Приложение 4 ПОЛИТИКИ БЕЗОПАСНОСТИ, РЕКОМЕНДУЕМЫЕSANS

Приложение 4 ПОЛИТИКИ БЕЗОПАСНОСТИ, РЕКОМЕНДУЕМЫЕSANS

Институт SANS подготовил ряд политик безопасности, которые можно найти на сайте института (www.sans.org). К ним относятся:

1) политика допустимого шифрования,

2) политика допустимого использования,

3) руководство по антивирусной защите,

4) политика аудита уязвимостей,

5) политика хранения электронной почты,

6) политика использования электронной почты компании,

7) политика использования паролей,

8) политика оценки рисков,

9) политика безопасности маршрутизатора,

10) политика обеспечения безопасности серверов,

11) политика виртуальных частных сетей,

12) политика беспроводного доступа в сеть компании,

13) политика автоматического перенаправления электронной почты компании,

14) политика классификации информации,

15) политика в отношении паролей для доступа к базам данных,

16) политика безопасности лаборатории демилитаризованной зоны,

17) политика безопасности внутренней лаборатории,

18) политика экстранета,

19) политика этики,

20) политика лаборатории антивирусной защиты.

1. Политика допустимого шифрования

Цель

Основной задачей этой политики является определение разрешенных к использованию алгоритмов шифрования. Политика обеспечивает гарантии соблюдения федеральных законов и юридического разрешения для распространения и использования технологий шифрования за пределами США.

Область действия Политика обязательна для всех сотрудников компании.

Суть политики

Для шифрования должны быть использованы испытанные стандартные алгоритмы типа DES, Blowfish, RSA, RC5 и IDEA. Эти алгоритмы могут быть использованы в приложениях, разрешенных к применению в компании. Например, PGP производства NAI применяет комбинацию IDEA и RSA или Diffie-Hellman, в то время как SSL – шифрование RSA. Ключи для симметричного шифрования должны иметь длину как минимум 56 бит. Ключи для асимметричного шифрования должны иметь длину, соответствующую аналогичной стойкости. Требования к длине ключей должны пересматриваться в компании ежегодно.

Использование других алгоритмов шифрования разрешено, если это рекомендовано квалифицированной группой экспертов и получено разрешение отдела информационной безопасности. Экспорт технологий шифрования за пределы США ограничен экспортными законами. Резиденты за пределами США, использующие шифрование, обязаны ориентироваться на законы стран, в которых они находятся.

Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Термины и определения

Симметричное шифрование – метод шифрования, при котором один и тот же ключ используется и для шифрования, и для дешифрования.

Асимметричное шифрование – метод шифрования, при котором один ключ используется для шифрования, а другой – для дешифрования.

2. Политика допустимого использования Основной задачей издания этой политики отделом информационной безопасности является не наложение ограничений на установленную в компании культуру открытости, доверия и целостности, а защита сотрудников и партнеров компании от преднамеренных и непреднамеренных противоправных действий со стороны других людей. Системы компании, связанные с Интернетом/интранетом/экстранетом, включая компьютерное оборудование, программное обеспечение, операционные системы, системы хранения данных, учетные записи для доступа к электронной почте, к Web-pecypcaм, являются собственностью компании. Эти системы должны использоваться только с деловой целью в интересах компании и ее клиентов.

Цель Цель этой политики состоит в определении допустимого использования компьютерного оборудования в компании. Эти правила предназначены для защиты компании и ее сотрудников, чтобы не подвергать их рискам, включая вирусные атаки, взлом систем, и не допускать возникновения юридических проблем.

Область действия Политика обязательна для всех сотрудников, подрядчиков, консультантов, временных сотрудников и других работающих в компании, включая весь персонал сторонних компаний, пользующихся информационными системами или оборудованием компании. Положения этой политики относятся и ко всему оборудованию, которое является собственностью компании или взято ею в аренду.

Суть политики

Общие вопросы использования и владения:

• администраторы корпоративной сети стремятся обеспечить разумный уровень конфиденциальности передаваемых сотрудниками данных, а сотрудники должны знать, что данные, которые они создают в корпоративных системах, являются собственностью компании. Из-за необходимости обеспечения безопасности корпоративной сети компании, руководство не может гарантировать конфиденциальность информации, хранимой на любом устройстве сети, принадлежащем компании;

• сотрудники ответственны за использование ресурсов компании в личных целях. Отделы ответственны за создание руководящих документов по использованию ресурсов компании в личных целях. При отсутствии таких политик сотрудникам следует руководствоваться требованиями и положениями политик более высокого уровня, в случае возникновения вопросов необходимо обращаться к своему непосредственному начальнику;

• отдел информационной безопасности рекомендует, чтобы любая информация, которую сотрудники считают важной, была зашифрована. В качестве руководства по классификации информации и ее защите используйте политику по защите информации отдела информационной безопасности. По вопросам шифрования сообщений электронной почты и документов используйте ознакомительные программы, разработанные отделом информационной безопасности;

• в соответствии с политикой аудита уязвимостей, определен список людей, имеющих право мониторинга оборудования, информационных систем и сетевого трафика в любое время;

• компания имеет право периодически проводить аудит корпоративной сети и информационных систем для проверки выполнения этой политики.

Безопасность и конфиденциальная информация компании:

• пользовательские интерфейсы для доступа к корпоративной информации должны быть классифицированы как конфиденциальные или неконфиденциальные в соответствии с руководящими документами по вопросам конфиденциальности, которые находятся в отделе кадров. Конфиденциальной информацией могут быть списки клиентов, планы стратегического развития, торговые секреты и т. д. Сотрудники должны принять все необходимые меры, чтобы предотвратить неправомочный доступ к этой информации;

• сотрудники компании ответственны за безопасность их паролей и учетных записей. Пароли системного уровня должны изменяться один раз в квартал, пароли учетных записей сотрудников должны изменяться раз в шесть месяцев;

• при появлении у сотрудника необходимости оставить рабочее место без присмотра все серверы, портативные компьютеры и автоматизированные рабочие места должны быть защищены включением скринсейвера с паролем, активирующимся после 10 или менее минут бездействия, или путем выхода из системы (logging-off);

• шифрование используется в соответствии с политикой допустимого шифрования отдела информационной безопасности;

• поскольку информация, содержащаяся в портативных компьютерах, более уязвима, необходимо предпринимать усиленные меры безопасности;

• при использовании корпоративной электронной почты сотрудники должны указывать, что выраженные ими мнения являются только их собственными и не представляют собой точку зрения компании, кроме случаев, когда они выполняют при этом свои деловые обязанности;

• все компьютеры, используемые сотрудниками для доступа к ресурсам компании, независимо от того, являются они собственностью компании или принадлежат сотруднику, должны иметь утвержденное отделом безопасности информации антивирусное программное обеспечение с самой последней базой обновлений;

• сотрудники должны быть особенно внимательны при открытии вложений в сообщениях электронной почты, полученных от неизвестных отправителей, так как они могут содержать вирусы, почтовые «бомбы» или программы типа «Троянский конь».

Запрещается! Список, представленный ниже, не является исчерпывающим, но здесь сделана попытка определить действия, которые попадают в категорию запрещенных:

в сфере действий в корпоративной сети

• нарушения прав любого человека или компании, защищенных авторским правом, законами о торговых секретах, патентами или другим законом о защите интеллектуальной собственности, включая установку или распространение «пиратского» или другого программного обеспечения, которые не лицензировано для использования в компании;

• неправомочное копирование защищенного авторским правом материала, включая преобразование в цифровую форму и распространение фотографий из журналов, книг или других защищенных авторским правом источников, музыки и установка любого защищенного авторским правом программного обеспечения, для которого компания или данный сотрудник не имеют действующей лицензии;

• экспорт программного обеспечения, технической информации, программного обеспечения по шифрованию данных или технологии в нарушение международных или региональных экспортных законов. Перед экспортированием любого материала руководство должно проконсультироваться с соответствующими органами;

• запуск злонамеренных программ в сети или на компьютере (например, вирусов, «червей», «Троянских коней», почтовых «бомб», и т. д.);

• разглашение ваших паролей другим сотрудникам или разрешение пользоваться кому-либо вашей учетной записью или паролями. Сюда относятся и члены семьи, если работа выполняется дома;

• использование корпоративных ресурсов для создания, передачи или хранения материалов сексуального, религиозного и другого характера, не относящихся к выполнению служебных обязанностей;

• мошеннические предложения изделий, продуктов или услуг с использованием учетной записи пользователя компании;

• создание заявления о гарантиях, явных или подразумеваемых, если это не является частью обязанностей при выполнении работы;

• нарушение безопасности корпоративной сети: получение доступа к данным, к которым сотрудник не должен его иметь; регистрация на ресурсах, к которым сотруднику явно не разрешен доступ; прослушивание сетевого трафика; выполнение различных атак на ресурсы компании и т. д.;

• сканирование портов или поиск уязвимостей, если на это не получено разрешение от отдела информационной безопасности;

