Читаем Политики безопасности компании при работе в Интернет полностью

Общей особенностью современных систем управления политиками безопасности является возможность оперативно создавать высоуровневые и низкоуровневые политики безопасности, распространять эти политики сотрудникам компании и ослеживать факты ознакомления и согласия с политиками. Далее рассмотрим возможности современных инструментальных систем управления политиками безопасности на примере решений Bindview Policy Operations Center (РОС), NetlQ VigilEnt Policy Center (VPC), Zequel Dynamic Policy. Сводные характеристики указанных систем управления политиками безопасности представлены в табл. 3.6 и 3.7.

Таблица 3.6. Характеристики систем управления политиками безопасности

Таблица 3.7. Оценка возможностей систем управления политиками безопасности

3.7.1 Bindview Policy Operations Center

Основное отличие Policy Operations Center Bindview Corp. (www.bindview.com) от других систем управления политиками безопасности заключается в том, что Bindview РОС по существу является удаленным сервисом компании Bindview. В качестве библиотеки шаблонов политик безопасности используется разработка компании Meta Security Group. Уникальной особенностью системы является встроенная возможность анализа защищенности корпоративной информационной системы (vulnerability reporting). Однако в целом названная система уступает по функциональным возможностям NetlQ, VigilEnt Policy Center (VPC) и DynamicPolicy. Особенно это заметно при создании и внедрении политик безопасности, а также соответствующих тестов для проверки знаний сотрудников компании.

Как сервис Bindview РОС не требует каких-либо затрат на серверное оборудование. Но поскольку продукт работает удаленно, нет возможности подключить к нему корпоративную службу каталога, однако пользователи могут быть импортированы через текстовый файл. Для безопасного удаленного доступа к серверу может использоваться протокол SSL (128-bit encryption). Пользовательский интерфейс РОС наиболее развит из всех продуктов. РОС отображает, в каком статусе находится политика безопасности – в черновом варианте, на согласовании, на утверждении или уже утверждена.

Для создания политики безопасности используется мастер (wizard), который позволяет выбрать подходящий способ создания политики безопасности – наследование примера политики безопасности или загрузка готовой политики.

После подготовки на своем компьютере черновой версии политики безопасности уполномоченное лицо производит загрузку политики на сервер. После импортирования политика безопасности получает новый номер версии, при этом старая версия политики архивируется. При необходимости сотрудники, согласующие политики безопасности, могут обращаться к предыдущим версиям политики безопасности.

3.7.2. Zequel Technologies DynamicPolicy

DynamicPolicy функционирует под управлением Windows 2000 Server (с поддержкой SMTP) на платформе Pentium IV (с минимальным объемом ОЗУ 512 Мб) и поставляется с собственным Web-сервером (Apache 1.3.27 и РНР 4.3.1). После установки DynamicPolicy для запуска и остановки Apache и MySQL используется специальный скрипт.

Текущая версия Zequel Technologies DynamicPolicy (www.zequel.com) по своей функциональности не уступает РОС и VPC. Эта система управления политиками безопасности позволяет импортировать и экспортировать примеры политик безопасности, в частности политики безопасности стандартов ISO 17799 и SOX. Далее становится возможным разрабатывать свои собственные, оригинальные политики безопасности. При этом пользовательский интерфейс DynamicPolicy достаточно сложен и может вызвать определенные трудности на начальном этапе изучения системы.

DynamicPolicy позволяет определить группы пользователей с определенными ролями, например для согласования или утверждения политик безопасности. При согласовании политик безопасности имеется возможность ограничить для отдельных сотрудников просмотр комментариев и замечаний других сотрудников, а также проводить закрытые обсуждения политик безопасности.

DynamicPolicy не поставляется с примерами тестов для проверки качества понимания соответствующей политики, однако при необходимости эти тесты можно создать. Например, можно создать тест из 10 вопросов (максимально 100), используя смешанный выбор – многовариантный выбор или ответ «да/нет», а также установить процент правильных ответов для прохождения теста (например, 100 %). После связывания теста с политикой безопасности пользователь не может указать на то, что ознакомлен с политикой до тех пор, пока не сдаст тест и не наберет требуемого процента правильных ответов. При этом его начальник имеет возможность получить отчет по не сдавшим к определенному моменту времени тест пользователям и, соответственно, не способным нести ответственность за нарушение политики безопасности. Формально это может являться причиной для отклонения прав доступа сотрудника к работе с определенными данными и приложениями компании и даже понижения формы допуска в целом.

3.7.3. NetlQ VigilEnt Policy Center