Организация этого документа
Этот документ организован в виде семти частей, помимо введения.
Как правило, каждая часть рассматривает проблемы, которые организация может захотеть учесть при выработке ПРД к компьютерам и определении СРД, реализующей эти ПРД. В некоторых случаях также приводятся возможные варианты решений. Насколько это возможно, данный документ не пытается диктовать, какой вариант нужно выбрать, так как это зависит от местных условий. Некоторые из этих проблем могут быть неактуальны для всех организаций. Тем не менее, всем организациям нужно по крайней мере учитывать эти проблемы, чтобы быть уверенным, что они не пропустили какой-либо важной области.
В целом этот документ направлен на рассмотрение организационных проблем, появляющихся как следствие проблем, возникающих при разработке СРД, реализующей ПРД.
рассматривает выработку официальных ПРД организации доступа к вычислительным ресурсам. Он также детально изучает вопрос о последствиях нарушения этих ПРД. Избранные ПРД во-многом определят то, как будет реализовываться СРД, поэтому ЛПР надо сделать выбор в области ПРД перед тем, как решать процедурные вопросы, описанные в следующих разделах. Ключевым при выработке ПРД является определение оценки риска, которая позволит решить, что же на самом деле нужно защищать, и какие ресурсы должны использоваться для организации защиты.
Как только ПРД определены, нужно выработать СРД для предотвращения проблем с защитой в будущем. определяет и предлагает что делать, если возникли подозрения о том, что осуществляется несанкционированный доступ. Также рассматриваются ресурсы, позволяющие закрыть бреши в защите.
рассматривает типы мер безопасности, предотвращающих возникновение проблем с секретностью.
Предотвращение - главное в защите; например, Группа компьютерной защиты (CERT/CC) в университете Карнеги-Меллона считает, что более 80% проблем, с которыми им пришлось столкнуться, возникли из-за плохо выбранных паролей.
рассматривает улаживание инцидентов: с какими проблемами столкнется организация, когда кто-то нарушит ПРД. Конечно, многие решения нужно будет принять тогда, когда произойдет инцидент, но многое можно учесть и решить наперед. По крайней мере, ответственность лиц и методы взаимодействия между ними должны быть установлены до инцидента. И опять, на решения всех этих вопросов повлияет выбор политики, описанный в разделе 2.
обсуждает вопрос о том, что должно делаться после того, как инцидент с защитой улажен. Планирование секретности имеет циклический характер; сразу после того, как произошел инцидент, появляется великолепная возможность улучшить ПРД и СРД.
Оставшаяся часть документа содеpжит ссылки и аннотиpованную библиогpафию.
|