• выполнение любой формы мониторинга сети с перехватом данных, не направленных на компьютер сотрудника, если эта деятельность не является частью его обязанностей;

• попытки обхода систем установления подлинности или безопасности приложений, операционных систем и оборудования;

• попытки ограничения доступа сотрудников к корпоративным ресурсам, за исключением компьютера сотрудника;

• использование программ/скриптов/команд или отправки сообщений любого вида с намерением ограничить доступ или разорвать сессию другого сотрудника;

• разглашение списка сотрудников компании сторонним организациям или лицам;

в сфере, связанной с передачей информации в электронном виде

• посылка сообщений электронной почты с незапрашиваемой получателем информацией (junk-mail) или рекламного материала кому-либо без его просьбы (спам электронной почты);

• любая форма преследования через электронную почту, телефон или пейджер;

• неправомерное использование или подделывание заголовков почтовых сообщений;

• подслушивание сообщений электронной почты других сотрудников;

• создание или отправление «цепочек писем» или других писем по схеме типа «пирамида»;

• использование электронной почты других поставщиков интернет-услуг для рекламирования услуг и продуктов своей компании;

• отправка не относящихся к бизнесу сообщений большому количеству участников новостных групп (спам новостных групп).

Ни при каких обстоятельствах сотрудник компании не должен участвовать в любой деятельности, которая является незаконной по местным, федеральным или международным законам с использованием средств и ресурсов компании.

Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Термины и определения

Спам – неразрешенные и/или незапрашиваемые массовые отправки электронных почтовых сообщений.

3. Руководство по антивирусной защите

Для предупреждения вирусного заражения рекомендуется:

• использовать на своих компьютерах рекомендованное в качестве стандарта для компании антивирусное программное обеспечение. Базы вирусных сигнатур должны обновляться регулярно;

• никогда не открывать файлы и не выполнять макросы, полученные в почтовых сообщениях от неизвестного или подозрительного отправителя. Удалять подозрительные вложения, не открывая их, и очищать корзину, где хранятся удаленные сообщения;

• удалять спам, рекламу и другие бесполезные сообщения, как описано в политике допустимого использования;

• никогда не загружать файлы и программное обеспечение из подозрительных или неизвестных источников;

• не допускать предоставления дисков в совместное использование на чтение/запись, если только это не абсолютно необходимо;

• всегда проверять дискеты на наличие вирусов;

• периодически резервировать важные данные и системную конфигурацию, хранить резервные копии в безопасном месте;

• если при тестировании в лаборатории происходит конфликт с антивирусным программным обеспечением, то можно его отключить, провести тестирование и сразу включить обратно. При отключенном антивирусном программном обеспечении не выполнять никаких приложений, которые могут привести к распространению вируса (например, почтовые программы);

• периодически проверять политику лаборатории антивирусной защиты и данное руководство на предмет обновлений, так как новые вирусы появляются почти каждый день.

4. Политика хранения электронной почты

Цель

Политика хранения электронной почты предназначена для помощи сотрудникам в определении, какая информация, посланная или полученная по электронной почте, должна быть сохранена и на какой срок.

По вопросам надлежащей классификации информации следует обращаться к вашему менеджеру. По вопросам, связанным с этой политикой, нужно обращаться в отдел информационной безопасности.

Вся информация, содержащаяся в сообщениях электронной почты, разделена на четыре основные категории, определяющие время хранения:

• административная корреспонденция – 4 года;

• финансовая корреспонденция – 4 года;

• общая корреспонденция – 1 год;

• недолговечная корреспонденция (хранят, пока не прочитают, потом уничтожают).

Суть политики

Административная корреспонденция. Административная корреспонденция компании включает (но не ограничена этим) информацию об отпусках, поведении на рабочем месте и о любых юридических проблемах, например о нарушении интеллектуальной собственности. Вся электронная почта с пометкой «Для руководства» будет рассматриваться как административная корреспонденция. Для гарантии сохранения административной корреспонденции создан почтовый ящик admin@CompanyName. при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.

Финансовая корреспонденция. Финансовая корреспонденция – вся информация, связанная с доходами и расходами компании. Для гарантии сохранения финансовой корреспонденции создан почтовый ящик fiscal@CompanyName. при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.

Общая корреспонденция. К общей корреспонденции относится информация, которая имеет отношение к взаимодействию с клиентами. Каждый сотрудник ответственен за хранение электронной почты такого типа.

