ниться в выполняемом теле программы;
– учетные записи и пароли для доступа к базе данных могут храниться как часть данных на сервере аутентификации, таком, как LDAP. Аутентификация доступа к базе данных может проходить как часть общей аутентификации в системе;
– учетные записи и пароли для доступа к базе данных нельзя размещать в дереве документов Web-cepeepa;
– прямой доступ через аутентификацию (например, ORACLE OPSS) не должен разрешать работу с базой данных, основываясь только на аутентификации удаленного пользователя на удаленном компьютере;
– пароли и ключевые фразы, используемые для доступа, должны соответствовать требованиям политики использования паролей;
восстановление учетных записей и паролей:
– если учетная запись и пароль хранятся не в исходном коде программы, то они должны быть считаны из файла непосредственно перед использованием. Сразу после аутентификации область памяти, в которой они размещались, должна быть очищена;
– область, в которой хранятся учетная запись и пароль, должна быть физически отделена от других областей кода, то есть размещаться в отдельном файле;
– для языков программирования, которые выполняются непосредственно из исходного кода (интерпретируемые языки), файл, хранящий учетные записи и пароли, не должен размещаться в той же просматриваемой или выполняемой директории, в которой размещается код программы;
доступ к учетным записям и паролям:
– каждая программа или несколько программ, выполняющих одну функциональную задачу, должны иметь уникальную базу учетных записей и паролей. Использование одной и той же базы учетных записей и паролей для нескольких программ запрещено;
– пароли доступа к базам данных в соответствии с политикой использования паролей считаются паролями системного уровня;
– разработчики должны определить процедуру, гарантирующую, что пароли управляются и изменяются в соответствии с политикой использования паролей. Эта процедура должна включать метод ограничения знания паролей для доступа к базе данных на основе правила «необходимо знать»;
• техники кодирования для реализации этой политики (добавьте ссылки к различным языкам кодирования, рекомендованным в вашей компании, таким, как Perl, Java, С и С++).Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Компьютерный язык – язык, используемый для написания программ.
Атрибуты доступа – что-то, что вы знаете (пароль или ключевая фраза), и/или что-то, что определяет вас (учетная запись, отпечатки пальцев, сетчатка глаза).
Роль – уровень привилегий, который может быть аутентифицирован и авторизован. Уровень привилегий, на основе которого осуществляется доступ к ресурсам.
Тело выполнения – серия инструкций компьютеру, которые он выполняет для реализации логики программы.
15. Политика безопасности лаборатории демилитаризованной зоныЦель
Эта политика устанавливает требования по информационной безопасности для всех сетей и оборудования, расположенных в демилитаризованной зоне. Выполнение этих требований минимизирует потенциальный риск компании от нанесения ущерба путем получения неавторизованного доступа к ресурсам компании, потери конфиденциальной информации и интеллектуальной собственности компании.Область действия Субъекты действия этой политики – лабораторные сети и устройства компании (например, маршрутизаторы, коммутаторы, компьютеры и т. д.), которые доступны из Интернета и размещающиеся за пределами корпоративного межсетевого экрана. Сюда же входят лаборатории, находящиеся у поставщика услуг Интернета и в удаленных местах расположения. Все существующее и будущее оборудование, которое подпадает под область действия данной политики, должно быть сконфигурировано в соответствии с этим документом. Данная политика неприменима к лабораториям, размещающимся внутри корпоративного межсетевого экрана. Стандарты для такого оборудования описаны в политике безопасности внутренней лаборатории.
