2.3.4 Кога една политика за сигурност е добра?

Характеристиките на една добра политика за сигурност са:

  1. Тя трябва да бъде приложима чрез процедури за администрация на системата, като съдържа правилата за „правилно използване“ (acceptable useguidelines), или чрез други приемливи методи.
  2. В нея трябва да има описание на различните средства за сигурност, които ще се използват, където е възможно и разрешено.
  3. Тя ясно трябва да дефинира границите на задълженията на потребителите, администраторите и управленският състав.

Компонентите на добрата политика за сигурност са:

  1. Правилата за поръчка и закупуване на компютърни технологии, които определят нужните или предпочитани характеристики на сигурността. В тях трябва да се включват и съществуващите в момента политики за поръчки на оборудване/технологии.
  2. Политика за конфиденциалността, която определя разумни очаквания за конфиденциалност, по отношение на проблеми от рода на: следене на електронната поща, подслушване на трафика или достъп до потребителските файлове.
  3. Политика за достъпа, която определя правата и привилегиите за достъп, които ще запазят информацията от изгубване или разкриване чрез определянето на правила за потребителите, отговорният персонал и управляващите. Тя определя условия за вътрешната комуникация, за потока от данни, за добавянето на нови устройства към мрежата или прилагането на даден нов софтуер към съществуващите системи. Тя, също така определя необходимите информационни съобщения. Например съобщенията, които предупреждават за нужда от ауторизация и наблюдение на връзката, а не обикновеното и по подразбиране съобщение „Добре дошли“.
  4. Политика за отчетите и отчетността, която дефинира отговорностите на потребителите, отговорният персонал и управленският екип. Тя определя начините за оценяване и правилата за справяне с инциденти. Тоест какво да се направи и кого да уведомим, ако открием евентуално нарушение или проблеми свързани със сигурността.
  5. Политика за аутентикацията, която дефинира довереността в мрежата чрез ефективна политика за паролите, чрез определяне на правила за аутентикация при логване от отдалечено място и чрез използването на автентикиращи устройства (т.е., пароли за еднократно ползване и устройствата, които ги генерират).
  6. Изисквания за правилното функционирането на системите, които дефинират очакванията на потребителите за достъпа до ресурсите и системите. Те трябва да описват резервираността и процеса на възстановяване при евентуални сривове, както и да определят часовете, в които ресурсите ще се използват и периодите, през които ресурсите няма да бъдат в изправност заради планирани действия по тях. Те също трябва да включват контактна информация на хората, които отговарят за системата за отчети и мрежовите проблеми.
  7. Политика за Информационните системи и Оперирането с мрежата, която описва как и вътрешните и външните хора по поддръжката ще достъпват и работят върху технологиите. Една важна тема, която трябва да бъде засегната тук, е дали ще бъде позволена отдалечената поддръжка на системите и как ще се контролира подобен достъп. Също така в тази политика трябва да се дефинира дали ще има изнесени извън компанията поддръжка и експлоатация на системите (outsourcing) и как ще се извършва неговото управление.
  8. Политика за съобщаването на нарушенията, която дефинира кои видове нарушения (например по конфиденциалността, по сигурността, било то вътрешна или външна) трябва да бъдат докладвани и към кого да се адресират тези репорти. Една не заплашваща атмосфера и възможността такива отчети да се правят анонимно биха довели до по-голяма вероятност забелязаните нарушения да се докладват.
  9. Допълнителна информация, която помага на потребителите, отговорният персонал и управленският екип да съобщават за нарушения на политиката за сигурност, да предприемат правилните действия при инцидент по сигурността, както и определя кои данни могат да се считат за конфиденциални или лични. Също така тя трябва да съдържа препратки към процедури по сигурността и други материали по темата, като например други фирмени политики, обществени закони и правилници.

Съществуват някои правни проблеми, които биха имали отношение към една политика за сигурност (например следенето на трафика).Затова създателите на една политика за сигурност трябва да имат предвид и легалната и страна. Добре е да се потърси правна помощ при създаването на политиката, или поне тя да се прегледа от юридически консултант.

Последното, което трябва да се добави, е нуждата от редовен преглед на политиката за сигурност, за да се види дали тя все така успешно отговаря на нашите нужди в смисъла на сигурността.

Публикувано от: marsislav

Казвам се Мирослав Костадинов.
Завърших бакалавърската си програма в Бургаски Свободен Университет през 2013 година, специалност “Информатика и компютърни науки”.
След което завърших магистърска програма в същия университет, специалност “Информационна сигурност”, като в моят блог може да прегледате дипломната ми работа,
която защитих пред Държавна Изпитна Комисия .
През бакалаварската си програма съм изучавал дисципини като компютърни мрежи, изкуствен интелект, операционни системи, компютърни архитектури,
компютърна периферия и WEB приложения.
В процеса на обучение наблегнах на следните технологии: PHP, SQL, JavaScript, HTML, CSS.
През магистърската си програма съм
изучавал дисциплини като Мрежова сигурност, маршрутизация в компютърните мрежи, сигурност в интернет приложенията.

Работил съм като Front-end разработчик във фирми \"ThunderBox\" и \"The Viking\" като дейността на първата бе създаването и модифицирането на Wordpress теми и плъгини,
а на втората - създаването на Joomla теми и WEB сайтове изградени без помощта CMS платформа. В момента работя като WEB разработчик с ASP.NET.

Всички разработки са съобразени с функционалността и визията
изисквани от клиента. За целта използвам следните технологии: PHP (функции предоставени от CMS средата), jQuery, Vanilla JavaScript, HTML5, CSS3, ASP .NET

През свободното си време работя на на свободна практика, като изграждам и поддържам WEB сайтове и приложения.

Всички проекти в портфолиото съм изработил изцяло самостоятелно в свободното си време. Успях да превърна хобито си в професия.

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *