Главная: Рефераты

Рефераты. Политика безопасности при работе в Интернете - (диплом)

p>Организациям необходимо определить правила допустимого использования Интернета и WWW, аналогично тому, как определяются правила использования служебного телефона. Хотя кажется, что можно просто сказать что-то вроде следующего "Интернет может использоваться только для коммерческих задач организации", это требование является невыполнимым. Если политика не может быть реализована, то нарушения неизбежны и политика не сможет быть основанием для применения к нарушителям наказаний. Организации с высоким уровнем риска, которых не устраивает вариант периодического использования Интернета сотрудниками в личных целях, могут принять некоторое альтернативное решение, более уместное и реализуемое в рамках конкретной организации: Для использования Интернета сотрудниками должен использовать либо отдельный канал связи, либо коммутируемое подключение у провайдера Интернета. Машины, испоьзующие этот сервис, не должны быть соединены с внутренними сетями и могут использоваться периодически в соответствии с политикой организации в отношении допустимого использования Интернета. Могут использоваться программные средства, такие как брандмауэр, для блокирования доступа к сайтам в Интернете, не включенным в список разрешенных в организации сайтов. Для организаций с любым уровнем риска некоторые виды использования соединения с Интернетом должны быть запрещены в любом случае. Такими видами использования являются: компрометация персональных данных пользователей

внесение помех в работу компьютеров или искажение программ и данных, находящихся на компьютерах использование компьютерных систем и их ресурсов по назначению чрезмерное использование ресурсов, которые нужны для работы организации (люди, пропускная способность канала, процессорное время) использование нелицензионных копий программ

использование компьютера для начала атаки на другие компьютерные системы использование государственных, корпоративных или университетских компьютеров для личных целей или в целях, для которых они не предназначены неавторизованное сканирование и зондирование, а также другое исследование узлов сети недопустимым образом использование, приводящее к загрузке, выгрузке, модификации или удалению файлов на других машинах сети, на которых такие действия считаются неавторизованными Независимо от типа политики организации в области допустимого использования Интернета главным фактором, влияющим на поведение пользователей, является их обучение. Пользователи должны быть знать, что они являются составной частью репутации организации и использование ими Интернета влияет на репутацию. Пользователи должны знать, что каждое посещение ими сайтов Интернета оставляет на них следы, и знать, почему организация оставляет за собой право наблюдать за использованием Интернета. Администраторы должны знать о своих обязанностях в отношении используемых программно-аппаратных средств (например, для блокирования доступа к сайтам, наблюдения за работой) для реализации принятой в организации политики. Политика использования Интернета - низкий риск

Интернет считается важной ценностью организации. Пользователям рекомендуется использовать Интернет и учиться делать это профессионально. С помощью такого открытого доступа сотрудники должны лучше выполнять свои обязанности. Сотрудники не должны использовать Интернет для своих личных целей, и не должны посещать вредные и порнографические сайты, а также не должны получать доступ или использовать информацию, которая считается оскорбительной. Деятельность сотрудников, нарушающих это, будет контролироваться и они будут наказаны, вплоть до уголовного наказания. Доступ к Интернету с компьютера, принадлежащего организации или через соединение, принадлежащее организации, должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации. Пользователи, посылающие письма в группы новостей USENET и списки рассылки, должны включать пункт о том, что это их личное мнение, в каждое сообщение. Невозможно составить список всех возможных видов неавторизованного использования, поэтому дисциплинарные наказания применяются только после того, как другие способы исчерпали себя. Примерами неприемлемого использования, которое приводит к наказаниям, являются : неавторизованные попытки получить доступ к компьютеру

использование рабочего времени и ресурсов организации для личной выгоды кража или копирование файлов без разрешения

посылка конфиденциальных файлов организации во внешние компьютеры или в другие внутренние компьютеры неавторизованными на это людьми отказ помогать сотрудникам отдела информационной безопасности посылка писем-пирамид по электронной почте

    Политика использования Интернета - средний риск

Компьютеры и сети организации могут использоваться только для выполнения служебных обязанностей. Допускается редкое их использование в личных целях. Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры . Другой подход может быть таким:

Сетевое оборудование организации, включая сервера, доступные из Интернета, а также подключенные к ним компьютеры и установленные на них программы могут использоваться только для разрешенных целей. Начальники подразделений могут разрешить иногда иной доступ, если он не мешает выполнять служебные обязанности, не является слишком продолжительным и частым, служит интересам организации, таким как повышение квалификации ее сотрудников, и не приводит к дополнительным расходам для организации. Письма пользователей в группы новостей USENET, списки рассылки и т. д. должны включать строку о том, что точка зрения выраженная в письме - личная точка зрения, а не точка зрения организации. Личные бюджеты пользователей онлайновых сервисов не должны использоваться с компьютеров организации. Для получения доступа к платным сервисам с компьютера организации, она должна предварительно осуществить подписку на них и заплатить за это деньги. Пользователям выдаются пароли для работы на компьютерах организации, чтобы защитить критическую информацию и сообщения от неавторизованного использования или просмотра. Такие пароли не защищают от просмотра информации руководством организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей. Начальники подразделений отвечают за обеспечение гарантий того, что их подчиненные понимают политику допустимого использования Интернета. Доступ к Интернету с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации. Политика использования Интернета - высокий риск

