Читаем Политики безопасности компании при работе в Интернет полностью

VigilEnt Policy Center NetlQ, Corp. (www.netiq.com) позволяет управлять жизненным циклом создания и внедрения текстовых политик безопасности в крупных организациях и на предприятиях. Это дает возможность поддерживать политики безопасности компании в актуальном состоянии, легко изменять их и предоставлять к ним доступ целевым группам сотрудников через Web-браузеры. Также Policy Center позволяет проводить проверку осведомленности и определять степень знания политик безопасности отдельных категорий сотрудников компании (см. рис. 3.18 и 3.19).

По сравнению с рассмотренными ранее системами управления политиками безопасности NetlQ VPC обладает наиболее развитыми функциональными возможностями по созданию и внедрению политик безопасности.

VPC была разработана компанией Pentasafe Security Technologies (в 2002 году приобретена компанией NetlQ). VPC работает под управлением Windows 2003/2000 Server, ХР, NT 4 на платформе с CPU от 866 МГц. NetlQ VPC использует СУБД Microsoft SQL Server версии 7 и выше или Oracle версии 9 и выше, а также включает MSDE (Microsoft Data Engine) 1.0.

Установка VPC не вызывает затруднений, продукт устанавливается как сервис и предоставляет Web-интерфейс через стандартные Web-серверы (IIS, Apache, Sun One).

...

...

VPC поддерживает наибольшее количество каталогов пользователей LDAP, Active Directory, NT Domain или Microsoft Exchange (имеется возможность импорта списка пользователей из тестовых файлов).

VPC позволяет назначать стандартные роли – администратор, пользователь и редактор политики безопасности. Имеется возможность гибко распределять полномочия между пользователями для создания отчетов, управления административными задачами, создания и управления документами. Также можно управлять полномочиями по доступу к политикам безопасности на основе списков доступа.

Для редактирования политик безопасности VPC можно использовать HTML-редактор или редактор Microsoft Word.

Чтобы создать новую политику безопасности, необходимо на закладке Policy Center выбрать «Новая политика», затем выбрать шаблон политики безопасности (см. рис. 3.20) из интересующего раздела и, руководствуясь подсказками, заполнить либо изменить определенные секции шаблона политики безопасности. В VPC имеется уникальная возможность использования при разработке политик безопасности библиотеки политик безопасности ISPME (Information Security Policies Made Easy).

...

В настоящее время более 4 тыс. организаций по всему миру используют политики безопасности из библиотеки ISPME. Создателем названной библиотеки является признанный эксперт Чарльз Крейсон Вуд (Charles Cresson Wood), обладающий сертификатами CISA, CISSP и автор более 225 технических публикаций и 5 книг по информационной безопасности. Библиотека политик ISPME содержит более 1 300 примеров политик, разработанных на основе международного стандарта ISO 17799 (BS 7799).

Также в библиотеку политик безопасности входят:

• 802.11 Wireless Ethernet Technical Protection Standard,

• Firewall Technical Protection Standard,

• Internet Information Services (IIS) Technical Protection Standard,

• Internet Protocol (IP) Router Technical Protection Standard,

• UNIX Technical Protection Standard,

• Web Server Technical Protection Standard,

• Novell NetWare Technical Protection Standard,

• Windows 2000 Technical Protection Standard,

• Windows NT 4.0 Technical Protection Standard,

• Windows XP Technical Protection Standard.

Дополнительно могут поставляться шаблоны политик безопасности, специфичные только для США (СЕВА и HIPAA). Имеется также возможность создавать собственные политики безопасности «с нуля» или импортировать готовые политики безопасности. Примеры тестов, поставляемых вместе с VPC, коррелируют с примерами политик безопасности из библиотеки ISPME (см. рис. 3.21). Вопросы тестов связаны с соответствующими положениями из текста политик безопасности.

...

Тесты позволяют оперативно оценить уровень соответствия корпоративной политики безопасности определведомственному акту или стандарту безопасности. Имеется возможность получить метрические оценки состояния безопасности, а также отслеживать динамику изменения этих оценок.

Для фиксации факта ознакомления с политикой безопасности NetlQ, VPC использует ЭЦП. Отчеты, создаваемые VPC, позволяют ознакомиться со списком сотрудников компании, подписавших политику безопасности. Имеется возможность установить различные напоминания для не ознакомленных с нею сотрудников.

Администратор может установить срок действия политики безопасности – после его окончания (по умолчанию 5 лет) сотрудники компании получат уведомление о необходимости пересмотра политики безопасности.