Разработка политики использования Интернета

Размещено на http://www.allbest.ru/

Лабораторная работа №2

«Разработка политики использования Интернета»

Цель работы

Целью работы является овладение практическими навыками разработки концепции использования Интернет-ресурсов.

Задачи:

1.Разработка политики использования Интернета

Требуемое время: 4 часа

Оборудование:

1. Персональный компьютер

2. ОС Windows 2000 и выше, либо ХР

Разработка концепции использования Интернет-ресурсов преследует следующие цели:

* Разъяснить политику компании в отношении использования Интернет на рабочем месте

* Защитить компанию от ответственности

* Предотвратить угрозы безопасности путем обучения пользователей хорошей практике использования Интернет

* Поощрять эффективное и продуктивное использование ресурсов Интернет

Вашему вниманию предлагаются некоторые замечания, которые рекомендуется учесть при разработке концепции:

Концепция использования Интернет, как бы хорошо она не была составлена, обязательно будет включать в себя ряд запретительных положений. Кроме этого смысл концепции может быть ошибочно ассоциирован с угнетением прав и свобод, в первую очередь на конфиденциальность. Поэтому очень важно, чтобы разработка концепции не выглядела как директива со стороны высшего руководства. Именно для этого имеет смысл приглашать к участию в разработке максимальное количество заинтересованных лиц.

Следует иметь в виду, что смысл концепции не должен сводиться к словосочетанию все или ничего. В Вашей власти запретить использование некоторых Интернет - сервисов в определенное время, а также задать такие, более технологичные параметры, как длина соединения и объем загруженных данных. При таком подходе Интернет-доступ быстро перестает казаться неотъемлемым правом, а становится чем-то вроде привилегии. Поощрение эффективного и продуктивного использования Сети вкупе с разъяснением корпоративных ценностей и может дать большие результаты, нежели огромное количество запретов. Впрочем, действительно хороших результатов можно достичь, умело применяя оба подхода.

Сделайте концепцию понятной каждому

Структура концепции должна быть небольшого размера, а положения - понятными каждому из сотрудников. В этом смысле очень важно, чтобы концепция была написана хорошим языком и по возможности без использования специальных терминов. Документ стоит начать с описания общих принципов использования Интернет, после чего перейти к перечислению четких положений использования конкретных служб Интернет в конкретное время (если это требуется). Завершить концепцию можно разделом, посвященным последствиям невыполнения требований документа. Также сотрудники должны быть уведомлены о том, что компания производит мониторинг использования Интернет и электронной почты. Четкое объяснение принципов использования Интернет - доступа в компании - это мощная защита против каких-либо последующих обвинений со стороны персонала.

Насколько возможно использование Интернет в личных целях?

Ваша концепция должна быть максимально ясной и точной относительно возможности использования Интернет в личных целях. Некоторые компании, особенно те из них, что работают с творческими работниками, могут даже поощрять активное исследование Интернет-ресурсов. Другие компании ратуют за строгое ограничение числа Интернет-ресурсов и сервисов только бизнес - ориентированными представителями. Но подавляющее большинство предприятий выбирают нечто среднее между двумя полярными решениями.

Ограничивать ли работу в Интернет в нерабочее время?

В зависимости от типа Вашего подключения и общей стоимости его использования Вы можете разрешить или даже поощрять работу в Интернет (включая посещение веб - сайтов в личных целях) в нерабочее время. Вы также можете по своему усмотрению сохранять или отменять какие-либо ограничения на содержание тех страниц, которые будут просматриваться после окончания рабочего дня. Так или иначе, Вам следует учитывать то, что даже в нерабочее время сайты, которые посещаются Вашими сотрудниками, составляют имидж компании. Практически любой веб - мастер может без труда определить, откуда выполняется запрос, поэтому рекомендуется все еще раз взвесить перед тем, как полностью развязывать руки при работе с Интернет.

Следует разъяснить вопросы конфиденциальности

Развитие технологий привело к тому, что не составляет никакого труда послать электронное письмо сотням людей одним нажатием на клавишу Enter, и имеет смысл напомнить сотрудникам, о важности и ценности той информации, с которой им приходится по долгу службы знакомиться. Бизнес-планы, маркетинговая стратегия, отчеты по продажам, экономические прогнозы - все эти конфиденциальные документы могут быть отосланы кому угодно буквально за считанные секунды. Очевидно, некоторые документы в принципе не должны покидать пределы корпоративной сети. Очень важно дать понять пользователям, что в Интернет все, что не зашифровано специальными средствами, по сути является открытым всем и каждому.

