Политика безопасности — это набор правил, руководств и контрольных перечней. Инженеры по сетям и руководители организации совместно разрабатывают правила и руководства для безопасности компьютерного оборудования. В политику безопасности входят следующие элементы:
- Заявление о допустимом использовании компьютеров организации.
- Списки сотрудников, которым разрешено использовать компьютерное оборудование.
- Списки устройств, установка которых в сети разрешена, а также условия установки. Примеры оборудования, которое может использоваться для атак сети — модемы и беспроводные точки доступа.
- Требования, необходимые для обеспечения конфиденциальности данных в сети.
- Процесс получения сотрудниками доступа к оборудованию и данным. Этот процесс может требовать от сотрудника подписания соглашения, связанного с правилами компании. В нем также перечислены последствия несоблюдения правил.
В политике безопасности должно описываться решение проблем безопасности в компании. Локальные политики безопасности в различных организациях могут различаться, однако есть вопросы, которые должны задать все организации.
- Какие ресурсы требуют защиты?
- Каковы возможные угрозы?
- Каковы действия в случае нарушения безопасности?
- Какое обучение будут проходить конечные пользователи?
ПРИМЕЧАНИЕ. Для обеспечения эффективности политика безопасности должна применяться и соблюдаться всеми сотрудниками.