Целевая аудитория. Политика обязательна для следующих сотрудников компании:
• рядовых пользователей сети, выполняющих свои служебные обязанности на рабочих местах;
• специалистов ИТ-службы и службы безопасности, ответственных за эксплуатацию и сопровождение информационной системы, а также за соблюдение политики безопасности;
• менеджеров, ответственных за организацию режима информационной безопасности компании;
• руководства компании, которое стремится обеспечить целостность, конфиденциальность и доступность информационных активов компании в соответствии с целями и задачами бизнеса;
• юристов и аудиторов компании, которые обеспокоены сохранением репутации компании и ответственностью компании перед клиентами и партнерами.Область действия. Политика является частью программы компании по обеспечению безопасности ее информационных активов. Политика определяет допустимые правила доступа сотрудников, клиентов, партнеров и вендоров к открытым и конфиденциальным информационным активам в сети компании.
Юридические права. Совет директоров уполномочен акционерами компании создать, внедрить и поддерживать политику в соответствии с требованиями государственных органов, федерального и международного законодательства. Директор (начальник) службы информационной безопасности и главный юрист компании несут ответственность за реализацию этой политики.
Заинтересованные стороны. Следующий персонал компании несет личную ответственность за создание, поддержку и внедрение политики сетевой безопасности:
• директор по финансам,
• директор по развитию,
• директор службы продаж и маркетинга,
• исполнительный директор, СЕО,
• директор информационной службы, CIO,
• директор службы информационной безопасности, CISO,
• директор по сетям и телекоммуникациям,
• главный менеджер по информационным системам,
• директор службы качества и внутреннего аудита,
• главный юрист компании,
• директор службы персонала,
• директор системной поддержки и сопровождения,
• директор службы разработки приложений.Обязанности системного администратора. Системный администратор сетевого оборудования отвечает за выполнение следующих требований:
• назначение учетной записи отдельным сотрудникам (не группам);
• обеспечение уникальности учетных записей сотрудников и оборудования внутри компании;
• установка обновлений безопасности и сервисных пакетов, рекомендованных отделом информационной безопасности, в соответствии с их уровнем критичности;
• осуществление управления учетными записями и паролями;
• отключение учетных записей при увольнении сотрудников;
• хранение файлов конфигураций сетевых устройств на защищенном TFTP-сервере. Защита конфигураций от разглашения. Использование керберизованного rcp между маршрутизаторами Cisco и сервером TFTP;
• ежедневное исследование файлов журналов. Немедленное оповещение отдела информационной безопасности об инцидентах, связанных с безопасностью. Еженедельная отправка отчетов о небольших нарушениях безопасности (типа многократных неудачных попыток регистрации) в отдел информационной безопасности;
• использование средств управления и контроля сетевой безопасности для поиска «слабых» паролей, сетевых уязвимостей и средств проверки целостности файлов и системных конфигураций (таких, как Cisco IDS, Cisco Netsys, Crack, COPS, Tiger, Tripwire) на постоянной основе.Процедура поддержки политики безопасности. Заинтересованные стороны компании должны просматривать и обновлять политику не реже одного раза в год. Отдел информационных систем под руководством отдела информационной безопасности проводит аудит сети на регулярной основе и документирует результаты проверок.
Процедура реализации. Директор по развитию сетей и телекоммуникаций должен определить точную сетевую топологию и сетевое оборудование компании, в рамках которых будет действовать настоящая политика безопасности.
Для проверки дееспособности политики безопасности проводится аудит после установки и подключения к сети нового сетевого оборудования и компьютеров.
Обучение сотрудников. Ознакомление с политикой осуществляется в ходе первичного инструктажа сотрудников. Сотрудники должны ежегодно перечитывать и подписывать политику допустимого использования как условие продолжения их работы.
Ознакомление сотрудников для предупреждения случаев социальной инженерии. Сотрудники обязаны соблюдать осторожность при общении с людьми, не являющимися сотрудниками компании. Перед началом дискуссии следует определить границы того, что можно сообщить постороннему человеку.
Политика допустимого использования. Политика допустимого использования определяет права и порядок доступа к информационным активам компании, порядок использования разрешенных аппаратно-программных средств, а также права и обязанности сотрудников согласно накладываемым ограничениям со стороны федеральных, законодательных актов и требований руководящих документов.