Юридические аспекты должны быть освещены соответствующим образом

В принципе, работодатель может быть привлечен к ответственности за действия сотрудников - просто потому, что электронному письму все больше придается статус печатного документа, а соответственно письмо может быть признано уликой или вещественным доказательством. Каждый сотрудник, который использует в своей работе Интернет, должен быть уведомлен о возможности судебного преследования за свои противоправные действия. В число таких действий входят сексуальные домогательства, нарушения авторских и смежных прав, нарушение конфиденциальности, публикация непристойных материалов, порочащих честь и достоинство, а также множество других, уже признанных незаконными во множестве стран Западной Европы и США, действий.

Во всех этих случаях ключ к преодолению проблем - это наличие реально действующей концепции использования Интернет в компании. Конечно, она не сможет защитить Вас всякий раз, когда кто-то желает совершить противоправное действие, однако может значительно снизить число раз, когда такие действия выполняются по незнанию закона или по неосторожности.

Вопросы безопасности должны занимать ключевое место

Давно уже говорилось, что даже самый современный межсетевой экран не сможет спасти от случайного или преднамеренного раскрытия своего пароля сотрудником компании. Статистика убеждает нас в том, что большая часть напастей в области безопасности компьютерных систем возникает в результате халатного отношения к соблюдению элементарных правил безопасности. Следует также иметь в виду, что Ваша сеть может пострадать даже в результате действий самого добропорядочного сотрудника, который случайно подцепил вирус из Интернета. Если Вы планируете использование антивирусного программного обеспечения (а это настоятельно рекомендуется сделать!), то следует предупредить пользователей о том, что все без исключения соединения с Интернет-серверами будут проверяться на наличие вирусов. Немаловажно также исключить подключение пользователей по модему, минуя центральный узел выхода в Интернет. Такие подключения создают опасность куда большую, чем незапертая на ночь входная дверь.

Поясните, на кого распространяется концепция

Концепция может распространяться на ограниченное число пользователей или быть разработанной в расчете на всех сотрудников. Главное - четко прописать данный момент в документе. Кто бы ни был назначен ответственным за выполнение положений концепции - отдел кадров или ИТ - удостоверьтесь в том, что они четко понимают свою миссию .

Определение наиболее важных аспектов

Первым шагом при создании политики организации является определение наиболее важных политик. Например, компания, занимающаяся распространением информации через интернет, будет придавать большее значение плану восстановления в сравнении с политикой использования компьютеров. Сотрудники отдела безопасности организации должны выявить и описать все важнейшие политики, в противном случае необходимую информацию в этой области можно будет получить посредством оценки угроз.

Определение допустимого поведения

То, что называется допустимым поведением сотрудников, зависит от порядков, установленных в организации (культуры организации). Например, в некоторых компаниях сотрудникам разрешается неограниченно работать в интернете. Культура организации призвана обеспечить эффективность исполнения обязанностей сотрудниками и их начальниками. В других компаниях налагаются ограничения на выход сотрудников в интернет, кроме того, работают программы, ограничивающие доступ к определенным веб-сайтам.

Политики этих компаний значительно отличаются друг от друга. Действительно, сотрудники первой компании вовсе не применяют политику использования интернета. Специалисты в области информационной безопасности должны помнить, что не все политики подходят для использования. Перед началом создания политики необходимо внимательно изучить культуру организации и требования, предъявляемые к ее сотрудникам.

Определение схем политик

Разработка политики начинается с формирования схемы (одна схема уже была представлена в этой лекции). Существует множество источников качественных схем политик. Некоторые из них приведены в книгах, а некоторые доступны в интернете. Например, RFC 2196 "The Site Security Handbook" содержит перечень схем для различных политик.

Шаг за шагом

1. Если вы работаете в группе, разделите группу на пары. Каждая пара будет разрабатывать свою собственную политику и представлять собой отдельную группу.

2. Разработайте схему политики. Не забудьте включить раздел для входящих и исходящих соединений.

3. Определите приемлемые типы входящих соединений.

4. Определите приемлемые типы исходящих соединений. Если вам кажется, что все указано правильно, перейдите к определению типов сайтов, которые могу посещать сотрудники.

5. Представьте политику другим членам группы. Некоторые из них должны выступать в роли сотрудников организации, а другие - в роли менеджеров.

6. Как вариант, различные пары могут работать над разными политиками организации.

