|
Как мы уже
отмечали, политики - это узаконенные спецификации или
операции. Корпоративные политики развертывания беспроводной
сети определяются одной или несколькими руководящими
группами в организации. Среди них может быть юридический
отдел и отдел информационных систем. Эти отделы
устанавливают правила, точки отсчета для внедрения и
развертывания технологий и услуг. В политиках перечисляются
различные ресурсы системы, такие как серверы, приложения,
беспроводные ТД и беспроводные узлы вместе со списком тех,
кто может их использовать и управлять ими. Они определяют
правила доступа и предоставленные привилегии. Более того,
они специфицируют права и ответственности пользователей,
классификацию услуг и минимальные требования безопасности,
такие как пароли, конфигурации компьютеров и другие
спецификации. Они также определяют правила действий в
аварийных ситуациях и процедуры регистрации всей активности
в сети.
При определении политик надо всегда иметь в виду аудиторию,
на которую они рассчитаны. Политики должны быть написаны
ясно, чтобы минимизировать возможность неправильной
интерпретации. Они должны быть четкими и краткими, в них
должно быть ровно столько информации, сколько необходимо -
не больше и не меньше. Очень важно использовать адекватную
политику, избегая любой ценой сложных или неправильных
политик. Если политику трудно понять, ее не менее сложно
будет внедрить и тем более проводить ее аудит. В отличие от
распространенного мнения гораздо хуже иметь плохую политику,
чем не иметь ее совсем. Плохие политики дают компании ложное
ощущение безопасности и часто приводят к повышению
уязвимости. Помните, что лучше создать простую политику,
которую можно понять и донести до каждого, чем создать очень
сложную и детализированную политику, которая будет без
применения пылиться на полке.
Бывают времена, когда политикой становится «статус-кво».
Такие политики часто называются ненаписанными политиками.
Когда это только возможно, старайтесь документировать все
политики и производить аудит на их основе. Помните, что
приемлемая для проводной сети политика совершенно
необязательна для беспроводной сети.
Корпоративные политики безопасности включают в себя
оценки риска внутри организации. Они являются основой для
функционирования системы и поэтому предоставляют базис для
производства аудитов. Политики являются своеобразным
объединяющим звеном в процессе эволюции беспроводных сетей.
Политики должны проверяться при помощи аудитов в каждом
новом варианте сети. Результаты аудита можно найти в
отчетах, которые содержат набор рекомендаций. Затем
рекомендации воплощаются в планах действия по обновлению
сети, что неизбежно сопровождается модернизацией политик.
При определении политики и сопровождающей ее документации
важно стремиться к тому, чтобы политика была динамичной и
адаптивной. Документация должна быть «живой» в том смысле,
что должна отслеживать все перемены в компании и в ее
ИТ-инфраструктуре. |
