"Человек - самое уязвимое место в системе безопасности.."

Системы управления политиками

Возможности современных систем управления политиками безопасности

Обычно, современные системы управления используют лицензированные каталоги политик безопасности, которые созданы другими предприятиями. Но все политики безопасности созданы на основе международного стандарта BS 7799-1/ISO 17799. Относительно требований стандарта ISO сортируют политики безопасности по функциям.

Особенностью всех современных систем управления политиками есть функция оперативно реализовывать низкоуровневые и высокоуровневые политики безопасности, а так же транслировать такие пользователям предприятия. В таблице 1 показано возможность современных решений POC, VPC, Zequel Dynamic Policy. Характеристика данных систем управления показаны в табл.1 и табл.2.

Таблица 1 — Параметры систем управления политиками безопасности

Blindview Policy Operations Center 5,1 NetiQ Vigiient Policy Center 4 Zequel Dynamic Policy 2,5,9
INFRASTRUCTURE
Server architecture Service Microsoft Windows 2000, XP, NT4 Microsoft Windows 2000
Web browser support Any Internet Explorer 4+, Netscape 7.x Internet Explorer 5.5+
Import local users Y Y Y
Database support Service Microsoft Data Engine, SQL MySQL, Microsoft SQL
Web server included Service Y Y
Multiple languages N N Y
Customizable Interface Y Y Y
Context-sensitive help Y N N
Digital signatures N Y N
Distributed administration Y Y Y
SSL Default Optional Optional
Audit lags for system access N Y N
Advanced password management N Y N
Create users and groups Users Users, groups Users, groups
USER ACCOUNTS
Directory Integration Service Active Directory, LDAP, NTD LDAP, Sun One N
Users cancreate own accounts N Y N
Role-based access to information Y Y Y
Policy-creation editior HTML HTML, Word, VFC HTML
Policy Creation &t; MANAGEMENT
Version tracking Y Y Y
Work flow Y Y Y
Subfolder organization Y Y Y
Search Y Y Y
Export to XML N Y N
Export to PDF N N Y
Export to external security-management app N Vulnerabillity Manager N
User alens to view and review new documents N Y Y
Spellcheck N Y N
Templates GbBA, HIPAA, ISO 17799 GbBA, HIPAA, ISO 17799, SOX ISO 17799, SOX
Create and publish qutz Y Y Y
Create and publish presentation Y N N
Automated vulnerabillity alerts Y Y Y
User incident report form N Y Y
Anonymous incident report form N Y N
Standart reports Y Y Y
Export reports Y Y N
Publishes reports to Web interface Y N N
Price per user (1000 users) 35$ 10$ 29,50$

Таблица 2 — Анализ функций систем управления политиками безопасности

Blindview Policy Operations Center 5,1 NetiQ Vigiient Policy Center 4 Zequel Dynamic Policy 2,5,9
CREATION
Archive (10%) 3,75 4,5 2,5
Convert (10%) 4 4,5 3,5
Edit (10%) 4,5 3,5 3,5
Work flow (10%) 4 4 3,5
Publication (20%) 4 4,5 5
Features (15%) 4,5 3,75 3,75
Implementation reporting (10%) 4,5 3 3,5
Qutzes (5%) 4,5 3,5 4
Price (10%) 5 3 4
Total score (100%) 4,28 3,89 3,61

Пример тестов, на знание политики безопасности предприятия для сотрудников показан на рис.1.

пример теста на знание политики безопасности

Рисунок — 1

Такие тесты разрешают оценить уровень знаний сотрудников о требованиях политики безопасности и возложенной на них ответственности. Администратор может поставить время, через которое сотрудник должен пересмотреть политику безопасности для ознакомление с ее новой версией.