Выводы. Разработка политики, как правило, осуществляется очень просто. Тем не менее, сотрудники и руководители встают перед выбором тех или иных подходов при разработке политики. Рядовым сотрудникам не нравится все, что может сказаться на их рабочей нагрузке или секретности их действий. Руководителям же не нравятся политики, предоставляющие слишком много свободы.

Некоторые справочные материалы.

Проблемы от злоупотребления Интернет-доступом

На первый взгляд бизнес от использования Интернет только выигрывает: новые заказчики, более эффективное администрирование, более тесные связи с партнерами и, конечно, доступ к неограниченным информационным ресурсам. Однако оборотной стороной медали является подчас неконтролируемое желание сотрудников проводить все рабочее время за изучением Интернет-ресурсов, не имеющих к работе решительно никакого отношения. Конечно, проблема злоупотребления корпоративным Интернет-доступом -- это далеко не единственная проблема в области безопасности и поддержания эффективности корпоративных информационных систем, однако игнорировать использование Интернет в личных целях на рабочем месте невозможно.

Злоупотребление корпоративным Интернет-доступом может быть опасно по многим причинам, наиболее очевидные:

Продуктивность сотрудников

В общем смысле, информация помогает сотрудникам компании работать более эффективно. Однако какую информацию может запрашивать тот или иной сотрудник -- необходимые справочники или результаты прошедшего спортивного матча? Когда выбор в пользу того или иного источника информации может быть сделан всего лишь нажатием на кнопку, трудно устоять перед искушением. Именно поэтому основные потери компании несут именно на, порой незначительных на первый взгляд, но несущих ощутимые убытки в долгосрочной перспективе, злоупотреблениях.

Производительность локальной сети

Несмотря на внедрение новых технологий в сфере коммуникаций, локальные сети все также подвержены перегрузкам при их нерациональном использовании. Загрузка МРЗ-файлов, просмотр потокового видео, он-лайн игры -- все это может весьма ощутимо снизить производительность локальной сети предприятия, изначально проектировавшейся исключительно для бизнес-нужд.

Безопасность

Год от года вопросы безопасности при работе с Интернет не сходят со страниц компьютерных и бизнес-изданий. Это и неудивительно, учитывая сотни примеров, как в одночасье компании лишались конфиденциальной информации или останавливали бизнес из-за полного паралича информационных систем вирусами. Потери могут исчисляться сотнями тысяч долларов, поэтому вопросам, какие веб-ресурсы допустимы для посещения из корпоративной сети, а какие -- нет, должно уделяться самое пристальное внимание.

Влияние на Ваш бизнес

Любопытно, что опрос, проведенный ICSNet и Global Integrity, показывает, что 63% работодателей испытывали трудности, связанные со злоупотреблениями Интернет со стороны своих подчиненных.

С другой стороны, 41% из тех опрошенных, что ответили утвердительно на вопрос «Были ли случаи, когда Вы использовали Интернет в личных целях?», заявляют, что не задумывались о каком-либо ущербе, наносимом своими действиями компании. На вопрос же «Какое отрицательное влияние, на Ваш взгляд, Вы оказываете на бизнес компании, злоупотребляя Интернет?» были даны следующие ответы, представленные на диаграмме.

Решения проблемы

безопасность интернет доступ

Однако приятной новостью может стать тот факт, что многие из этих проблем преодолимы путем выработки единой для всего предприятия концепции использования Интернет-ресурсов, а также использования необходимых контролирующих технологий.



Управление доступом в Интернет ничем не отличается от управления другими корпоративными ресурсами, например, телефоном, факсом и пр. Будем считать, что на пути к достижению реальных результатов необходимо пройти четыре важных этапа:

1. Разработку концепции (политики) использования Интернет-ресурсов

2. Информирование и обучение пользователей

3. Установку необходимых программных и аппаратных средств для управления доступом

4. Обеспечение выполнения условий концепции пользователями

Насколько возможно использование Интернет в личных целях?

Ваша концепция должна быть максимально ясной и точной относительно возможности использования Интернет в личных целях. Некоторые компании, особенно те из них, что работают с творческими работниками, могут даже поощрять активное исследование Интернет-ресурсов. Другие компании ратуют за строгое ограничение числа Интернет-ресурсов и сервисов только бизнес-ориентированными представителями. Но подавляющее большинство предприятий выбирают нечто среднее между двумя полярными решениями.

Ограничивать ли работу в Интернет в нерабочее время?

