Процедуры доклада об инцидентах. Необходимо отладить процедуру доклада об инцидентах, чтобы иметь их детальное описание вместе с принятыми мерами. Каждый инцидент должен разбираться подгруппой информационной безопасности предприятия с целью уяснения его сути и выработки предложений по совершенствованию политики и процедур безопасности.
Приложение 4 ПОЛИТИКИ БЕЗОПАСНОСТИ, РЕКОМЕНДУЕМЫЕSANS
Институт SANS подготовил ряд политик безопасности, которые можно найти на сайте института (www.sans.org). К ним относятся:
1) политика допустимого шифрования,
2) политика допустимого использования,
3) руководство по антивирусной защите,
4) политика аудита уязвимостей,
5) политика хранения электронной почты,
6) политика использования электронной почты компании,
7) политика использования паролей,
8) политика оценки рисков,
9) политика безопасности маршрутизатора,
10) политика обеспечения безопасности серверов,
11) политика виртуальных частных сетей,
12) политика беспроводного доступа в сеть компании,
13) политика автоматического перенаправления электронной почты компании,
14) политика классификации информации,
15) политика в отношении паролей для доступа к базам данных,
16) политика безопасности лаборатории демилитаризованной зоны,
17) политика безопасности внутренней лаборатории,
18) политика экстранета,
19) политика этики,
20) политика лаборатории антивирусной защиты.
1. Политика допустимого шифрования
Цель
Основной задачей этой политики является определение разрешенных к использованию алгоритмов шифрования. Политика обеспечивает гарантии соблюдения федеральных законов и юридического разрешения для распространения и использования технологий шифрования за пределами США.
Область действия Политика обязательна для всех сотрудников компании.
Суть политики
Для шифрования должны быть использованы испытанные стандартные алгоритмы типа DES, Blowfish, RSA, RC5 и IDEA. Эти алгоритмы могут быть использованы в приложениях, разрешенных к применению в компании. Например, PGP производства NAI применяет комбинацию IDEA и RSA или Diffie-Hellman, в то время как SSL – шифрование RSA. Ключи для симметричного шифрования должны иметь длину как минимум 56 бит. Ключи для асимметричного шифрования должны иметь длину, соответствующую аналогичной стойкости. Требования к длине ключей должны пересматриваться в компании ежегодно.
Использование других алгоритмов шифрования разрешено, если это рекомендовано квалифицированной группой экспертов и получено разрешение отдела информационной безопасности. Экспорт технологий шифрования за пределы США ограничен экспортными законами. Резиденты за пределами США, использующие шифрование, обязаны ориентироваться на законы стран, в которых они находятся.Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Симметричное шифрование – метод шифрования, при котором один и тот же ключ используется и для шифрования, и для дешифрования.
Асимметричное шифрование – метод шифрования, при котором один ключ используется для шифрования, а другой – для дешифрования.
2. Политика допустимого использования Основной задачей издания этой политики отделом информационной безопасности является не наложение ограничений на установленную в компании культуру открытости, доверия и целостности, а защита сотрудников и партнеров компании от преднамеренных и непреднамеренных противоправных действий со стороны других людей. Системы компании, связанные с Интернетом/интранетом/экстранетом, включая компьютерное оборудование, программное обеспечение, операционные системы, системы хранения данных, учетные записи для доступа к электронной почте, к Web-pecypcaм, являются собственностью компании. Эти системы должны использоваться только с деловой целью в интересах компании и ее клиентов.Цель Цель этой политики состоит в определении допустимого использования компьютерного оборудования в компании. Эти правила предназначены для защиты компании и ее сотрудников, чтобы не подвергать их рискам, включая вирусные атаки, взлом систем, и не допускать возникновения юридических проблем.
Область действия Политика обязательна для всех сотрудников, подрядчиков, консультантов, временных сотрудников и других работающих в компании, включая весь персонал сторонних компаний, пользующихся информационными системами или оборудованием компании. Положения этой политики относятся и ко всему оборудованию, которое является собственностью компании или взято ею в аренду.
