Guias por Implementar Padrões - parte 2
Algumas organizações distribuem os documentos eletronicamente, mas
muitos usuários as imprimem antes de ler de qualquer maneira porque eles não gostam de ler texto de telas. Isto ainda faz das diretrizes de papel impresso a forma mais popular. Diretrizes também incluem métodos por alcançar segurança como baseline, revisões , teste de segurança de sistemas , e como usar planos de recuperação empresariais. Alguns guias são tamanho formato manual impresso; outros estão em brochura ou em forma de panfleto. Organizações deveriam os distribuir com a assinatura de algum executivo para expressar ainda um pouco de autoridade e uma mensagem sobre o uso deles/delas em um memorando de cobertura ou carta.
Um exemplo é Diretrizes para Systems de UNIX :Usando as praticas de ferramentas de Segurança Unix do site Unix Security entre outros Métodos. Trata da plataforma de UNIX genérica mas descreve o uso de uma ferramenta de segurança comercial específica. O nome do autor especificamente é identificado, enquanto permitindo para os leitores voltar para a fonte para ajuda adicional. Foi escrito para os administradores de sistemas e administradores de segurança de computador e sistemas UNIX dentro de uma unidade empresarial, ele reconhece mas não tolerara a prática de prover estas duas posições com a mesma pessoa. As referências do autor , os padrões aplicáveis no material de prefácio claramente indica que este documento completa, em lugar de substituir, esses padrões. O autor inclui várias seções dos padrões primários ao término das Diretrizes documenta, endereços , os tópicos de administração, integridade de sistema geral e controle da segurança de rede ,14 padrões de segurança, e workstation e padrões de LAN.
Práticas do SANS Instutue também é outro bom exemplo. O documento aplica a qualquer uma organização que patrocinou as Diretrizes. O documento discute vulnerabilidade de segurança prováveis de acordo com a filosofia expressada por aquela administração de forma que o leitor irá entender as ramificações de várias exposições de segurança. O documento define a terminologia que usa. Por exemplo, deve-se pretender implementar imediatamente; deve-se pretender seguir a ação indicada a menos que haja uma razão significante para fazer caso contrário; e designa meios que um artigo de controle ou prática pode ser opcionalmente usados para aumentam adicionalmente a segurança de sistema. Também inclui seções em terminologia de segurança, responsabilidades de pessoal, segurança física de LANs, auditoria e recuperação de desastre. O Apêndice inclui um checklist de conferencia de avaliação, amostra de tela de advertência , declaração de confidência, e há um índice.
Nenhum comentário:
Postar um comentário