В зависимости от типа Вашего подключения и общей стоимости его использования Вы можете разрешить или даже поощрять работу в Интернет (включая посещение веб-сайтов в личных целях) в нерабочее время. Вы также можете по своему усмотрению сохранять или отменять какие-либо ограничения на содержание тех страниц, которые будут просматриваться после окончания рабочего дня.

Так или иначе, Вам следует учитывать то, что даже в нерабочее время сайты, которые посещаются Вашими сотрудниками, составляют имидж компании. Практически любой веб-мастер может без труда определить, откуда выполняется запрос, поэтому рекомендуется все еще раз взвесить перед тем, как полностью «развязывать» руки при работе с Интернет.

Следует разъяснить вопросы конфиденциальности

Развитие технологий привело к тому, что не составляет никакого труда послать электронное письмо сотням людей одним нажатием на клавишу Enter, и имеет смысл напомнить сотрудникам, о важности и ценности той информации, с которой им приходится по долгу службы знакомиться. Бизнес-планы, маркетинговая стратегия, отчеты по продажам, экономические прогнозы -- все эти конфиденциальные документы могут быть отосланы кому угодно буквально за считанные секунды. Очевидно, некоторые документы в принципе не должны покидать пределы корпоративной сети. Очень важно дать понять пользователям, что в Интернет все, что не зашифровано специальными средствами, по сути является открытым всем и каждому.

Юридические аспекты должны быть освещены соответствующим образом

В принципе, работодатель может быть привлечен к ответственности за действия сотрудников -- просто потому, что электронному письму все больше придается статус печатного документа, а соответственно письмо может быть признано уликой или вещественным доказательством. Каждый сотрудник, который использует в своей работе Интернет, должен быть уведомлен о возможности судебного преследования за свои противоправные действия. В число таких действий входят сексуальные домогательства, нарушения авторских и смежных прав, нарушение конфиденциальности, публикация непристойных материалов, порочащих честь и достоинство, а также множество других, уже признанных незаконными во множестве стран Западной Европы и США, действий.

Во всех этих случаях ключ к преодолению проблем -- это наличие реально действующей концепции использования Интернет в компании. Конечно, она не сможет защитить Вас всякий раз, когда кто-то желает совершить противоправное действие, однако может значительно снизить число раз, когда такие действия выполняются по незнанию закона или по неосторожности.

Несмотря на то, что большая часть судебной практики, которая приводится в качестве иллюстрации к данному вопросу, исходит из США и некоторых стран Западной Европы, Россия может в недалеком будущем присоединиться к числу стран с жестким законодательством в области высоких технологий. И если сегодня дела вокруг неправомерного использования Интернет носят в основном прецедентный характер, то вполне можно предположить радикальное изменение ситуации уже в ближайшие несколько лет.

Вопросы безопасности должны занимать ключевое место

Давно уже говорилось, что даже самый современный межсетевой экран не сможет спасти от случайного или преднамеренного раскрытия своего пароля сотрудником компании. Статистика убеждает нас в том, что большая часть напастей в области безопасности компьютерных систем возникает в результате халатного отношения к соблюдению элементарных правил безопасности.

Следует также иметь в виду, что Ваша сеть может пострадать даже в результате действий самого добропорядочного сотрудника, который случайно «подцепил» вирус из Интернета. Если Вы планируете использование антивирусного программного обеспечения (а это настоятельно рекомендуется сделать!), то следует предупредить пользователей о том, что все без исключения соединения с Интернет-серверами будут проверяться на наличие вирусов. Немаловажно также исключить подключение пользователей по модему, минуя центральный узел выхода в Интернет. Такие подключения создают опасность куда большую, чем незапертая на ночь входная дверь.

Общие политики аутентификации в Интернете

Хотя пароли легко скомпрометировать, организация может посчитать, что угроза маловероятна, что восстановление после инцидента будет несложным и что инцидент не затронет критические системы (на которых могут иметься другие механизмы защиты) .

Низкий риск

Требуется аутентификация для доступа к системам организации из Интернета. Минимальным стандартом для аутентификации является использование паролей, как описано в ***.

Средний риск

Доступ к информации класса ХХХ и ее обработка из Интернета (при ее несанкционированной модификации, раскрытии или уничтожении имеет место небольшой ущерб) требует использования паролей, а доступ ко всем остальным видам ресурсов требует использования устойчивой аутентификации.

Доступ в режиме telnet к корпоративным ресурсам из Интернета требует использования устойчивой аутентификации.

Высокий риск

Доступ из Интернета ко всем системам за брандмауэром требует использования устойчивой аутентификации. Доступ к информации ХХХ и ее обработка (при нарушении ее безопасности организация понесет большой ущерб) требует использования постоянной аутентификации.