Организация полностью соединена с Интернетом и другими сетями. В целом, пользователи имеют неограниченный доступ к сети. Но доступ из Интернета или других сетей к ресурсам организации разрешен только тогда, когда это требуется для выполнения служебных обязанностей. Для личного использования Интернета сотрудниками имеется отдельный сервер доступа. Этот сервис должен использоваться только для отдельных сотрудников с обоснованием доступа к нему. С его помощью можно получать доступ только с тем сайтам, которые одобрены организацией. Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры . Письма пользователей в группы новостей USENET, списки рассылки и т. д. должны включать строку о том, что точка зрения выраженная в письме - личная точка зрения, а не точка зрения организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей Доступ к Интернету с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации. 5. 6. 3. Сохранение конфиденциальности личной информации (privacy) Политика конфиденциальности личной информации при использовании Интернета должна быть согласована с политиками конфиденциальности личной информации в других областях. Хотя технически довольно просто наблюдать за сотрудниками, это плохая идея. На безопасность очень большое влияние оказывает мораль сотрудников. Сотрудники должны знать, что протоколы их работы на компьютерах могут быть сообщены посторонним организациям, таким как правительственные агентства, или по запросу согласно акту о свободе информации. Низкий и средний риск

Соединение с Интернетом - это ресурс организации. Деятельность сотрудников организации в Интернете может наблюдаться, протоколироваться и периодически проверяться для того, чтобы организация имела гарантии того, сотрудники работают правильно, и могла защититься от неавторизованного использования Интернета. Кроме того, организация может получить доступ к любой информации пользователей или к любому взаимодействию пользователей. Организация может разгласить информацию, полученную таким образом уполномоченным на это третьим лицам, включая правоохранительные органы или запросы FOIA. Использование (список ресурсов) означает согласие пользователя с тем, что за его деятельностью осуществляется контроль. 5. 7. Обучение пользователей

Большинство компьютерных пользователей организации попадает в одну из трех категорий - интернет-мастера; пользователи, обладающие знаниями, но не обладающие опытом; пользователи, которые знают Интернет, провели в нем много времени, но не знают, как он устроен. Большинство пользователей знает, что с использованием Интернета связан риск, но не понимает, с чем он связан, и как его избежать. Они часто не умеют распознать проблему с безопасностью, или как обезопасить себя при повседневном использовании Интернета. Они не знают последствий недопустимого или неавторизованного использования Интернета. Доведите до пользователей их обязанности в области безопасности, и научите их, как надо себя вести - это изменит их поведение. Пользователи не могут соблюдать политики, которые они не понимают. Обучение также способствует индивидуальной отчетности, которая является самым важным способом повышения компьютерной безопасности. Не зная необходимых мер безопасности и как их применять, пользователи не смогут до конца отвечать за свои действия. Обучение также необходимо сетевым администраторам, которым требуются специальные навыки для понимания и реализации технологий, требуемых для обеспечения безопасности соединения с Интернетом. Риски, связанные с Интернетом, должны быть доведены до руководства организацией, чтобы обеспечить его поддержку. Все пользователи, администраторы и руководители подразделений, имеющие доступ к Интернету, должны пройти начальный инструктаж в области безопасности и периодически проходить его снова. Обучение опытных пользователей должно быть, в основном, сосредоточено на вопросе допустимого использования Интернета. Например, почему организация приняла решение запретить прием определенных групп новостей USENET. Почему личные письма, в заголовке которых указан почтовый домен организации, отражаются на репутации, независимо от того, использовалась фраза о том, что точка зрения, выраженная в письме - это личное мнение или нет. Некоторые пользователи, окончившие университет, могут испытать шок при доведении до них таких требований. Должен быть сделан упор на ролях и их ответственности, помимо технических проблем безопасности. Технических специалистов надо обучать их обязанностям при реализации технических сторон политики на их системах и сетях, как это описано в пункте 5. 6. 1. Пользователи, которые уже что-то знают, должны обучаться способам использования Интернета. Они могут быть достаточно хорошо знакомы с BBS, и должны быть проинформированы, что их письма будут теперь распространяться по всему миру, а не только в США или среди небольшой группы пользователей. Эти пользователи должны быть осмотрительны - перед тем, как написать письмо, следует сначала посмотреть, о чем пишут в данной группе новостей. Они не должны загружать программы или подписываться на информацию, пока не будут понимать последствий своих поступков - они могут подвергнуть организацию риску. А других пользователей, которые более продвинуты, чем остальные, надо учить, как стать более опытным пользователем Интернета, помимо обучения допустимому использованию Интернета, ответственности при работе в нем и технических вопросов безопасности. Неграмотным же пользователям требуется объяснять все. Они должны узнать, что такое Интернет, какие виды сервисов он предоставляет, кто является его пользователями, и как установить с ним соединение. Они должны узнать о группах новостей и списках рассылки в Интернете, поисковых системах и этике в Интернете. Кроме того, они должны узнать все то, что изучают более грамотные пользователи. Обучение безопасности в Интернете - низкий риск

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.