ความปลอดภัยของคอมพิวเตอร์ - นโยบาย

ในบทนี้เราจะอธิบายนโยบายความปลอดภัยซึ่งเป็นพื้นฐานของการรักษาความปลอดภัยสำหรับโครงสร้างพื้นฐานด้านเทคโนโลยีของ บริษัท ของคุณ

ในลักษณะที่เป็นข้อบังคับเกี่ยวกับพฤติกรรมของพนักงานของคุณที่มีต่อการใช้เทคโนโลยีในที่ทำงานซึ่งสามารถลดความเสี่ยงในการถูกแฮ็กข้อมูลรั่วไหลการใช้อินเทอร์เน็ตที่ไม่เหมาะสมและยังช่วยให้มั่นใจได้ว่าจะได้รับการปกป้องทรัพยากรของ บริษัท

ในชีวิตจริงคุณจะสังเกตเห็นว่าพนักงานในองค์กรของคุณมักจะคลิกที่ URL ที่ไม่ดีหรือติดไวรัสหรือไฟล์แนบอีเมลที่มีไวรัส

บทบาทของนโยบายความปลอดภัยในการตั้งค่าโปรโตคอล

ต่อไปนี้เป็นคำแนะนำบางประการที่ช่วยในการตั้งค่าโปรโตคอลสำหรับนโยบายความปลอดภัยขององค์กร

  • ใครควรมีสิทธิ์เข้าถึงระบบ?
  • ควรกำหนดค่าอย่างไร?
  • จะสื่อสารกับบุคคลภายนอกหรือระบบได้อย่างไร?

นโยบายแบ่งออกเป็นสองประเภท -

  • นโยบายผู้ใช้
  • นโยบายไอที

นโยบายผู้ใช้โดยทั่วไปกำหนดขีด จำกัด ของผู้ใช้ที่มีต่อทรัพยากรคอมพิวเตอร์ในที่ทำงาน ตัวอย่างเช่นสิ่งที่พวกเขาได้รับอนุญาตให้ติดตั้งในคอมพิวเตอร์ของพวกเขาหากพวกเขาสามารถใช้ที่เก็บข้อมูลแบบถอดได้

ในขณะที่นโยบายไอทีได้รับการออกแบบมาสำหรับแผนกไอทีเพื่อรักษาความปลอดภัยของขั้นตอนและหน้าที่ของฟิลด์ไอที

  • General Policies- นี่คือนโยบายที่กำหนดสิทธิของเจ้าหน้าที่และระดับการเข้าถึงระบบ โดยทั่วไปจะรวมไว้ในโปรโตคอลการสื่อสารเพื่อเป็นมาตรการป้องกันในกรณีที่เกิดภัยพิบัติ

  • Server Policies- สิ่งนี้กำหนดว่าใครควรมีสิทธิ์เข้าถึงเซิร์ฟเวอร์เฉพาะและมีสิทธิ์อะไรบ้าง ควรติดตั้งซอฟต์แวร์ใดระดับการเข้าถึงอินเทอร์เน็ตควรปรับปรุงอย่างไร

  • Firewall Access and Configuration Policies- กำหนดว่าใครควรเข้าถึงไฟร์วอลล์และประเภทของการเข้าถึงเช่นการตรวจสอบการเปลี่ยนแปลงกฎ พอร์ตและบริการใดที่ควรได้รับอนุญาตและควรเป็นขาเข้าหรือขาออก

  • Backup Policies - กำหนดว่าใครเป็นผู้รับผิดชอบในการสำรองข้อมูลสิ่งที่ควรสำรองข้อมูลที่ควรสำรองข้อมูลควรเก็บไว้นานเท่าใดและความถี่ของการสำรองข้อมูล

  • VPN Policies- นโยบายเหล่านี้มักจะมาพร้อมกับนโยบายไฟร์วอลล์โดยจะกำหนดผู้ใช้ที่ควรมีการเข้าถึง VPN และมีสิทธิ์อะไรบ้าง สำหรับการเชื่อมต่อระหว่างไซต์กับคู่ค้าจะกำหนดระดับการเข้าถึงของพันธมิตรในเครือข่ายของคุณประเภทของการเข้ารหัสที่จะตั้งค่า

โครงสร้างของนโยบายความปลอดภัย

เมื่อคุณรวบรวมนโยบายการรักษาความปลอดภัยคุณควรคำนึงถึงโครงสร้างพื้นฐานเพื่อให้สิ่งที่ใช้ได้จริง ประเด็นหลักบางประการที่ต้องนำมาพิจารณา ได้แก่ -

  • รายละเอียดนโยบายและการใช้งานสำหรับอะไร?
  • นโยบายนี้ควรนำไปใช้ที่ไหน?
  • หน้าที่และความรับผิดชอบของพนักงานที่ได้รับผลกระทบจากนโยบายนี้
  • ขั้นตอนที่เกี่ยวข้องกับนโยบายนี้
  • ผลที่ตามมาหากนโยบายไม่สอดคล้องกับมาตรฐานของ บริษัท

ประเภทของนโยบาย

ในส่วนนี้เราจะเห็นประเภทนโยบายที่สำคัญที่สุด

  • Permissive Policy - เป็นนโยบายข้อ จำกัด ระดับกลางที่เราในฐานะผู้ดูแลระบบจะปิดกั้นพอร์ตมัลแวร์ที่รู้จักกันดีเพียงบางส่วนเกี่ยวกับการเข้าถึงอินเทอร์เน็ตและมีการพิจารณาหาช่องโหว่บางส่วน

