нтифікації.
ЕАР зручний при таких видах аутентифікації, як токени (Generic Token Card), одноразові паролі (One Time Password), запит/відповідь (MD5-Challenge) або захист на транспортному рівні (Transport Level Security). Крім того, ця концепція відкрита для застосування кращих технологій аутентифікації в майбутньому. Однак ЕАР використовується не тільки разом з РРР. Він, крім усього, підтримується на канальному рівні стандарту IEEE 802. [23]
Встановлення сервера Сертифікатів і RADIUS-сервера:
Установка проводиться на ОС Ubuntu. Пакети freeradius, openssl і супутні залежності.
3.5 Впровадження організаційних заходів із захисту інформації
Вимоги до політики безпеки:
У політиці безпеки визначаються цілі процесу управління інформаційною безпекою, а також основні етапи функціонування даного процесу.
Політика безпеки призначена для комплексного управління інформаційною безпекою, а також для підтримки в актуальному і ефективному стані систем захисту інформації. У Політиці безпеки описується поділ обов'язків із управління і забезпечення безпеки, а також механізми контролю над виконанням процедур забезпечення та управління безпекою, покладених на співробітників компанії.
Крім цього, присутні основні етапи процесного підходу до забезпечення безпеки. Зокрема, кожне правило політики послідовно проходить етапи життєвого циклу: планування, впровадження, перевірка ефективності, вдосконалення. Важливо відзначити, що ефективний процес управління неможливий без документування всіх процедур, так як правильність і контрольованість виконання процедури залежить від наявності чітко сформульованих правил її виконання.
У політиці безпеки потрібно коротко описати правила, виконання яких є основою забезпечення та управління інформаційною безпекою. Зокрема, слід створити правила, що описують такі процедури, як контроль доступу до інформаційних активів компанії, внесення змін в інформаційну систему, взаємодія з третіми особами, розслідування інцидентів, аудит інформаційної безпеки, забезпечення безперервності ведення бізнесу та інше. В описі правил має даватися чітке визначення, на що це правило поширюється, а також повинні бути описані умови, за яких це правил підлягає виконанню.
У політиці безпеки потрібно описати відповідальність співробітників компанії за забезпечення і управління інформаційною безпекою. Обов'язок забезпечення безпеки покладена на всіх співробітників компанії, а також, відповідно до договору, на сторонніх осіб, які мають доступ до інформаційних активів компанії. Обов'язок управління інформаційною безпекою покладена на керівництво компанії.
Разом із змінами в інформаційній системі компанії, які можуть відбуватися досить часто, потрібно вносити корективи в політику безпеки як документоване відображення основних правил роботи системи управління. Отже, необхідно передбачити можливість перегляду політики безпеки.
Оскільки політика безпеки, по суті, є каркасом, об'єднуючим всі інші документи, що регламентують забезпечення та управління інформаційною безпекою, при описі правил слід вказувати на необхідність створення регламентів та настанов, в яких процес виконання описуваних процедур викладено детально.
Таким чином, в політиці безпеки описуються всі необхідні вимоги, для забезпечення і управління інформаційної безпеки, структура управління безпекою, а також обов'язки і відповідальність за забезпечення безпеки. У результаті проходження політики безпеки і супутнім документам щодо забезпечення та управління безпеки, захищеність інформаційної системи компанії повинна досягти необхідного рівня, співробітники повинні усвідомлювати свою роль і участь у процесі забезпечення безпеки. Проходження правилам дозволить гарантувати, що необхідні інформаційні ресурси будуть доступні в необхідні моменти часу, а зміни в структурі інформаційної системи будуть вноситися тільки уповноваженими співробітниками.
Етапи створення політики безпеки
. Визначити, які об'єкти необхідно захищати і чому. У ролі об'єктів захисту можуть виступати: апаратні засоби, програмне забезпечення, засоби доступу до інформації, люди, внутрішні комунікацій, мережі, телекомунікації і так далі.
. Розробка структури політики безпеки. Політика безпеки повинна бути розбита на логічно самостійніше розділи, кожен з яких присвячений окремому аспекту захисту. Така структура дозволяє простіше розуміти і впроваджувати політику безпеки, а також стає простіше її коригувати. Обов'язково повинен бути присутнім розділ описує відповідальність за порушення правил безпеки. Даний розділ, можливо, слід опрацювати з юристом. Формулюван...