Политика администрирования паролей

Ниже приведены общие правила работы с паролями, полезные для использования в Интернете:

Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя.

Пароли должны состоять как минимум из 6 символов (не должны быть именами или известными фразами). Должно производиться периодическое тестирование специальными программами на предмет выявления угадываемых паролей (в этих программах должен быть набор правил по генерации угадываемых паролей) .

Пароли должны держаться в тайне, то есть не должны сообщаться другим людям, не должны вставляться в тексты программ, и не должны записываться на бумагу.

Пароли должны меняться каждый 90 дней(ил через другой период). Большинство систем могут заставить принудительно поменять пароль через определенное время и предотвратить использование того же самого или угадываемого пароля.

Бюджеты пользователей должны быть заморожены после 3 неудачных попыток входа в систему. Все случаи неверно введенных паролей должны быть записаны в системный журнал, чтобы потом можно было предпринять действия.

Сеансы пользователей с сервером должны блокироваться после 15-минутной неактивности (или другого указанного периода). Для возобновления сеанса должен снова требоваться ввод пароля.

При успешном входе в систему должны отображаться дата и время последнего входа в систему.

Бюджеты пользователей должны блокироваться после определенного времени неиспользования.

Для систем с высоким уровнем риска:

После некоторого числа попыток НСД система должна подавать сигнал тревоги и при возможности имитировать сеанс (выдавать ложные сообщения сервера) для пользователя, который делает эти попытки (чтобы он оставался подключенным к системе пока администратор безопасности пытается выяснить его местоположение))

Контроль за импортом программ

Данные на компьютерах редко бывают статичными. Принимаются новые электронные письма. Новые программы загружаются с дискет, CD-ROMов, или с серверов сети. Интерактивные веб-программы загружают выполняемые файлы, которые выполняются на компьютере. Любое изменение несет в себе риск заражения вирусами, разрушения конфигурации компьютера, или нарушения лицензий на использование программ. Организациям нужно защищаться с помощью различных механизмов в зависимости от уязвимости к этим рискам.

Контроль за импортом программ позволяет организации решить следующие задачи:

* Защита от вирусов и троянских коней(РПС), их обнаружение и удаление

* Контроль за интерактивными программами(Java, Active X)

* Контроль за соблюдением лицензий на программы

Каждая задача может быть классифицирована по следующим критериям:

* Контроль - кто является инициатором процесса, и как можно определить, что была импортирована программа

* Тип угрозы - выполняемая программа, макрос, апплет, нарушение лицензионного соглашения

* Контрмеры - проверка на вирусы, отключение сервиса, изменение прав по доступу, аудирование, удаление

При импорте программ на компьютере и их запуске на нем имеется риск, что эти программы обладают дополнительной функциональностью или их реальные функции отличаются от заявленных. Импорт может происходить в форме непосредственного действия пользователя или являться побочным эффектом других действий и не быть заметен. Примерами явного импорта являются:

* Передача файлов - использование FTP для переноса файла на компьютер.

* Чтение электронной почты - чтение сообщения, загруженного на компьютер, или использование внешней программы (например, MS Word) для чтения приложений к письму.

* Загрузка программ с дискеты или по сети

Примерами скрытого импорта является чтение веб-страницы, загружающей Java-апплет на ваш компьютер или открытие файла, зараженного макро-вирусом.

Пример концепции использования Интернет-ресурсов

Концепция использования Интернет-ресурсов на рабочем месте относится ко всем сотрудникам компании, а также ко всем лицам, которым предоставляется доступ к корпоративным ресурсам (к коим относится и Интернет-доступ).

Общие принципы

Использование Интернет-доступа сотрудниками компании разрешается и поощряется в тех случаях, когда работа с Интернет-ресурсами служит достижению целей, определенных должностными обязанностями. Интернет-доступ должен использоваться в соответствии с корпоративными правилами, принятыми в компании.

* Корпоративные ящики электронной почты, пароли для получения доступа к Интернет, а также иным серверам или веб-страницам, не должны использоваться ни для чего иного, как для выполнения задач, непосредственно связанных со сферой деятельности компании.

* Работа в локальной сети и/или Интернет, а также с электронной почтой могут инспектироваться и проверяться на допустимость с целью обеспечения безопасности и проверки исполнения положения данной концепции. Также пользователи могут быть ограничены в использовании Интернет-ресурсов и/или электронной почты.

