|
Акт о Компьютерной безопасности 1987 года (P.L.
100-235)устанавливает, что » Каждое агентство должно обеспечить обязательное периодическое обучение в области компьютерной безопасности и правил работы на компьютере, и принимать зачеты по правильности работы на компьютере всех служащих, кто участвует в управлении, использовании, или функционировании каждой Федеральной компьютерной системы, которая находится в зоне ответственности этого агентства». [TODD89] обеспечивает рекомендации по формулированию требований к курсам обучения компьютерной безопасности для разнообразных слушателей, которые должны пройти некоторое обучение в области компьютерной безопасности. Он сосредотачивается на целях обучения, основанных на степени, в которой знание компьютерной безопасности требуется некоторому лицу, поскольку это касается его рабочих функций. Для детального обсуждения и общих рекомендаций по вопросам обучения защите компьютера читателю рекомендуется обратиться к [TODD89]. Чтобы поддерживать безопасность в среде ЛВС, пользователи ЛВС должны получить обучение в определенных областях работы и использования ЛВС. Механизмы защиты, процедуры, и т.д. не могут быть действенными, если они используются неправильно. Ниже приведены списки требований к программам обучения для функционального руководства, администраторов ЛВС и пользователей. Целью обучения для функционального руководства является (1) понимание важности политики безопасности и (2) понимание того, как эта политика должна осуществляться в ЛВС для того, чтобы она была эффективной. Целью обучения для администраторов ЛВС является понимание, как обеспечивается защита ЛВС при ее повседневной работе. Также важно подчеркнуть необходимость эффективных действий по улаживанию инцидента. Целью обучения для пользователей являются (1) осознании роли пользователя в политике безопасности и обязанностей, возлагаемых на него в этой области, (2) обучении использованию служб и механизмов защиты для эффективного поддержания безопасности, и (3) понимании того, как использовать процедуры действий по улаживанию инцидента. Конкретно требования к курсам обучению обсуждаются ниже. Функциональное руководство должно: 1. Понимать важность политики безопасности ЛВС и то, как эта политика влияет на решения, принимаемые относительно защиты ЛВС. Понимать важность определения адекватной степени безопасности для различных типов информации, которой владеет функциональное руководство (или за которые несет ответственность). 2. Понимать, что ЛВС является ценным ресурсом для организации, который требует защиты. Понимать важность обеспечения адекватной защиты (через финансирование, укомплектовывание персоналом, и т.д.). Администраторы ЛВС должны: 1. Понимать во всех аспектах, как работает ЛВС. Быть способны отличать нормальную работу системы от ненормальной работы системы. 2. Понимать роль администратора ЛВС в реализации политики безопасности ЛВС. 3. Понимать, как работают службы и механизмы безопасности. Быть способны распознать неправильное использование механизмов защиты пользователями. 4. Понимать, как надо эффективно использовать возможности по улаживанию инцидентов. Пользователи ЛВС должны: 1. Понимать политику безопасности и обязанности пользователя, проистекающие из нее. Понимать, почему важно поддержание безопасности ЛВС. 2. Понимать, как использовать службы и механизмы защиты, обеспечиваемые ЛВС, чтобы поддерживать безопасность ЛВС и защищать критическую информацию. 3. Понимать, как использовать возможности по улаживанию инцидентов, знать, как сообщать об инциденте, и т.д.. 4. Отличать нормальную работу автоматизированного рабочего места или ПК от неправильной работы. Оставит комментарий |