Скачать книгу

Процедуры документируют процессы запроса и подтверждения доступа к определенным сервисам, например VPN.

      Рассмотрим особенности предлагаемого подхода IBM (рис. 2.3) на следующем примере:

      • проблемная ситуация – сотрудники загружают программное обеспечение из сети Интернет, что приводит к заражению вирусами, а в конечном счете к уменьшению производительности работы сотрудников компании;

      • в политику безопасности добавляется строка – «информационные ресурсы компании могут быть использованы только для выполнения служебных обязанностей». Политика безопасности доступна для ознакомления всем сотрудникам компании;

      • создается стандарт безопасности, в котором описывается, какие сервисы и программное обеспечение разрешены для использования сотрудниками;

      • практика безопасности описывает, как настроить операционную систему в соответствии с требованиями стандарта безопасности;

      • процедура безопасности описывает процесс запроса и получения разрешения на использование дополнительных сервисов или установку дополнительного программного обеспечения сотрудниками;

      • устанавливаются дополнительные сервисы для контроля выполнения требований политики безопасности.

      Рис. 2.3. Подход IBM к разработке документов безопасности

      2.1.2. Пример стандарта безопасности для ОС семейства UNIX

      Цель и область действия стандарта: документ определяет требования по защите компьютеров, работающих под управлением ОС семейства UNIX.

      Аудитория: персонал служб информационных технологий и информационной безопасности.

      Полномочия: отдел информационной безопасности наделяется всеми полномочиями для разрешения возможных проблем, связанных с безопасностью серверов информационной системы компании, и несет за это ответственность. Департамент управления информационными рисками утверждает все отклонения от требований данного стандарта.

      Срок действия: с 1 января до 31 декабря … года.

      Исключения: все отклонения от выполнения данного стандарта должны получить подтверждение в отделе информационной безопасности.

      Поддержка: по всем вопросам, связанным с этим стандартом, обращаться в отдел информационной безопасности.

      Пересмотр стандарта: стандарт пересматривается ежегодно.

      СТАНДАРТ БЕЗОПАСНОСТИ ОС СЕМЕЙСТВА UNIX

      УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП

      Настройки по умолчанию. Операционная система и права доступа к файлам должны быть настроены в режиме защищенной конфигурации при использовании umask по умолчанию, что гарантирует надлежащие разрешения доступа. Все пароли, установленные вендорами по умолчанию, должны быть изменены перед промышленной эксплуатацией системы.

      Администрирование учетных записей пользователей и групп:

      • учетные записи с привилегиями, равными привилегиям учетной записи root, запрещены;

      • все идентификаторы групп и пользователей

Скачать книгу