Разработка политики безопасности предприятия

 

Определение политики безопасности предприятия является одним из краеугольных камней разработки сети предприятия. Это так же важно, как и определение диапазона требований или потребностей резервирования. Политика безопасности определяет и устанавливает руководящие принципы, которых должен придерживаться персонал, получивший доступ к технологическим и информационным ресурсам организации. Ниже приведены преимущества разработки корпоративной политики безопасности:

  • Создание структуры для совершенствования элементов безопасности в инфраструктуре сети
  • Обеспечение процесса проверки существующей системы безопасности сети
  • При необходимости – создание базы для юридических действий

Политика безопасности предприятия является результатом оценки риска и определения важных средств и возможных угроз. Средства сети в себя включают:

  • Хосты сети (такие как ПК; включает операционные системы, приложения и данные хостов)
  • Устройства сети (такие как маршрутизаторы, коммутаторы и межсетевые экраны)
  • Данные сети (данные, которые передаются по данной сети)

Вы должны установить, как средства Вашей сети, так и степень, в которой каждое из этих средств должно быть защищено. Если устройства сети или данные подвергнуты риску, приведет ли это к затруднению или краху? Чем больше вероятность краха, тем строже должна быть политика обеспечения безопасности.

Угрозы обычно возникают в виде перехвата или кражи информации, нарушения возможности доступа к ресурсам сети (нападения типа "отказ в сервисе"), несанкционированный доступ к ресурсам или манипуляция данными. Особыми внимание уделяется зонам подключения к сети, точкам удаленного доступа, а также важным устройствам и серверам инфраструктуры сети.

При разработке политики безопасности необходимо учитывать требование сбалансировать легкость доступа к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно. Для начала необходимо определить, что и от чего должно быть защищено. Кроме того, должна быть учтена вероятность угроз. Обычно самым легким путем является разделение сети предприятия на три отличительных составных части: главный комплекс зданий - далее по тексту "комплекс", подключение удаленного доступа и подключение к сети Интернет, как показано на рисунке: