ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Требования к безопасности зависят не только от пожеланий руководства компании, они могут быть продиктованы уголовным и гражданским законодательством в конкретной области юрисдикции. Если сфера деятельности компании регулируется государством, или информация в ее сети подпадает под действие законов по обеспечению секретности, или же договоры компании запрещают раскрытие информации в сети компании, то эти юридические факторы должны учитываться при разработке политик безопасности. Важно обеспечить защиту вашей компании от обязательств, которые она должна будет понести в случае, если ее сотрудники или третьи лица, использующие ее сеть, нарушат законы. Поэтому очень важно, чтобы в комиссию по разработке политики безопасности входил один или несколько юристов, хорошо знакомых с соответствующим законодательством (например, с законом о защите информации Data Protection Act в Великобритании, законом об авторских правах Digital Millenium Copyright Act в США) и осведомленных об условиях договоров компании с ее партнерами, поставщиками, клиентами и т. д. Оценка факторов стоимости Наконец, оценка потребностей в обеспечении безопасности должна учитывать денежную стоимость обеспечения повышенных мер безопасности. Определение доступных средств для модернизации системы безопасности заставит комиссию по разработке политик провести различие между потребностями и желаниями организации в обеспечении безопасности. При этом полезным может оказаться количественный анализ риска, поскольку для определения соотношения цена/польза он основывается на поддающихся контролю данных. Фактор стоимости также может заставить комиссию расставить приоритеты различных потребностей в безопасности так, чтобы основное внимание уделялось угрозам, имеющим наибольшую вероятность, чтобы наиболее важные данные: были защищены и чтобы прежде всего была обеспечена защита наиболее явных слабых мест в системе защиты. Оценка решений по обеспечению безопасности После того, как компания определила и закрепила в документах свои потребности в безопасности и установила рабочий бюджет для реализации этих потребностей, можно оценить решения и определить, какое или какие из них удовле творя ют эти потребности с учетом имеющегося бюджета. Решения в области обеспечения сетевой безопасности можно в общем разделить на три обширные категории: решения, основанные на политиках, аппаратные решения и программные решения. Решения, основанные на политиках Большинство мер по обеспечению безопасности, основанных на аппаратном и программном обеспечении, включают в себя политики и указания по их применению, но есть и много мер по обеспечению безопасности, состоящих только из политик. Например:
¦ политики, которые обязывают пользователей блокировать свои рабочие стан
¦ политики, которые обязывают пользователей получать разрешение, прежде чем
¦ политики, которые запрещают пользователям разрешать третьим лицам пользо ваться их компьютером после того, как они выполнили его загрузку. Разумеется, во многих случаях политики накладываются и при использовании программных и аппаратных средств защиты. Например, политика, запрещающая пользователям выключать компьютер, может быть наложена с помощью настройки групповой политики (Group Policy) в объекте политики локальной безопасности (Local Security policy object). Политика, требующая, чтобы пользователи меняли свои пароли каждые 30 дней, может быть создана, если настроить срок действия паролей.