Политики безопасности компании при работе в Интернет
Шрифт:
– должны поддерживать TACACS+, RADIUS и/или Х.509 с исправлениями безопасности для LDAP везде, где возможно.
использование паролей или ключевых фраз (passphrase) для удаленного доступа сотрудников;
Доступ к сети компании через систему удаленного доступа должен осуществляться с использованием или одноразовых (one-time) паролей, или инфраструктуры открытых ключей.
ключевая фраза (passphrase).
Ключевая фраза применяется для идентификации подлинности пользователя при использовании инфраструктуры открытых ключей. Данная фраза определяет математические отношения между публичным ключом, который известен всем, и секретным ключом, известным только пользователю. Без этой фразы пользователь не может получить доступ к секретному ключу. Ключевая фраза – это не то же самое, что пароль. Ключевая фраза – более длинная версия пароля и поэтому лучше защищена от взлома. Обычно составляется из нескольких слов. Из-за этого ключевая фраза лучше защищена от взлома методом грубой силы (brute-force). Правильно подобранная ключевая фраза достаточно длинная и содержит комбинацию прописных и строчных
Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Учетная запись администратора приложения – любая учетная запись для администрирования приложения (например, администратор базы данных Oracle).
7. Политика оценки рисковЦель
Дать право отделу информационной безопасности проводить периодическую оценку рисков информационной безопасности для определения степени уязвимости и инициирования защитных процессов.Область действия Оценка рисков может быть произведена в отношении любого объекта внутри компании или объекта за ее пределами, если компания имеет соглашения со сторонними организациями. Оценка рисков может быть произведена в отношении любой информационной системы, включая приложения, серверы или сети, любых процессов или процедур, с помощью которых эти системы администрируются и/или поддерживаются.
Суть политики Выполнение, разработка и внедрение мер по уменьшению рисков – обязанность отдела информационной безопасности и отдела, занимающегося поддержкой конкретной системы. Пользователи, ответственные за системы, должны работать совместно с отделом информационной безопасности при проведении оценки рисков и при разработке плана по их уменьшению.
Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Объект – любое подразделение, отдел, группа или третья сторона, внутренние или внешние по отношению к компании, ответственные за поддержание и сохранность ресурсов компании.
Риск – факторы, которые могут нарушать конфиденциальность, целостность или доступность информационных ценностей или систем компании. Отдел информационной безопасности отвечает за поддержание целостности, доступности и конфиденциальности критичной информации и ресурсов и за уменьшение влияния процедур и политик безопасности на производительность компании.
8. Политика безопасности маршрутизатораЦель
Этот документ описывает минимально необходимые настройки безопасности в конфигурации всех маршрутизаторов и коммутаторов, имеющих соединение с корпоративной сетью компании или управляемых специалистами компании в рамках предоставления услуг клиентам.Область действия Затрагивает все маршрутизаторы и коммутаторы, соединяющиеся с корпоративной сетью компании. Не затрагивает маршрутизаторы и коммутаторы во внутренней сети компании и в тестовых лабораториях. Маршрутизаторы и коммутаторы в демилитаризованной зоне относятся к политике оборудования демилитаризованной зоны.
Суть политики
Каждый маршрутизатор должен иметь следующие настройки конфигурации:
• на маршрутизаторе не должны создаваться никакие локальные учетные записи. Маршрутизаторы должны использовать TACACS+ для аутентификации сотрудников;
• ЕпаЫе-пароль на маршрутизаторе должен храниться в зашифрованном виде. Маршрутизатор должен иметь enable-пароль, установленный организацией, поддерживающей маршрутизатор;
• на маршрутизаторе должны быть отключены:
– IP directed broadcast,
– входящие пакеты с недействительными адресами, например из RFC1918,
– TCP small services,
– UDP small services,
– весь source routing,
– Web-сервер маршрутизатора;
• маршрутизаторы должны использовать корпоративную стандартизированную community string SNMP;
• списки контроля доступа добавляются по мере необходимости;
• маршрутизатор должен быть включен в корпоративную систему управления сетью и иметь ответственного за него сотрудника;
• каждый маршрутизатор должен иметь следующее приглашение: «Неправомочный доступ к этому устройству сети запрещен. Вы должны иметь явное разрешение для получения доступа или конфигурирования этого устройства. Все действия, выполненные на этом устройстве, будут зарегистрированы, и нарушения этой политики могут иметь своим следствием дисциплинарные меры, о них может быть сообщено в правоохранительные органы. Конфиденциальность действий на устройстве не гарантируется».Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Производственная сеть – сеть, используемая в ежедневном бизнесе компании.
Лабораторная сеть – любая сеть, используемая для тестирования, демонстраций, обучения и т. д., нарушение функционирования которой не повлияет на производственную сеть.
