А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Глава 3. Основные пути обеспечения безопасности информации 167<br />
биометрическими методами. <strong>М</strong>ожно создать дополнительную систему предупреждения<br />
вторжения в залы (в частности, в нерабочее время для залов без обслуживающего<br />
персонала).<br />
Системы контроля нужно периодически проверять и постоянно поддерживать в<br />
рабочем состоянии. Для этого существуют специализированные подразделения и органы<br />
контроля.<br />
Наконец, должно быть налажено информирование руководства и обучение персонала<br />
по различным вопросам предупреждения и контроля доступа на основе анализа<br />
результатов работы системы безопасности предприятия.<br />
Обязательно нужно проверять систему доступа во вспомогательные помещения<br />
(помещение охраны, архивы, рабочие места анализа и программирования), в частности,<br />
наличие и адекватность системы контроля установленным требованиям.<br />
<strong>М</strong>ожно также предусмотреть различные способы защиты малогабаритного оборудования,<br />
таких как персональные компьютеры и средства физической защиты (ставни<br />
или надежные запоры, футляры для хранения, дополнительные платы логических запирающих<br />
устройств, кнопки включения сигнала тревоги под средствами обработки<br />
информации).<br />
Подводя итоги вышесказанному, рассмотрим, как определяется политика безопасности<br />
информации при защите компьютерных сетей. Обычно для корпоративных сетей<br />
с большим количеством пользователей составляется специальный документ, регламентирующий<br />
работу в сети, называемый «Политика безопасности».<br />
Политика обычно состоит из двух частей: общих принципов и конкретных правил<br />
работы. Общие принципы определяют подход к безопасности в Internet. Правила же<br />
регламентируют, что разрешено, а что запрещено. Правила могут дополняться конкретными<br />
процедурами и различными руководствами.<br />
Правда, существует и третий тип политики; его описание встречается в литературе<br />
по безопасности в Internet — технический подход-анализ, который помогает выполнять<br />
принципы и правила политики. Однако он слишком техничен и сложен для понимания<br />
руководством организации, поэтому не так широко используется, как политика.<br />
Тем не менее он обязателен при описании возможных решений, определяющих<br />
компромиссы политики.<br />
Обычно политика безопасности регламентирует использование основных сервисов<br />
сети (электронную почту, WWW и т. п.), а также ставит в известность пользователей<br />
сети о тех правах доступа, какими они обладают, что обычно определяет и процедуру<br />
аутентификации пользователя.<br />
К этому документу следует относиться со всей серьезностью. <strong>В</strong>се остальные стратегии<br />
защиты строятся на предположении, что правила политики безопасности неукоснительно<br />
соблюдаются. Политика безопасности вызывает и большинство нареканий<br />
со стороны пользователей, потому что в ней очевидным образом написано, что<br />
именно пользователю воспрещено. Рядовому пользователю может быть непонятен<br />
запрет, скажем, на использование служебного адреса электронной почты для личной<br />
переписки. Однако политика безопасности — это официальный документ, который<br />
составляется на основе, с одной стороны, производственной необходимости в сервисах,<br />
предоставляемых Internet, а с другой — на основе требований безопасности, сформулированных<br />
соответствующими специалистами-профессионалами.