kiev-security.org.ua-Безопасность компьютерных систем.Руководство по анализу безопасности ЛВС.Пример Политики Безопасности ЛВС

Цель

Информация, используемая в ЛВС Агентства XYZ, является критической для выполнения организацией своих задач. Размер и сложность ЛВС в пределах XYZ увеличилась и теперь она обрабатывает критическую информацию. Из-за этого должны быть реализованы определенные меры и процедуры безопасности для защиты информации, обрабатываемой в ЛВС XYZ. ЛВС XYZ обеспечивает разделение информации и программ между большим числом пользователей. Эта среда увеличивает риск безопасности и требует более сильных механизмов защиты, чем те, что были бы необходимы при работе на отдельно стоящих ПК. Эти усиленные требования к защите в вычислительной среде XYZ послужили причиной появления этой политики, которая касается использования ЛВС в XYZ.
Эта политика имеет две цели. Первая - подчеркнуть для всех служащих XYZ важность безопасности в среде ЛВС XYZ и явно указать их роли при поддержании этой безопасности. Вторая - установить определенные обязанности по обеспечению безопасности данных и информации, и самой ЛВС XYZ.

Степень детализации

Все автоматизированные информационные ценности и службы, которые используются локальной вычислительной сетью (ЛВС) XYZ, охватываются этой политикой. Она одинаково применима к серверам ЛВС, периферийному оборудованию, автоматизированным рабочим местам и персональным компьютерам (ПК) в пределах среды ЛВС XYZ. Ресурсы ЛВС XYZ включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к XYZ ЛВС, включая всех служащих XYZ, поставщиков и работающих по контракту, которые используют XYZ ЛВС.

Цели

Цели программы защиты информации XYZ состоят в том, чтобы гарантировать целостность, доступность и конфиденциальность данных, которые должны быть достаточно полными, точными, и своевременными, чтобы удовлетворять потребности XYZ, не жертвуя при этом основными принципами, описанными в этой политике. Определяются следующие цели:

Гарантировать, что в среде ЛВС XYZ обеспечивается соответствующая безопасность, соответствующая критичности информации и т.д..;
Гарантировать, что безопасность является рентабельной и основана на соотношении стоимости и риска, или необходимо удовлетворяет соответствующим руководящим требованиям;
Гарантировать, что обеспечена соответствующая поддержка защиты данных в каждой функциональной области;
Гарантировать индивидуальную подотчетность для данных, информации, и других компьютерных ресурсов, к которым осуществляется доступ;
Гарантировать проверяемость среды ЛВС XYZ;
Гарантировать, что служащие будут обеспечены достаточно полными руководствами по распределению обязанностей относительно поддержания безопасности при работе в автоматизированной информационной системе;
Гарантировать, что для всех критических функций XYZ ЛВС имеются соответствующие планы обеспечения непрерывной работы, или планы восстановления при стихийных бедствиях;
Гарантировать что все соответствующие федеральные и организационные законы, указы и т.д. учтены и их твердо придерживаются.

Ответственность

Следующие группы сотрудников несут ответственность за внедрение и достижение целей безопасности, сформулированных в этой политике. Детальные обязанности представлены в Обязанностях по Обеспечению Защиты ЛВС XYZ.
1. Функциональное руководство (ФР) - те служащие, кто несет ответственность согласно своим функциональным обязанностям (не в области компьютерной безопасности) внутри XYZ. Функциональное Руководство отвечает за информирование сотрудников относительно этой политики, гарантию того, что каждый сотрудник имеет ее копию, и взаимодействие со всеми служащими по проблемам безопасности.
2. Администраторы ЛВС (АД) - служащие, кто участвуют в ежедневном управлении и поддержании работоспособности ЛВС XYZ. Они отвечают за обеспечение непрерывного функционирования ЛВС. Администраторы ЛВС отвечают за осуществление соответствующих мер защиты в ЛВС в соответствии с политикой безопасности ЛВС XYZ .
3. Местные Администраторы (МА) - служащие, которые являются ответственными за предоставление конечным пользователям доступа к необходимым ресурсам ЛВС, которые размещены на серверах, входящих в их зону ответственности. Местные администраторы отвечают за обеспечение защиты своих серверов - в соответствии с политикой безопасности ЛВС XYZ.
4. Конечные пользователи (П) - являются любыми служащими, которые имеют доступ к ЛВС XYZ. Они отвечают за использование ЛВС в соответствии с политикой безопасности ЛВС. Все пользователи данных отвечают за соблюдение специфических политик безопасности, установленных теми лицами, кто несет основную ответственностью за защиту тех или иных данных, и за доклад руководству о любом подозрении на нарушение защиты.

Наказания

Отказ соблюдать эту политику может подвергнуть информацию XYZ недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в ЛВС XYZ. Нарушения стандартов, процедур или руководств, поддерживающих эту политику, будут привлечь внимание руководства и могут привести к дисциплинарной ответственности вплоть до увольнения со службы.