должен соблюдаться баланс между правом пользователей на тайну и обязанностью системного администратора собирать достаточно информации для разрешения проблем и расследования случаев нарушения режима безопасности. Политика должна определять границы, в пределах которых системный администратор вправе исследовать пользовательские файлы с целью разрешения проблем и для иных нужд, и каковы права пользователей. Можно также сформулировать положение относительно обязанности администраторов соблюдать конфиденциальность информации, полученной при оговоренных выше обстоятельствах. Политика должна содержать ответы на несколько вопросов:
   • Может ли администратор отслеживать или читать пользовательские файлы при каких-либо обстоятельствах?
   • Какие обязательства администратор при этом берет на себя?
   • Имеют ли право сетевые администраторы исследовать сетевой трафик?
   КАК РАБОТАТЬ С КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ?
   Прежде чем предоставлять пользователям доступ к Вашим сервисам, следует определить, каков уровень защиты данных на Вашей системе. Тем самым Вы сможете определить уровень конфиденциальности информации, которую пользователи могут у Вас размещать. Наверное, Вы не хотите, чтобы пользователи хранили секретные сведения на компьютерах, которые Вы не собираетесь как следует защищать. Следует сообщить пользователям, какие сервисы (при наличии таковых) пригодны для хранения конфиденциальной информации. Должны рассматриваться различные способы хранения данных (на диске, ленте, файловом сервере и т. д.). Этот аспект политики должен быть согласован с правами системных администраторов по отношению к обычным пользователям (см. Разд. Каковы права и обязанности системных администраторов по отношению к обычным пользователям?).
   
    6.4. ЧТО ДЕЛАТЬ, КОГДА ПОЛИТИКУ БЕЗОПАСНОСТИ НАРУШАЮТ.
   Очевидно, что любая официальная политика, вне зависимости от ее отношения к информационной безопасности, время от времени нарушается. Нарушение может явиться следствием пользовательской небрежности, случайной ошибки, отсутствия должной информации о текущей политике или ее непонимания. Возможно также, что некое лицо или группа лиц сознательно совершают действия, прямо противоречащие утвержденной политике безопасности.
   Необходимо заранее определить характер действий, предпринимаемых в случае обнаружения нарушений политики, чтобы эти действия были быстрыми и правильными. Следует организовать расследование, чтобы понять, как и почему нарушение стало возможным. После этого нужно внести коррективы в систему защиты. Тип и серьезность корректив зависят от типа случившегося нарушения.
   ВЫРАБОТКА ОТВЕТА НА НАРУШЕНИЕ ПОЛИТИКИ.
   Политику безопасности могут нарушать самые разные лица. Некоторые из них являются своими, местными пользователями, другие нападают извне. Полезно определить сами понятия "свои" и "чужие", исходя из административных, правовых или политических положений. Эти положения очерчивают характер санкций, которые можно применить к нарушителю — от письменного выговора до привлечения к суду. Таким образом, последовательность ответных действий зависит не только от типа нарушения, но и от вида нарушителя; она должна быть продумана задолго до первого инцидента, хотя это и непросто.
   Следует помнить, что правильно организованное обучение — лучшая защита. Вы обязаны поставить дело так, чтобы не только внутренние, но и внешние легальные пользователи знали положения Вашей политики безопасности. Если Вы будете располагать свидетельством подобного знания, это поможет Вам в будущих правовых акциях, когда таковые понадобятся.
   Проблемы с нелегальными пользователями, в общем, те же. Нужно получить ответы на вопросы о том, какие типы пользователей нарушают политику, как и зачем они это делают. В зависимости от результатов расследования Вы можете просто заткнуть дыру в защите и удовлетвориться полученным уроком или предпочтете более крутые меры.
   ЧТО ДЕЛАТЬ, КОГДА МЕСТНЫЕ ПОЛЬЗОВАТЕЛИ НАРУШАЮТ ПОЛИТИКУ БЕЗОПАСНОСТИ СТОРОННЕЙ ОРГАНИЗАЦИИ. Каждое предприятие должно заранее определить набор административных санкций, применяемых к местным пользователям, нарушающим политику безопасности сторонней организации. Кроме того, необходимо позаботиться о защите от ответных действий сторонней организации. При выработке политики безопасности следует учесть все юридические положения, применимые к подобным ситуациям.
   