9. Политика обеспечения безопасности серверовЦель
Установить стандарты конфигураций серверов, находящихся под управлением сотрудников компании. Эффективное выполнение этой политики минимизирует неправомерный доступ к секретам и технологиям компании.Область действия Эта политика охватывает оборудование, находящееся в собственности компании и/или используемое в ее сети. Данная политика предназначена только для оборудования, находящегося во внутренней сети компании. Стандарты по конфигурации оборудования, находящегося в демилитаризованной зоне, приведены в описании политики оборудования демилитаризованной зоны.
Суть политики
Владельцы и обязанности. Все внутренние серверы, развернутые в сети компании, должны быть закреплены за эксплуатационной группой, которая является ответственной за администрирование систем. Стандарты конфигурации серверов устанавливаются и поддерживаются эксплуатационной группой исходя из бизнес-потребностей, одобряются они отделом информационной безопасности. Эксплуатационные группы должны отслеживать соответствие конфигурации стандартам, а в случае необходимости – реализовывать отклонения от стандартов. Каждая эксплуатационная группа определяет процесс изменения стандартов конфигурации, который должен включать в себя анализ изменений и разрешение от отдела информационной безопасности.
Требования отдела информационной безопасности:
• серверы должны быть зарегистрированы в корпоративной системе управления компании. Как минимум, должна иметься следующая информация о сервере: ответственный, местоположение оборудования и ответственный за резервное копирование; производитель оборудования и версия операционной системы; основные функции и приложения;
• информация в корпоративной системе управления компании должна своевременно обновляться;
• изменения в конфигурациях серверов должны соответствовать процедурам управления изменениями.
Основные настройки конфигурации:
• конфигурация операционной системы должна быть произведена в соответствии с установленными отделом информационной безопасности стандартами;
• неиспользуемые сервисы и приложения должны быть отключены/удалены;
• доступ к сервисам должен журналироваться и/или защищаться с использованием методов контроля доступа;
• обновления средств безопасности должны быть установлены сразу после их появления, допустимо единственное исключение, когда приложение не может быть остановлено из-за его критичности;
• доверительные отношения между системами приводят к увеличению рисков безопасности. Не используйте доверительные отношения, если есть другой метод, способный реализовать необходимые задачи;
• необходимо всегда использовать принцип наименьших привилегий;
• не следует использовать администраторскую учетную запись, если можно выполнить задачу с применением непривилегированной учетной записи;
• привилегированный доступ, если это технически возможно, должен осуществляться с помощью SSH или IPSec;
• серверы должны быть физически расположены в помещении с ограниченным доступом;
• запрещается размещать серверы в незащищенных помещениях.Мониторинг. Все связанные с безопасностью события на критических или важных системах регистрируются, и журналы должны храниться следующим образом:
• все связанные с безопасностью события хранятся в офисе как минимум 1 неделю;
• ежедневные инкрементальные резервные копии хранятся в течение 1 месяца;
• еженедельные полные резервные копии журналов хранятся в течение 1 месяца;
• ежемесячные полные резервные копии хранятся как минимум 2 года;
• о событиях, связанных с нарушением безопасности, следует немедленно сообщать в отдел информационной безопасности, который будет проводить анализ и разбор инцидентов. При необходимости будут определены корректирующие меры защиты. События, связанные с нарушением безопасности, включают: сканирование портов, доказательства неправомерного доступа к привилегированным учетным записям, аномальные события, которые не связаны с нормальным функционированием приложений, и т. д.Соглашения:
• аудит будет проводиться регулярно;
• управление проведением аудита возлагается на группу внутреннего аудита или на отдел информационной безопасности, в соответствии с политикой аудита уязвимости. Отдел информационной безопасности обрабатывает полученные данные и затем представляет их в соответствующие группы для проведения корректирующих работ;
• должны быть предприняты все меры по недопущению выхода из строя оборудования или остановки сервисов во время проведения аудита.Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Демилитаризованная зона – часть сети компании, внешняя по отношению к корпоративной сети.
Сервер – в рамках этой политики сервер определяется как внутренний сервер компании. Компьютеры сотрудников и оборудование лабораторий не затрагиваются этой политикой.10. Политика виртуальных частных сетей
Цель Установить стандарты для удаленного доступа к внутренней корпоративной сети через виртуальные частные сети, построенные с использованием IPSec и L2TP.
Область действия Эта политика обязательна для всех сотрудников компании, внешних консультантов, временных и других работников, включая весь персонал сторонних организаций, использующий виртуальные частные сети для доступа в сеть компании. Эта политика применима и к реализации виртуальной частной сети с использованием IPSec-концентратора.