Організація повинна явно вказати ФІО співробітника або відділ, відповідальний за підтримку безпеки з'єднання з Інтернетом. Часто цей обов'язок покладається на мережевого адміністратора, але може бути дана і окремої організації, комп'ютерною безпекою, що професійно займається.

В цьому випадку, мережевий адміністратор і відповідальний за безпеку повинні добре координувати свої дії і відповідальний за безпеку повинен добре розбиратися в технічних деталях протоколів в Інтернеті.

Співробітник або відділ, відповідальний за безпеку в Інтернет, - це людина, відповідальна за безпеку в Інтернеті, може мати великі технічні можливості, що дозволяють йому конфігурувати брандмауер, створювати і видаляти користувачів систем і проглядати системні журнали. За цими діями повинне здійснюватися спостереження за допомогою принципу розділення обов'язків (якщо є декілька мережевих адміністраторів) або шляхом ретельного відбору людини на цю посаду. Незадоволений або такий, що вступив в змову із злочинцями мережевий адміністратор - це дуже велика проблема.

Організації з високим ризиком можуть використовувати наступні політики:

При виборі кандидатур на ключові посади повинен здійснюватися ретельний відбір. Кандидати на такі важливі посади як системний або мережевий адміністратор, співробітник відділу безпеки і інші посади, які вважаються керівництвом організації важливими, повинні пройти ретельний відбір перед тим, як ним будуть даны їх повноваження.

Співробітникам, призначеним на посади системних і мережевих адміністраторів і інші посади, доступ надається послідовно. Іншими словами, новий співробітник, призначений на посаду адміністратора, не отримує всіх повноважень в системі, якщо його робота не вимагає цього. Якщо його обов'язки збільшуються, він отримує більше привілеїв.

Начальники системних і мережевих адміністраторів відповідають за визначення круга їх обов'язків так, щоб адміністратори не мали занадто багато системних і мережевих привілеїв.

На жаль, політику безпеки не завжди дотримують. Для будь-якої з політик, розглянутих в цьому керівництві, організації варто вказати покарання за недотримання політики. Для більшої частини політик карати необхідно тільки тоді, коли порушення є серйозним.

Адміністратор ЛВС може тимчасово блокувати доступ будь-якого користувача, якщо це потрібно для підтримки працездатності комп'ютера або мережі. (Строгіша політика може зажадати отримання дозволу від відповідального за інформаційну безпеку перед блокуванням або розблокуванням доступу).

Допустиме використання

Організаціям необхідно визначити правила допустимого використання Інтернету і WWW, аналогічно тому, як визначаються правила використання службового телефону. Хоча здається, що можна просто сказати щось подібне до наступного "Інтернет може використовуватися тільки для комерційних завдань організації", ця вимога є нездійсненною. Якщо політика не може бути реалізована, то порушення неминучі і політика не зможе бути підставою для застосування до порушників покарань.

Організації з високим рівнем риски, яких не влаштовує варіант періодичного використання Інтернету співробітниками в особистих цілях, можуть ухвалити деяке альтернативне рішення, що доречніше і реалізовується в рамках конкретної організації:

Для використання Інтернету співробітниками повинен використовувати або окремий канал зв'язку, або комутоване підключення у провайдера Інтернету. Машини, испоьзующие цей сервіс, не повинні бути сполучені з внутрішніми мережами і можуть використовуватися періодично відповідно до політики організації відносно допустимого використання Інтернету.

Можуть використовуватися програмні засоби, такі як брандмауер, для блокування доступу до сайтів в Інтернеті, не включених в список дозволених в організації сайтів.

Для організацій з будь-яким рівнем риски деякі види використання з'єднання з Інтернетом повинні бути заборонені у будь-якому випадку.

Такими видами використання є:

· компрометація персональних даних користувачів

· внесення перешкод до роботи комп'ютерів або спотворення програм і даних, що знаходяться на комп'ютерах

· використання комп'ютерних систем і їх ресурсів за призначенням

· надмірне використання ресурсів, які потрібні для роботи організації (люди, пропускна спроможність каналу, процесорний час)

· використання неліцензійних копій програм

· використання комп'ютера для початку атаки на інші комп'ютерні системи

· використання державних, корпоративних або університетських комп'ютерів для особистих цілей або в цілях, для яких вони не призначені

· неавторизоване сканування і зондування, а також інше дослідження вузлів мережі неприпустимим чином

· використання, що приводить до завантаження, вивантаження, модифікації або видалення файлів на інших машинах мережі, на яких такі дії вважаються неавторизованими

Незалежно від типу політики організації в області допустимого використання Інтернету головним чинником, що впливає на поведінку користувачів, є їх навчання. Користувачі повинні бути знати, що вони є складовою частиною репутації організації і використання ними Інтернету впливає на репутацію.

Користувачі повинні знати, що кожні відвідини ними сайтів Інтернету залишає на них сліди, і знати, чому організація залишає за собою право спостерігати за використанням Інтернету. Адміністратори повинні знати про свої обов'язки відносно використовуваних програмно-апаратних засобів (наприклад, для блокування доступу до сайтів, спостереження за роботою) для реалізації прийнятої в організації політики.

Політика використання Інтернету - низький ризик

Інтернет вважається важливою цінністю організації. Користувачам рекомендується використовувати Інтернет і вчитися робити це професійно. За допомогою такого відкритого доступу співробітники повинні краще виконувати свої обов'язки.

Співробітники не повинні використовувати Інтернет для своїх особистих цілей, і не повинні відвідувати шкідливі і порнографічні сайти, а також не повинні діставати доступ або використовувати інформацію, яка вважається образливою. Діяльність співробітників, що порушують це, контролюватиметься і вони будуть покарані, аж до кримінального покарання.

Доступ до Інтернету з комп'ютера, що належить організації або через з'єднання, що належить організації, повинен відповідати вимогам політик, що стосуються допустимого використання