    6.5. СПЕЦИФИКАЦИЯ КОНТАКТОВ С ВНЕШНИМИ ОРГАНИЗАЦИЯМИ И ОПРЕДЕЛЕНИЕ ОТВЕТСТВЕННЫХ.
   Политика безопасности предприятия должна содержать процедуры для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие организации, команды "быстрого реагирования", средства массовой информации. В процедурах должно быть определено, кто имеет право на такие контакты, и как именно они совершаются. Среди прочих, нужно дать ответы на следующие вопросы:
   • Кто может разговаривать с прессой?
   • Когда следует обращаться в правоохранительные органы?
   • Если соединение выполняется из сторонней организации, имеет ли право системный администратор обратиться в эту организацию?
   • Какого рода сведения об инцидентах могут выходить за пределы организации?
   Детальная информация по контактам должна быть постоянно доступна вместе с ясно определенными процедурами отработки этих контактов.
   КАКОВЫ ОБЯЗАННОСТИ ПО ОТНОШЕНИЮ К СОСЕДЯМ И ДРУГИМ ПОЛЬЗОВАТЕЛЯМ ИНТЕРНЕТ?
   Рабочая группа по политике безопасности (Security Policy Working Group, SPWG) сообщества Интернет опубликовала документ под названием "Основы политики для безопасной работы в Интернет". В нем Интернет трактуется как совместное предприятие, в котором пользователи должны помогать друг другу в поддержании режима безопасности. Это положение следует учитывать при разработке политики предприятия. Главный вопрос состоит в том, какой информацией можно делиться с соседями. Ответ зависит как от типа организации (военная, учебная, коммерческая и т. д.), так и от характера случившегося нарушения.
   
    6.6. ПРОЦЕДУРНЫЕ ВОПРОСЫ РЕАГИРОВАНИЯ НА НАРУШЕНИЯ.
   Помимо политических положений, необходимо продумать и написать процедуры, исполняемые в случае обнаружения нарушений режима безопасности. Данный вопрос подробно рассматривается в следующей главе. Для всех видов нарушений должны быть заготовлены соответствующие процедуры.
   ПРЕСЕКАТЬ ИЛИ СЛЕДИТЬ?
   Когда на организацию совершается нападение, грозящее нарушением информационной безопасности, стратегия ответных действий может строиться под влиянием двух противоположных подходов.
   Если руководство опасается уязвимости предприятия, оно может предпочесть стратегию "защититься и продолжить". Главной целью подобного подхода является защита информационных ресурсов и максимально быстрое восстановление нормальной работы пользователей. Действиям нарушителя оказывается максимальное противодействие, дальнейший доступ предотвращается, после чего немедленно начинается процесс оценки нанесенных повреждений и восстановления данных. Возможно, при этом придется выключить компьютерную систему, закрыть доступ в сеть или предпринять иные жесткие меры. Оборотная сторона данной медали состоит в том, что пока злоумышленник не выявлен, он может вновь напасть на эту же или другую организацию прежним или новым способом.
   Другой подход, "выследить и осудить", опирается на иные философию и систему целей. Основная цель состоит в том, чтобы позволить злоумышленнику продолжать свои действия, пока организация не сможет установить его личность. Такой подход нравится правоохранительным органам. К сожалению, эти органы не смогут освободить организацию от ответственности, если пользователи обратятся в суд с иском по поводу ущерба, нанесенного их программам и данным.
   Судебное преследование — не единственный возможный исход установления личности нарушителя. Если виновным оказался штатный сотрудник или студент, организация может предпочесть дисциплинарные меры. В политике безопасности должны быть перечислены допустимые варианты наказания и критерии выбора одного или нескольких из них в зависимости от личности виновного.
   Руководство организации должно заранее тщательно взвесить различные возможности при выборе стратегии ответных действий. В принципе стратегия может зависеть от конкретных обстоятельств нападения. Возможен и выбор единой стратегии на все случаи жизни. Нужно принять во внимание все за и против и проинформировать пользователей о принятом решении, чтобы они в любом случае осознавали степень своей уязвимости.
   Следующий контрольный перечень помогает сделать выбор между стратегиями "защититься и продолжить" и "выследить и осудить".
   При каких обстоятельствах предпочесть стратегию "защититься и продолжить":
   • Активы организации недостаточно защищены.
   • Продолжающееся вторжение сопряжено с большим финансовым риском.
   • Нет возможности или намерения осудить злоумышленника.
   • Неизвестен круг пользователей.
   • Пользователи неопытны, а их работа уязвима.
   • Пользователи могут привлечь организацию к суду за нанесенный ущерб.
   При каких обстоятельствах предпочесть стратегию "выследить и осудить":
   • Активы и системы хорошо защищены.
   • Имеются хорошие резервные копии.
   • Угроза активам организации меньше потенциального ущерба от будущих повторных вторжений.
   • Имеет место согласованная атака, повторяющаяся с большой частотой и настойчивостью.
   • Организация притягивает злоумышленников и, следовательно, подвергается частым атакам.
   • Организация готова идти на риск, позволяя продолжить вторжение.
   • Действия злоумышленника можно контролировать.
   • Доступны развитые средства отслеживания, так что преследование нарушителя имеет шансы на успех.
   • Обслуживающий персонал обладает достаточной квалификацией для успешного выслеживания.
   • Руководство организации желает осудить злоумышленника.
   • Системный администратор знает, какого рода информация обеспечит успешное преследование.
   • Имеется тесный контакт с правоохранительными органами.
   • В организации есть человек, хорошо знающий соответствующие законы.
   • Организация готова к искам собственных пользователей по поводу программ и данных, скомпрометированных во время выслеживания злоумышленника.
   
