Разработка политики безопасности предприятия
Определение политики безопасности предприятия является одним из краеугольных камней разработки сети предприятия. Это так же важно, как и определение диапазона требований или потребностей резервирования. Политика безопасности определяет и устанавливает руководящие принципы, которых должен придерживаться персонал, получивший доступ к технологическим и информационным ресурсам организации. Ниже приведены преимущества разработки корпоративной политики безопасности:
- Создание структуры для совершенствования элементов безопасности в инфраструктуре сети
- Обеспечение процесса проверки существующей системы безопасности сети
- При необходимости – создание базы для юридических действий
Политика безопасности предприятия является результатом оценки риска и определения важных средств и возможных угроз. Средства сети в себя включают:
- Хосты сети (такие как ПК; включает операционные системы, приложения и данные хостов)
- Устройства сети (такие как маршрутизаторы, коммутаторы и межсетевые экраны)
- Данные сети (данные, которые передаются по данной сети)
Вы должны установить, как средства Вашей сети, так и степень, в которой каждое из этих средств должно быть защищено. Если устройства сети или данные подвергнуты риску, приведет ли это к затруднению или краху? Чем больше вероятность краха, тем строже должна быть политика обеспечения безопасности.
Угрозы обычно возникают в виде перехвата или кражи информации, нарушения возможности доступа к ресурсам сети (нападения типа "отказ в сервисе"), несанкционированный доступ к ресурсам или манипуляция данными. Особыми внимание уделяется зонам подключения к сети, точкам удаленного доступа, а также важным устройствам и серверам инфраструктуры сети.
При разработке политики безопасности необходимо учитывать требование сбалансировать легкость доступа к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно. Для начала необходимо определить, что и от чего должно быть защищено. Кроме того, должна быть учтена вероятность угроз. Обычно самым легким путем является разделение сети предприятия на три отличительных составных части: главный комплекс зданий - далее по тексту "комплекс", подключение удаленного доступа и подключение к сети Интернет, как показано на рисунке: