Десять речей, які повинні бути в кожній політиці мережевої безпеки.

Кожна мережа потребує політики безпеки, що позначає основні напрямки, яким слід приділяти особливу увагу. Які питання повинні бути включені в політику?

Кожна компанія унікальна і має різні мережеві інфраструктури і, відповідно, різні потреби в галузі безпеки. Є 10 ключових політик, які повинні бути включені в кожну політику мережевої безпеки, незалежно від розміру компанії та її сфери діяльності. Нижче наведено короткий виклад цих політик.

1. Коренева політика безпеки: Ця політика встановлює межі інших політик. Вона також служить в якості головної політики, керівництва для конкретних стратегій та програм. Вона описує загальну політику в області безпеки — основні правила, що охоплюють всі мережі і дані компанії.

2. Політики робочих станцій: Ці політики повинні описувати політику моніторингу компанії. Вони також повинні описувати службове і особисте використання програм, апаратних засобів і даних, види апаратного і програмного забезпечення, які можуть бути додані в систему, паролювання і процедури захисту даних, вимоги до шифруванню даних, резервне копіювання даних. Вони повинні дозволяти/забороняти завантаження і скачування програмного забезпечення, описувати типи даних, які можуть або не можуть мати доступ колеги і ділові партнери, а також визначати інсайдерську інформацію.

3. Серверні політики: З урахуванням тієї важливої ролі, яку відіграють сервери на більшості підприємств, то важливе значення має визначення конкретних стратегій для їх впровадження, налаштування, управління та захисту. Цей розділ повинен описувати всі сервери — в тому числі сервери електронної пошти, FTP і HTTP — і вказувати, хто відповідає за кожну систему, визначати коло завдань та обов’язків для відповідальних осіб.

4. Політики електронної пошти: Це політики, які описують дозволу для користувачів електронної пошти, які призначають процедури обробки можливого спаму та шкідливих програм, які накладають заборони на певні типи вкладень, що визначають процедури доступу, допустимий клієнтське програмне забезпечення, зміст (те, що користувачі можуть і не можуть включати в свої повідомлення), політику моніторингу електронної пошти компанії.

5. Політики web-доступу: Ці політики описують те, що співробітники можуть і не робити при доступі та використанні мережі Інтернет, у тому числі стверджують браузери і необхідні налаштування, правила для веб-серфінгу, обмеження і заборона сайтів, прийнятні і заборонені додаткові компоненти браузера, а також правила, що стосуються доступу та використання матеріалів, захищених авторськими правами.

6. Політики віддаленого доступу: Ці політики є обов’язковими для будь-яких компаній, що працюють в області телекомунікацій або мають віддалених співробітників, які підключаються до мережі компанії не з офісу. Ці політики повинні включати вимоги до віддаленого доступу, облік дозволів і обмежень. Вони повинні описувати дозволені і заборонені види діяльності, допустиме ЗА і апаратні засоби клієнта, політики бездротового доступу, політики паролирования доступу, а також умови надання доступу до мережі несотрудникам, наприклад діловим партнерам.

7. Мобільні політики: Ці політики присвячені питанням, пов’язаним з мобільними пристроями, такими як ноутбуки, КПК, медіа-плеєри та портативні пристрої зберігання даних. Мобільні пристрої будуть використовуватися? Для чого вони не можуть бути використані? Яка відповідальність співробітників, що забезпечують безпеку мобільних систем і їх даних? Які особисті пристрої можуть бути використані на підприємстві? Які особисті пристрої заборонені? Ці питання повинні знайти відповідь в мобільних політиків.

8. Політики бездротового доступу: Бездротові пристрої, з одного боку, дуже корисні, але, з іншого боку, вони являють собою серйозну загрозу безпеці. Ці політики, які базуються на мобільних політиків, повинні описати, яким бездротовим пристроям дозволено та заборонено доступ. Загальні процедури мережевого підключення і дозволу також повинні бути включені в ці політики.

9. Конфігурація інтернет-шлюзу: будь-який пристрій, яке взаємодіє з мережею Інтернет має бути налаштована так, щоб отримувати доступ до мережі без шкоди для корпоративної мережі, а також пристроїв і даних. У цих політиках необхідно описати всі відповідні пристрої, в тому числі світчі, брандмауерів і маршрутизаторів, а також їх параметри, необхідні протоколи взаємодії.

10. Стратегія реагування: пожежі, урагани, землетруси, хакерські атаки, системні збої і терористичні акти можуть вразити будь-який бізнес. Ці політики повинні містити опис процедур і дій, які вступлять в силу, коли настане стихійне лихо. Текст повинен описувати коло осіб, уповноважених оголошувати надзвичайний стан (у тому числі номери телефонів, адреси електронної пошти та фізичні адреси), а також кроки, які мають бути вжиті у випадку конкретних типів інцидентів, як, наприклад, звернення в державні установи безпеки, звернення до юристів, старшому керівному ланці, технічного персоналу і так далі.

При створенні політики безпеки необхідно виконати дуже багато роботи, цей документ повинен попередити багато критичні ситуації і забезпечити важливу інформацію надійним захистом, одночасно інформація повинна бути легко доступна легальним користувачам.

Джерело