* Распространение какой-либо информации через Интернет, любые информационные службы, электронную почту и пр. должно быть согласовано и утверждено вышестоящим руководством.

* Любые действия, произведенные на компьютере в Интернет, должны соответствовать законам Российской Федерации. Нарушение этих законов может повлечь за собой возбуждение гражданского или уголовного дела.

Пользователям запрещается:

Интернет

* Посещать Интернет-ресурсы, публикующие непристойные материалы, а также любые другие материалы, противоречащие общепринятым нормам морали и этики.

* Создавать и публиковать какие-либо замечания, предложения или материалы на Интернет-ресурсах.

Электронная почта

* Запрашивать получение любых электронных сообщений, которые не имеют отношения к выполняемым на работе задачам.

* Получать или отправлять любые материалы по электронной почте, которые могут противоречить общепринятым нормам морали и этики, а также потенциально могут раздражать получателя данных материалов.

* Представлять в переписке личное мнение, как официальную точку зрения компании.

Конфиденциальность

* Принимать или отсылать коммерческое программное обеспечение или любые другие материалы, находящиеся под защитой закона об охране авторских и смежных прав.

* Распространять или публиковать конфиденциальную информацию, которая включает в себя (но не ограничена следующим списком): финансовую информацию, новые бизнес- или технологические идеи, маркетинговые стратегии или планы, базы данных, списки клиентов, техническая информация о выпускаемой продукции, исходные тексты компьютерных программ, коды доступа к компьютерам и сетям, информацию о бизнес- отношениях с партнерами.

* Отсылать конфиденциальные письма без соответствующей шифрации.

Безопасность

* Загружать любое программное обеспечение или электронные файлы без предварительной проверки на наличие вирусов теми средствами, которые были утверждены в качестве применяемых на предприятии.

* Намеренно ухудшать условия работы локальной сети путем запуска компьютерных вредоносных программ или создания большой нагрузки на сеть.

* Просматривать, изменять или использовать компьютерные файлы и пароли доступа других лиц без предварительной договоренности и уведомления администрации.

Общие положения

* Осуществлять любые другие не принятые в культурном обществе действия, а также те действия, которые могут потенциально причинить моральный или материальный ущерб компании.

* Тратить рабочее время на посещение веб-сайтов в личных целях.

Порядок выполнения работы

1. Изучить теоретическую часть по приведенным выше данным и дополнительной литературе.

2. Разбейтесь на группы 2-3 человека. Выберите тип учреждения, для которого будете разрабатывать политику:

Вариант 1 - школа.

Вариант 2 - университет.

Вариант 3 - коммерческая организация.

Вариант 4 - гос. учреждение.

Вариант 5 - банк.

Вариант 6 - рекламная компания.

Вариант 7 - IT - компания.

Вариант 8 - проектная компания.

3. Разработайте схему политики. Для этого определите:

* цели политики безопасности;

* основные принципы;

* на кого будет распространяться эта политика;

* что сотрудникам разрешено, а что запрещено;

* рекомендации для сотрудников.

4. Сделайте выводы о работе и о необходимости (или ненужности) политики безопасности в данном учреждении.

5. Ваша политика должна отвечать на следующие вопросы

- Насколько возможно использование Интернет в личных целях?

- Ограничивать ли работу в Интернет в нерабочее (неучебное) время?

- Как решаются вопросы конфиденциальности корпоративной информации?

- Какое место занимают вопросы безопасности в вашей политике?

- На кого распространяется эта политика?

- Какие права оставляет за собой компания?

- Какие юридические аспекты необходимо учитывать?

ПОРЯДОК ОФОРМЛЕНИЯ РЕЗУЛЬТАТОВ

1. Оформите отчет по выполненной работе в редакторе WORD.

2. Подготовьте ответ на контрольные вопросы.

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Назовите три раздела, которые должны присутствовать в каждой политике или процедуре.

2. Что определяет политика безопасности?

3. Должна ли политика безопасности определять конкретные требования реализации для каждого типа систем внутри самой политики?

4. Почему в политику безопасности включают отказы от защиты?

5. Что должна определять политика использования компьютеров?

6. Рекомендуется ли разрешать неограниченное использование компьютеров?

7. Для каких лиц должны указываться требования, содержащиеся в процедурах управления пользователями?

8. Когда сотрудник переходит с одной должности на другую внутри организации, кто должен нести ответственность за уведомление системных администраторов о необходимости изменения профиля доступа данного сотрудника?

9. Назовите четыре ключевых раздела методологии разработки.

Размещено на Allbest.ru

...