Допустимое использование сети. Сотрудникам запрещается делать и распространять копии конфигурации сетевого оборудования или серверов, если они не являются системными администраторами.
Сотрудникам запрещается получать или пытаться получить административный доступ к сетевому оборудованию и серверам, если они не являются системными администраторами или если это не входит в их служебные обязанности.
Требования по соответствию. Сотрудники обязаны выполнять все требования этой политики и любых последующих ее версий. Доступ к инфраструктуре компании и ее данным является привилегией, не правом. То есть компания может изменить привилегии доступа сотрудника любым способом в любое время. К сотруднику, нарушившему эту политику, могут быть применены дисциплинарные и административные меры, вплоть до увольнения.
Политика идентификации и аутентификации. Политика идентификации и аутентификации определяет процедурные и технические методы, используемые для идентификации и аутентификации.
Руководство по управлению паролями. Следующие принципы определяют правила выбора пароля:
• пароли, если возможно, должны использовать строчные и прописные буквы, знаки препинания и числа, должны иметь длину как минимум восемь символов;
• изменять пароли следует ежеквартально;
• нельзя записывать пароли;
• нельзя сообщать пароли кому бы то ни было.Руководство по аутентификации. Компания должна использовать защищенную базу учетных записей на основе протокола TACACS+ для аутентификации.
Политика доступа в Интернет. Компания осознает важность доступа сотрудников в Интернет для ведения бизнеса и принимает возможные риски, связанные с этими подключениями.
Политику доступа в Интернет определяет Руководство по доступу в Интернет.
Допустимое использование. Исходящий доступ в Интернет может быть свободно использован сотрудниками для выполнения служебных обязанностей. Должно быть определено и реализовано разумное ограничение на общее время работы в Интернете.
Политика межсетевого экрана. Межсетевой экран, состоящий как минимум из пограничного маршрутизатора и защищенного компьютера, должен быть использован для защиты от несанкционированного доступа к внутренней сети компании из Интернета. Необходимо разработать правила фильтрации пакетов для управления доступом через периметр с регистрацией попыток нарушения доступа на сервере syslog.
Политика публичных сервисов. Входящий доступ из Интернета во внутреннюю сеть компании будет запрещен, если только не используется шифрование на сетевом уровне. Входящий доступ должен быть ограничен сервисами защищенного хоста, такими, как SMTP, HTTP, FTP, DNS.
Политика доступа во внутреннюю сеть компании. Политика доступа во внутреннюю сеть компании определяет процесс выдачи прав доступа сотруднику к ресурсам.
Доверительные отношения. Доступ к компьютерам внутренней сети разрешен для всех сотрудников компании на основе уровня доверия, определяемого руководителем сотрудника. Компания старается балансировать между прозрачным доступом сотрудника к ресурсам и безопасностью сети. Компания устанавливает пять уровней доверия. Каждый сотрудник получает определенный уровень доверия в соответствии с его служебными обязанностями. Для соблюдения требуемых уровней доверия должны быть реализованы соответствующие технические средства защиты.
Доступ к компьютерам внутренней сети сторонним организациям запрещен, если специально не разрешен отделом информационных технологий и соответствующим руководителем.
Безопасность сетевого оборудования. Административный доступ к сетевому оборудованию запрещен, за исключением сотрудников отдела информационных технологий, определяемых начальником этого отдела. Для защиты управляющего трафика между внутренними серверами используется шифрование на сетевом уровне.
Политика удаленного доступа. Сотрудники, получающие доступ во внутреннюю сеть компании с домашних компьютеров или через телефонные сети общего доступа, должны четко понимать и выполнять обязанности по защите ресурсов компании при получении такого доступа.
Поэтому сотрудники, получающие этот вид доступа, несут определенную ответственность. Компьютер, с которого сотрудник получает удаленный доступ в сеть, должен быть защищен паролем и сконфигурирован таким образом, чтобы не допустить доступ посторонних во внутреннюю сеть компании.
Аутентификация удаленного доступа должна происходить с использованием TACACS+ или токенов.
Мобильные компьютеры. Сотрудники компании, нуждающиеся в удаленном доступе в сеть компании с мобильных компьютеров, получают такой доступ через серверы сетевого доступа, находящиеся под управлением отдела информационных технологий. Сотрудники должны использовать компьютеры с операционными системами Windows 95, Windows 98, Windows 2000 или Apple Macintosh с программным обеспечением для организации удаленного дост