  • Prudent Policy - นี่เป็นนโยบายข้อ จำกัด ระดับสูงที่ทุกอย่างถูกปิดกั้นเกี่ยวกับการเข้าถึงอินเทอร์เน็ตอนุญาตให้มีรายชื่อเว็บไซต์เพียงเล็กน้อยเท่านั้นและขณะนี้อนุญาตให้ติดตั้งบริการพิเศษในคอมพิวเตอร์และบันทึกจะได้รับการดูแลสำหรับผู้ใช้ทุกคน

  • Acceptance User Policy- นโยบายนี้ควบคุมพฤติกรรมของผู้ใช้ที่มีต่อระบบหรือเครือข่ายหรือแม้แต่หน้าเว็บดังนั้นจึงมีการกล่าวอย่างชัดเจนว่าผู้ใช้ทำอะไรได้บ้างและทำไม่ได้ในระบบ พวกเขาได้รับอนุญาตให้แชร์รหัสการเข้าถึงพวกเขาสามารถแบ่งปันทรัพยากร ฯลฯ

  • User Account Policy- นโยบายนี้กำหนดสิ่งที่ผู้ใช้ควรทำเพื่อให้มีหรือรักษาผู้ใช้รายอื่นในระบบเฉพาะ ตัวอย่างเช่นการเข้าถึงหน้าเว็บอีคอมเมิร์ซ ในการสร้างนโยบายนี้คุณควรตอบคำถามเช่น -

    • รหัสผ่านควรซับซ้อนหรือไม่?

    • ผู้ใช้ควรมีอายุเท่าไร?

    • สูงสุดที่อนุญาตพยายามหรือล้มเหลวในการเข้าสู่ระบบ?

    • ผู้ใช้ควรถูกลบเปิดใช้งานบล็อกเมื่อใด

  • Information Protection Policy - นโยบายนี้มีไว้เพื่อควบคุมการเข้าถึงข้อมูลร้อนในการประมวลผลข้อมูลวิธีการจัดเก็บและวิธีการถ่ายโอนข้อมูล

  • Remote Access Policy- นโยบายนี้มีไว้สำหรับ บริษัท ใหญ่เป็นหลักซึ่งผู้ใช้และสาขาของตนอยู่นอกสำนักงานใหญ่ มันบอกว่าผู้ใช้ควรเข้าถึงอะไรเมื่อพวกเขาสามารถทำงานได้และซอฟต์แวร์ใดเช่น SSH, VPN, RDP

  • Firewall Management Policy - นโยบายนี้เกี่ยวข้องกับการจัดการอย่างชัดเจนว่าพอร์ตใดควรถูกบล็อกสิ่งที่ควรอัปเดตวิธีการเปลี่ยนแปลงในไฟร์วอลล์ระยะเวลาที่บันทึกควรเก็บไว้

  • Special Access Policy- นโยบายนี้มีวัตถุประสงค์เพื่อให้ผู้คนอยู่ภายใต้การควบคุมและตรวจสอบสิทธิพิเศษในระบบของพวกเขาและจุดประสงค์ว่าทำไมพวกเขาถึงมี พนักงานเหล่านี้สามารถเป็นผู้นำทีมผู้จัดการผู้จัดการอาวุโสผู้ดูแลระบบและบุคคลที่มีตำแหน่งสูงเช่นนี้

  • Network Policy- นโยบายนี้มีไว้เพื่อ จำกัด การเข้าถึงของทุกคนที่มีต่อทรัพยากรเครือข่ายและระบุให้ชัดเจนว่าใครจะเข้าถึงเครือข่ายทั้งหมด นอกจากนี้ยังจะตรวจสอบว่าบุคคลนั้นควรได้รับการรับรองความถูกต้องหรือไม่ นโยบายนี้ยังรวมถึงประเด็นอื่น ๆ เช่นใครจะเป็นผู้อนุญาตอุปกรณ์ใหม่ที่จะเชื่อมต่อกับเครือข่าย เอกสารการเปลี่ยนแปลงเครือข่าย ตัวกรองเว็บและระดับการเข้าถึง ใครควรมีการเชื่อมต่อไร้สายและประเภทของการตรวจสอบความถูกต้องของเซสชันการเชื่อมต่อ?

  • Email Usage Policy- นี่เป็นหนึ่งในนโยบายที่สำคัญที่สุดที่ควรทำเนื่องจากผู้ใช้จำนวนมากใช้อีเมลงานเพื่อจุดประสงค์ส่วนตัวเช่นกัน ข้อมูลอาจรั่วไหลออกสู่ภายนอกได้ ประเด็นสำคัญบางประการของนโยบายนี้คือพนักงานควรทราบถึงความสำคัญของระบบนี้ที่พวกเขามีสิทธิพิเศษในการใช้ ไม่ควรเปิดไฟล์แนบที่ดูน่าสงสัย ไม่ควรส่งข้อมูลส่วนตัวและข้อมูลลับผ่านอีเมลเข้ารหัสใด ๆ

  • Software Security Policy- นโยบายนี้เกี่ยวข้องกับซอฟต์แวร์ที่ติดตั้งในคอมพิวเตอร์ของผู้ใช้และสิ่งที่ควรมี ประเด็นสำคัญบางประการของนโยบายนี้คือซอฟต์แวร์ของ บริษัท ไม่ควรมอบให้กับบุคคลที่สาม ควรอนุญาตเฉพาะรายการซอฟต์แวร์สีขาวเท่านั้นไม่ควรติดตั้งซอฟต์แวร์อื่นในคอมพิวเตอร์ ไม่ควรอนุญาตให้ใช้แวร์ซและซอฟต์แวร์ละเมิดลิขสิทธิ์