Рисунок 4.1- Навчання користувачів

Всі користувачі, адміністратори і керівники підрозділів, що мають доступ до Інтернету, повинні пройти початковий інструктаж в області безпеки і періодично проходити його знову. Навчання досвідчених користувачів повинне бути, в основному, зосереджено на питанні допустимого використання Інтернету. Наприклад, чому організація ухвалила рішення заборонити прийом певних груп новин USENET. Чому особисті листи, в заголовку яких вказаний поштовий домен організації, відбиваються на репутації, незалежно від того, використовувалася фраза про те, що точка зору, виражена в листі, - це особиста думка чи ні. Деякі користувачі, що закінчили університет, можуть випробувати шок при доведенні

до них таких вимог. Повинен бути зроблений упор на ролях і їх відповідальності,

крім технічних проблем безпеки. Технічних фахівців треба навчати їх обов'язкам

при реалізації технічних сторін політики на їх системах і мережах, як це описано в пункті 5.6.

Користувачі, які вже щось знають, повинні навчатися способам використання Інтернету. Вони можуть бути досить добре знайомі з BBS, і повинні бути проінформовані, що їх листи тепер розповсюджуватимуться по всьому світу, а не тільки в США або серед невеликої групи користувачів. Ці користувачі

повинні бути обачні - перед тим, як написати лист, слід спочатку подивитися, про що пишуть в даній групі новин. Вони не повинні завантажувати програми або підписуватися на інформацію, поки не розумітимуть наслідків своїх вчинків - вони можуть піддати організацію ризику.

А інших користувачів, які більш просунуті, ніж останні, треба учити, як стати досвідченішим користувачем Інтернету, крім навчання допустимому використанню Інтернету, відповідальності при роботі в нім і технічних питань безпеки.

Безграмотним же користувачам потрібно пояснювати все. Вони повинні дізнатися, що таке Інтернет, які види сервісів він надає, хто є його користувачами, і як встановити з ним з'єднання. Вони повинні дізнатися про групи новин і списки розсилки в Інтернеті, пошукових системах і етиці в Інтернеті. Крім того, вони

повинні дізнатися все те, що вивчають більш грамотні користувачі.

Навчання безпеки в Інтернеті - низький ризик

Організація повинна проводити періодичне навчання в області безпеки всіх керівників, операторів і кінцевих користувачів так, як це описано в політиці організації. Таке навчання повинне доповнюватися доведенням нових проблем з безпекою, що постійно виникають в Інтернеті. Користувачам рекомендується проглядати списки розсилки, пов'язані з безпекою, щоб бути в курсі всіх проблем і технологій і знати всі новини, що повідомляються відділом інформаційної безпеки.

Навчання безпеки в Інтернеті - середній ризик

У організації повинна бути достатньо ліберальна політика відносно використання Інтернету, але досвідчені користувачі повинні підвищувати свій рівень відносно ефективного використання Інтернету і рисок, пов'язаних з ним. Слід додати приведені нижче положення тим, що вказані для організації з низьким ризиком.

Навчання безпеки в Інтернеті повинне включати проведення як комплексних, так і індивідуальних занять з фахівцями центрів з навчання безпеки, коротке доведення інформації про новини і радих з використання, а також інше необхідне навчання, як це прийнято в організації. . При навчанні обов'язково повинні бути вивчені наступні питання - використання брандмауерів, завантаження інформації і програм, проблеми, пов'язані з аплетами, електронною поштою, списками розсилки, домашніми сторінками, браузерами, шифрування.

Адміністратори брандмауера і ЛВС, а також технічний персонал мереж, підключених до Інтернету, повинні пройти курс навчання в області контролю за безпекою в мережі, достоїнств і недоліків різних підходів, можливих видів атак, мережевої архітектури і питань, пов'язаних з політикою безпеки.

Системні і мережеві адміністратори повинні пройти повний курс навчання в області адміністрування брандмауерів.

Деякі засоби сканування (наприклад, pingall, SATAN) стали обов'язковим елементом при проведенні контролю захищеності мережі для виявлення активних систем, їх IP-адресов, параметрів конфігурації і так далі Крім того, для виявлення вразливих місць в системах украй корисні як безкоштовні, так і комерційні засоби

наприклад, SATAN, ISS, NETProbe, PINGWARE, COPS, Tripwire і ін.). Всі мережеві і системні адміністратори повинні уміти їх використовувати. Вони також повинні знати поточне полягання справ в цій області безпеки.

Нові користувачі повинні пройти ввідний курс навчання роботі в Інтернеті, який включає серйозний відробіток практичних навиків і огляд проблем безпеки. Всі користувачі повинні розписатися в журналі проведення інструктажів по використанню Інтернету.

Навчання безпеки в Інтернеті - високий ризик

Організація повинна прагнути підвищити доступність Інтернету для своїх співробітників, але робити це консервативним методом і лише після навчання користувачів в області правил безпеки при використанні Інтернету.

6. ПОЛІТИКА БЕЗПЕКИ БРАНДМАУЕРІВ

6.1. Основи і мета

Багато організацій приєднали або хочуть приєднати свої локальні мережі до Інтернету, щоб їх користувачі мали легкий доступ до сервісів Інтернету. Оскільки Інтернет в цілому не є безпечним, машини в цих ЛВС уразливі до неавторизованого використання і зовнішніх атак. Брандмауер - це засіб захисту, який можна використовувати для управління доступом між надійною мережею і менш надійною. Брандмауер - це не одна компнента, а стратегія захисту ресурсів організації, доступних з Інтернету. Брандмауер виконує роль варти між небезпечним Інтернетом і надійнішими внутрішніми мережами.

Основна функція брандмауера - централізація управління доступом.