Ценность физического оборудования часто гораздо меньше ценности данных, которые на нем содержатся. Получение конфиденциальных данных компании конкурентами или преступниками может повлечь за собой большие издержки. Такая утрата может привести к потере доверия к компании и увольнению компьютерных инженеров, ответственных за обеспечение безопасности. Для защиты данных могут быть применены несколько способов обеспечения безопасности.
Организация должна стремиться обеспечить наилучшую и наиболее доступную защиту от утери данных и повреждения программного обеспечения и оборудования. Инженеры по сетям и руководство организации должны совместно разработать политику безопасности, обеспечивающую защиту данных и оборудования ото всех угроз безопасности. При разработке политики руководители должны подсчитать стоимость потери данных относительно затрат на обеспечение безопасности и определить допустимые компромиссы. Политика безопасности включает в себя исчерпывающее заявление о требуемом уровне безопасности и о том, как он будет достигнут.
Вы можете участвовать в разработке политики безопасности для клиента или организации. При создании политики безопасности задайте следующие вопросы, чтобы определить факторы безопасности:
- Где находится компьютер: дома или на предприятии? - Домашние компьютеры уязвимы для беспроводных вторжений. Для рабочих компьютеров существует высокая опасность сетевых вторжений, поскольку предприятия более привлекательны для хакеров, а также поскольку зарегистрированные пользователи могут нарушать правила доступа.
- Используется ли постоянное подключение к Интернету? - Чем дольше компьютер подключен к Интернету, тем больше вероятность атак. На компьютере с доступом к Интернету должны быть установлены межсетевой экран и антивирусное ПО.
- Является ли компьютер портативным? - Физическая безопасность — проблема портативных компьютеров. Существуют такие средства защиты портативных компьютеров, как кабельные замки, биометрия и методы отслеживания.
При создании политики безопасности необходимо учитывать несколько ключевых областей:
- Процесс обработки инцидентов сетевой безопасности
- Процесс аудита существующей безопасности сети
- Общая структура безопасности для реализации безопасности сети
- Разрешенные способы поведения
- Запрещенные способы поведения
- Объекты для регистрации и способ хранения журналов: средство просмотра событий, файлы системного журнала или файлы журнала безопасности
- Сетевой доступ к ресурсам через разрешения учетной записи
- Технологии проверки подлинности для доступа к данным: имена пользователей, пароли, биометрические данные и смарт-карты
Политика безопасности также должна предоставлять подробную информацию о следующих вопросах в чрезвычайных ситуациях.
- Предпринимаемые действия после нарушения безопасности
- Контактное лицо при возникновении чрезвычайных ситуаций
- Информация для предоставления заказчикам, поставщикам и средствам массовой информации
- Дополнительные местоположения для использования при эвакуации
- Действия после ликвидации чрезвычайной ситуации, включая приоритет восстанавливаемых служб
Область действия политики и последствия ее несоблюдения должны быть четко описаны. Политики безопасности должны регулярно проверяться и при необходимости обновляться. Сохраняйте историю изменений для отслеживания изменений политики. Обеспечение безопасности — это обязанность всех сотрудников компании. Все сотрудники, включая тех, кто не пользуется компьютерами, должны пройти обучение, чтобы ознакомиться с политикой безопасности, а также уведомляться об ее обновлениях.
В политике безопасности также необходимо определить доступ сотрудников к данным. Политика должна запрещать общий доступ к конфиденциальным данным, при этом позволяя сотрудникам выполнять свои рабочие задачи. Данные могут быть классифицированы от общедоступных до совершенно секретных с несколькими различными уровнями между ними. Общедоступная информация может просматриваться всеми пользователями и не имеет ограничений безопасности. Общедоступная информация не может использоваться для причинения ущерба компании или отдельным лицам. Совершенно секретная информация должна быть наиболее защищенной, поскольку раскрытие данных может принести большой вред правительству, компании или отдельным лицам.