Суть политики
Владение и ответственность:
• все новые лаборатории демилитаризованной зоны должны иметь письменное обоснование их создания за подписью вице-президента. Обоснования хранятся в отделе информационной безопасности;
• компании, организующие лаборатории, должны определить ответственных менеджеров, основных и резервных контактных лиц для каждой лаборатории. Владельцы лабораторий должны поддерживать список этой информации в актуальном состоянии. Список хранится в отделе информационной безопасности (и в системе управления компанией, если такая существует). Менеджеры лабораторий или резервные контактные лица должны быть доступны круглосуточно;
• должно быть получено разрешение от отдела поддержки сети и отдела информационной безопасности для внесения изменений в схемы подключений и/или задачи существующих лабораторий, а также для создания новых лабораторий;
• все подключения к поставщикам интернет-услуг должны поддерживаться отделом поддержки сети;
• отдел поддержки сети отвечает за поддержку функционирования межсетевого экрана между демилитаризованной зоной и Интернетом;
• отдел поддержки сети и отдел информационной безопасности имеют право заблокировать любые соединения к/от оборудованию лабораторий, если это несет угрозу безопасности сети компании;
• сотрудники лаборатории демилитаризованной зоны поддерживают функционирование всех устройств, расположенных в демилитаризованной зоне до границы зоны ответственности отдела поддержки сети;
• отдел поддержки сети должен иметь список всех IP-адресов и ответственных за оборудование лиц лаборатории демилитаризованной зоны (такой же список хранится в системе управления компанией, если такая существует);
• менеджеры демилитаризованной лаборатории несут полную ответственность за нее в соответствии с этой политикой;
• в соответствии с политикой аудита уязвимостей отделу поддержки сети и отделу информационной безопасности должен при необходимости предоставляться немедленный доступ к оборудованию и журналам оборудования демилитаризованной зоны;
• тестовые учетные записи должны быть удалены в течение трех дней после того, как доступ станет ненужным. Пароли на групповые учетные записи должны быть изменены в течение трех дней после изменения состава членов группы;
• отдел информационной безопасности будет разбирать каждый случай отказа в доступе.Основные требования к конфигурации:
• производственная сеть компании не должна зависеть от сетей лаборатории демилитаризованной зоны;
• лаборатории демилитаризованной зоны не должны иметь соединений с внутренней сетью компании напрямую или через беспроводную сеть
• оборудование лабораторий демилитаризованной зоны должно быть размещено в серверных, физически отделенных от оборудования внутренних сетей компании. Если это невозможно, то данное оборудование должно размещаться в запираемой на ключ серверной стойке. Менеджер лаборатории должен иметь у себя список, в котором указаны лица, имеющие доступ к оборудованию;
• менеджер лаборатории отвечает за выполнение следующих политик:
– политики использования паролей,
– политики беспроводного доступа в сеть компании,
– политики лаборатории антивирусной защиты;
• отдел поддержки сети, поддерживающий функционирование межсетевых экранов, должен сконфигурировать их в соответствии с принципами наименьшего доступа и обеспечения функционирования лаборатории демилитаризованной зоны. Все списки доступа утверждаются отделом информационной безопасности;
• межсетевой экран должен быть единственной точкой доступа между лабораторией и внутренней сетью компании и/или Интернетом. Все другие способы подключения запрещены;
• начальная конфигурация и любые последующие изменения межсетевых экранов должны быть исследованы и одобрены отделом информационной безопасности. Отдел информационной безопасности может затребовать дополнительные настройки безопасности на межсетевых экранах;
• трафик из лаборатории демилитаризованной зоны во внутреннюю сеть компании, включая доступ посредством частной виртуальной сети, попадает под действие политики удаленного доступа;
• все маршрутизаторы и коммутаторы, не используемые для тестирования и/или обучения, должны быть настроены в соответствии со стандартами для маршрутизатора демилитаризованной зоны и коммутатора демилитаризованной зоны;
• операционные системы всех компьютеров внутри лаборатории демилитаризованной зоны, на которых выполняются интернет-сервисы (HTTP, FTP, SMTP и т. д.), должны быть сконфигурированы в соответствии со стандартом компьютеров демилитаризованной зоны (добавьте здесь ссылку на внутренний сайт, где находятся стандарты конфигураций);
• должны быть установлены все текущие сервисные пакеты и обновления, рекомендованные производителем для всех приложений и операционных систем. Администраторы должны иметь возможность устанавливать появляющиеся обновления быстро и эффективно;
• сервисы и приложения, не используемые для работы, должны быть отключены/деинсталлированы;
• в соответствии с политикой классификации информации запрещается размещать и хранить конфиденциальную информацию на оборудовании лаборатории демилитаризованной зоны, к которому имеют физический доступ сотрудники сторонних организаций;
• удаленное администрирование должно осуществляться по защищенным протоколам (SSH, IPSEC) или через консольный доступ.Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Списки доступа (АСЕ) – списки, хранимые на маршрутизаторах, коммутаторах, межсетевых экранах и регулирующие доступ к сервисам и приложениям.