Суть политики
Общие вопросы использования и владения:
• администраторы корпоративной сети стремятся обеспечить разумный уровень конфиденциальности передаваемых сотрудниками данных, а сотрудники должны знать, что данные, которые они создают в корпоративных системах, являются собственностью компании. Из-за необходимости обеспечения безопасности корпоративной сети компании, руководство не может гарантировать конфиденциальность информации, хранимой на любом устройстве сети, принадлежащем компании;
• сотрудники ответственны за использование ресурсов компании в личных целях. Отделы ответственны за создание руководящих документов по использованию ресурсов компании в личных целях. При отсутствии таких политик сотрудникам следует руководствоваться требованиями и положениями политик более высокого уровня, в случае возникновения вопросов необходимо обращаться к своему непосредственному начальнику;
• отдел информационной безопасности рекомендует, чтобы любая информация, которую сотрудники считают важной, была зашифрована. В качестве руководства по классификации информации и ее защите используйте политику по защите информации отдела информационной безопасности. По вопросам шифрования сообщений электронной почты и документов используйте ознакомительные программы, разработанные отделом информационной безопасности;
• в соответствии с политикой аудита уязвимостей, определен список людей, имеющих право мониторинга оборудования, информационных систем и сетевого трафика в любое время;
• компания имеет право периодически проводить аудит корпоративной сети и информационных систем для проверки выполнения этой политики.Безопасность и конфиденциальная информация компании:
• пользовательские интерфейсы для доступа к корпоративной информации должны быть классифицированы как конфиденциальные или неконфиденциальные в соответствии с руководящими документами по вопросам конфиденциальности, которые находятся в отделе кадров. Конфиденциальной информацией могут быть списки клиентов, планы стратегического развития, торговые секреты и т. д. Сотрудники должны принять все необходимые меры, чтобы предотвратить неправомочный доступ к этой информации;
• сотрудники компании ответственны за безопасность их паролей и учетных записей. Пароли системного уровня должны изменяться один раз в квартал, пароли учетных записей сотрудников должны изменяться раз в шесть месяцев;
• при появлении у сотрудника необходимости оставить рабочее место без присмотра все серверы, портативные компьютеры и автоматизированные рабочие места должны быть защищены включением скринсейвера с паролем, активирующимся после 10 или менее минут бездействия, или путем выхода из системы (logging-off);
• шифрование используется в соответствии с политикой допустимого шифрования отдела информационной безопасности;
• поскольку информация, содержащаяся в портативных компьютерах, более уязвима, необходимо предпринимать усиленные меры безопасности;
• при использовании корпоративной электронной почты сотрудники должны указывать, что выраженные ими мнения являются только их собственными и не представляют собой точку зрения компании, кроме случаев, когда они выполняют при этом свои деловые обязанности;
• все компьютеры, используемые сотрудниками для доступа к ресурсам компании, независимо от того, являются они собственностью компании или принадлежат сотруднику, должны иметь утвержденное отделом безопасности информации антивирусное программное обеспечение с самой последней базой обновлений;
• сотрудники должны быть особенно внимательны при открытии вложений в сообщениях электронной почты, полученных от неизвестных отправителей, так как они могут содержать вирусы, почтовые «бомбы» или программы типа «Троянский конь».Запрещается! Список, представленный ниже, не является исчерпывающим, но здесь сделана попытка определить действия, которые попадают в категорию запрещенных:
в сфере действий в корпоративной сети
• нарушения прав любого человека или компании, защищенных авторским правом, законами о торговых секретах, патентами или другим законом о защите интеллектуальной собственности, включая установку или распространение «пиратского» или другого программного обеспечения, которые не лицензировано для использования в компании;
• неправомочное копирование защищенного авторским правом материала, включая преобразование в цифровую форму и распространение фотографий из журналов, книг или других защищенных авторским правом источников, музыки и установка любого защищенного авторским правом программного обеспечения, для которого компания или данный сотрудник не имеют действующей лицензии;
• экспорт программного обеспечения, технической информации, программного обеспечения по шифрованию данных или технологии в нарушение международных или региональных экспортных законов. Перед экспортированием любого материала руководство должно проконсультироваться с соответствующими органами;
• запуск злонамеренных программ в сети или на компьютере (например, вирусов, «червей», «Троянских коней», почтовых «бомб», и т. д.);
• разглашение ваших паролей другим сотрудникам или разрешение пользоваться кому-либо вашей учетной записью или паролями. Сюда относятся и члены семьи, если работа выполняется дома;