    6.7. ТОЛКОВАНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ.
   Важно определить, кто будет интерпретировать политику безопасности. Это может быть отдельное лицо или отдел. Вне зависимости от того, насколько хорошо она написана, политика безопасности время от времени нуждается в разъяснении, а заодно и в пересмотре.
   
    6.8. ГЛАСНОСТЬ ПОЛИТИКИ БЕЗОПАСНОСТИ.
   После того, как положения политики безопасности записаны и одобрены, необходимо начать активный процесс, гарантирующий, что политика воспринята и обсуждена. Почтовую рассылку нельзя признать достаточно мерой. Прежде чем политика вступит в силу, следует отвести время для дискуссий, чтобы все заинтересованные пользователи могли высказать свое мнение и указать на недостатки политики. В идеале политика должна соблюдать баланс между безопасностью и производительностью труда.
   Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном понимании ими предложенной политики. (Творцы политики порой бывают несколько косноязычны.) В собраниях должны участвовать все: от высшего руководства до младших специалистов. Безопасность — забота общая.
   Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем допускать сотрудника к работе, разумно получить его подпись под свидетельством о том, что он прочитал и понял политику безопасности. В ситуациях, чреватых судебным разбирательством после нарушения политики, бумага с подписью может оказаться весьма кстати.
   
   


Автор: donlegion.com | Відгуки: 0 | Перегляди: 4385 | 11/02/2012 Безпека бізнесу - Захист комерційної таємниці

Ссылка на статью:


Оставить комментарий
Ваше имя:
Комментарий:
Введите текст, изображенный на картинке:
 
Інші статті цього автора
Промислове шпигунство. Кадри вирішують усе!
Розглянемо, які методи використовуються для одержання інформації, і звідки зазвичай йде витік інформації. І першою темою для розгляду ми виберемо людей. Люди один із самих надійних джерел інформації. У часи зародження промислового шпигунства, коли технічних засобів ще не було, люди були єдиним джерелом.

Автор: donlegion.com |Відгуки:1 | Перегляди:3972 | 07/06/2011 Безпека бізнесу - Захист комерційної таємниці
Промислове шпигунство. Білі комірці.
Вихід країни на світовий ринок і активний розвиток науки й технологій привели й до революцій у злочинному світі. Тепер уже було недостатньо грубої сили, потрібні були мізки, інтелектуальна перевага над супротивниками. Але ж, як відомо, попит народжує пропозицію.

Автор: donlegion.com |Відгуки:0 | Перегляди:4563 | 07/06/2011 Безпека бізнесу - Захист комерційної таємниці
Характеристика каналів витоку інформації про підприємство
Основний обсяг інформації комерційної організації циркулює в її організаційних, юридичних і фізичних кордонах. Однак економічна діяльність завжди пов'язана з виходом інформації в зовнішнє середовище. Тому добування інформації про організацію може здійснювати через об'єкти цього середовища з наступних каналів.

Автор: donlegion.com |Відгуки:0 | Перегляди:6639 | 01/09/2011 Безпека бізнесу - Захист комерційної таємниці
Промислове шпигунство. Джерела конфіденційної інформації.
Отже, припустимо, що Ви з'ясували, що на Вашому підприємстві утримується інформація, яка складає комерційну таємницю, і твердо вирішили, що Вам необхідна система заходів щодо захисту цієї інформації. Ви навіть знайшли людей, які безпосередньо будуть займатися створенням цієї системи на Вашому підприємстві ( звичайно, хоча б для початку бажане, щоб це були фахівці в цій області).

Автор: donlegion.com |Відгуки:1 | Перегляди:5442 | 07/06/2011 Безпека бізнесу - Захист комерційної таємниці
Захист комерційної таємниці. Теорія й практика
Тепер зупинимося більш докладно на заходах щодо забезпечення конфіденційності. Їх можна умовно класифікувати на внутрішні й зовнішні, які у свою чергу діляться на правові, організаційні, технічні й психологічні. Деякі джерела виділяють ще одну -- страхову, тобто страхування комерційної таємниці від її розголошення. Однак у наших умовах такий метод захисту представляється нам мало реальним. Крім того, дуже важко визначити реальну вартість приналежної підприємству комерційної таємниці.

Автор: donlegion.com |Відгуки:0 | Перегляди:5369 | 07/06/2011 Безпека бізнесу - Захист комерційної таємниці
пуль? CCM-054 NVC-HB200D LCD магнитные CNB-G1310PF DPV аудиопанель ВИП-2 видеовво? черепаха Купол датчики дыма монтаж Квадратор аудиопанел домофо? Тирас режим аудиопанел? NVC-HC520ZL -2 sts sdvr-1601-100 ccm «Кристалл-3» HDD башня Каталог замк? Орион 4ТИ.1
Copyright © «donlegion.com», 2004-2011