Периодический пересмотр документов правил
Определенных рекомендаций по поводу того, как часто нужно пересматривать правила, не существует. В период сотрудничества автора с различными организациями он советовал, чтобы пересмотр производился с периодичностью от шести месяцев до одного года. Шести месяцев вполне достаточно, чтобы выявить факты, требующие корректировки правил. Однако кое-кто считает, что для этого требуется больший период времени. Если период пересмотра больше года, то могут возникнуть проблемы застоя – постепенное пренебрежение соблюдением правил и, в конце концов, полное их игнорирование.
Определение модели безопасности
Когда администраторы внедряют и контролируют правила, они могут обнаружить, что при одних и тех же обстоятельствах поступают заявки на выполнение операций в обход правил, или во время проверок регистрационных журналов выявляются факты многократных попыток нарушить правила безопасности. Существует много способов выявить и систематизировать факты и составить модель пересмотра правил по разрешенным отказам от правил, по регистрационным журналам и отчетам о нарушениях. В некоторые коммерческие пакеты, такие как системы обнаружения вторжений, включены дополнительные модули статистического анализа, которые могут помочь при решении этих задач. Другие системы типа универсальных вычислительных машин предоставляют эти средства анализа в виде утилит операционных систем.
Однако автоматизированных средств может оказаться недостаточно. Администраторам будет необходимо проводить обследование и руководствоваться интуицией для определения модели пересмотра правил, которые зависят от знания модели функционирования вашей сети. Например, в среде UNIX нередко бывают попытки зарегистрироваться в качестве основного пользователя или "суперпользователя". Несмотря на то, что эти попытки могут осуществляться различными пользователями, оказалось, что они делались с одного терминала или с одной и той же удаленной системы в этой сети. Рассмотрев такую модель можно сделать вывод, что была попытка взлома системы, проведенная с другой, уже взломанной системы. Однако, если удаленная система используется, в основном, разработчиками организации, то они могли бы попытаться провести ее диагностику и устранить проблему.
В результате такого анализа может быть разработано правило, разрешающее присваивать разработчикам право суперпользователя или предоставлять им право суперпользователя при необходимости. Однако, единственный путь прийти к такому решению – сопоставить факты нарушений с принципами работы систем или сети.
В организациях, в которых только начинают разрабатывать свою политику, беспокоятся о том, смогут ли эти правила стать фундаментом для серьезной программы защиты информации. Таким организациям рекомендуется пересматривать правила каждые шесть месяцев в течение нескольких первых лет. Побочный эффект этого процесса заключается в том, что не нужно будет включать эти сроки в правило пересмотра. Изменения в правила могут не вноситься после очередного пересмотра, а будут внесены при следующем пересмотре, если те, кто проводил пересмотр, решат, что правила достаточно стабильны и могут не корректироваться более длительный период. Чтобы утвердить процесс пересмотра, достаточно включить в правила такую упрощенную формулировку.
— Регулярная проверка качества ссылок по более чем 100 показателям и ежедневный пересчет показателей качества проекта.
— Все известные форматы ссылок: арендные ссылки, вечные ссылки, публикации (упоминания, мнения, отзывы, статьи, пресс-релизы).
— SeoHammer покажет, где рост или падение, а также запросы, на которые нужно обратить внимание.
SeoHammer еще предоставляет технологию Буст, она ускоряет продвижение в десятки раз, а первые результаты появляются уже в течение первых 7 дней. Зарегистрироваться и Начать продвижение
Правила информационной безопасности должны пересматриваться каждые шесть месяцев.
Как нам всем хорошо известно, сети и компьютеры в руках человека могут вести себя непредсказуемо. Даже самые лучшие разработчики правил могут что-то упустить, потому что невозможно предвидеть все проблемы, которые могут возникнуть в системах. Положения о применении санкций и о разрешенном нарушении правил должны обеспечить защиту сети и в то же время разрешить определенную свободу действий, так как неизбежно, что что-то может случиться, и случается, что не учтено принятыми правилами. Возьмем пример: небольшая организация, которая занимается продажей новейшей популярной продукции, установила партнерские отношения с другой организацией. Согласно договору обе организации будут делиться информацией друг с другом для распространения продукции. В пунктах соглашения указано, что обе организации должны совместно пользоваться информацией посредством виртуальной частной сети (VPN). Однако одна из организаций не предусмотрела возможность использования такой схемы работы и не располагает правилами работы с VPX.
В случае частых изменений производственного процесса некоторые организации оказываются перед необходимостью вводить правило разрешенных нарушений или отклонений (см. главу 3 "Обязанности в области информационной безопасности"). "Разрешенное нарушение" представляет собой соглашение, подписанное ответственным за данные или технологию лицом, в котором говорится, что безопасная работа будет базироваться на отдельных отклонениях от существующих правил, описанных в новом документе. В вышеописанном примере в этом "разрешенном нарушении" может быть указано, что подключение к VPN будет произведено так же, как и подключение к Internet с некоторыми дополнительными ограничениями. Другой способ заключается в разработке правила, в котором будет положение о возможности проведения внерегламентного пересмотра правил, когда необходимо добавить или откорректировать некоторые правила в случае аварийных ситуаций. Формулировка может выглядеть следующим образом.
— Разгрузит мастера, специалиста или компанию;
— Позволит гибко управлять расписанием и загрузкой;
— Разошлет оповещения о новых услугах или акциях;
— Позволит принять оплату на карту/кошелек/счет;
— Позволит записываться на групповые и персональные посещения;
— Поможет получить от клиента отзывы о визите к вам;
— Включает в себя сервис чаевых.
Для новых пользователей первый месяц бесплатно. Зарегистрироваться в сервисе
Руководство должно сформировать временную комиссию для разработки, обновления или пересмотра правил на тот случай, если необходимо внести значительные изменения, не дожидаясь планового пересмотра правил.