Недолговечная корреспонденция. Недолговечная корреспонденция, безусловно, наиболее объемная категория, включающая личную электронную почту, запросы или рассылки, электронную почту, связанную с разработкой продуктов и услуг и т. д.

Службы мгновенного обмена сообщениями. Общая корреспонденция, проходящая через службы мгновенного обмена сообщениями, может быть сохранена с использованием функции журналирования службы или путем копирования в файл. Сообщения, проходящие через службу мгновенного обмена сообщениями, которые являются административными или финансовыми, должны быть скопированы и отправлены по электронной почте на соответствующий адрес для хранения.

Шифрование сообщений. Шифрование сообщений должно соответствовать политике обработки и хранения информации, но, вообще, информация должна храниться в незашифрованном виде.

Восстановление удаленных почтовых сообщений с использованием резервных копий. Отдел информационных технологий отвечает за поддержание резервных копий в актуальном состоянии с хранением копий за пределами компании.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Разрешенная электронная почта – все почтовые системы, поддерживаемые отделом информационных технологий. Если в связи с выполнением служебных обязанностей необходимо использовать адрес электронной почты вне компании, следует обратиться в отдел информационных технологий.

Разрешенное шифрование электронной почты и файлов – методы шифрования, включающие использование DES и PGP. Шифрование DES доступно во многих бесплатных программах на всех платформах. Для использования PGP в компании необходимо приобрести лицензию. За помощью в приобретении нужно обратиться в отдел информационных технологий.

Разрешенное средство мгновенного обмена сообщениями – Jabber Secure IM Client – является единственным средством мгновенного обмена сообщениями, разрешенным для использования на компьютерах компании.

Средства контроля доступа – методы электронной защиты файлов от получения к ним доступа неавторизованными сотрудниками, кроме тех, кому это разрешено владельцем ресурса.

Незащищенные каналы – все каналы связи, которые не находятся под контролем компании.

Шифрование – важная информация защищается в соответствии с политикой допустимого шифрования. Международные законы по использованию средств шифрования неоднозначны. Следуйте корпоративным руководящим документам по использованию средств криптографии и консультируйтесь с вашим менеджером и/или корпоративными юридическими службами.

5. Политика использования электронной почты компании

Цель

Недопущение нанесения ущерба имиджу компании, поскольку электронная почта, отправляемая с электронного почтового адреса компании, рассматривается сторонними лицами и организациями как официальное утверждение от имени компании.

Эта политика описывает порядок использования электронной почты, посылаемой с почтовых адресов компании, и должна выполняться всеми служащими, продавцами и агентами, работающими от имени компании.

Суть политики

Запрещается! Система электронной почты компании не должна использоваться для создания или распространения любых материалов, не связанных с деятельностью компании, включая материалы националистического, сексуального, порнографического, религиозного и политического характера. Сотрудник, получивший электронное письмо такого содержания от любого работающего в компании, должен немедленно сообщить об этом своему руководителю.

Использование в личных целях. Использование ресурсов компании в личных целях приемлемо в разумных пределах, но такие электронные письма должны храниться в отдельной папке.

Отправка рекламных писем или развлекательных почтовых сообщений от имени компании запрещена. Отправка предупреждений о вирусах и любых других предупреждений, массовые отправки почтовых сообщений от имени компании должны быть одобрены руководством компании перед посылкой. Эти ограничения относятся также к переадресации почты, полученной служащим.

Мониторинг. Сотрудникам компании не следует ожидать соблюдения конфиденциальности почтовых сообщений при хранении, отсылке или приеме почты в системе электронной почты компании. Компания может контролировать почтовые сообщения без уведомления сотрудника.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Электронная почта – передача информации через почтовый протокол типа SMTP или IMAP. Почтовыми клиентами могут быть, например, Eudora или Microsoft Outlook.

Переадресация почты – электронная почта, полученная на почтовый адрес компании и перенаправленная на почтовый адрес, не принадлежащий компании.

Важная информация – информация, разглашение которой может повредить компании или репутации ее клиентов, или положению на рынке.

Предупреждение о вирусе – предупреждение о возможном заражении вирусом. Подавляющее большинство таких электронных сообщений является обманом и содержит информацию для запугивания или введения в заблуждение сотрудников.

Разглашение информации – намеренное или неумышленное раскрытие ограниченной для распространения информации людям, которые не должны ее знать.

6. Политика использования паролей Пароли – важный аспект компьютерной безопасности. Они являются первой линией защиты учетных записей сотрудников. Неправильно выбранный пароль может привести к проникновению злоумышленника в корпоративную сеть компании. Все сотрудники компании (включая подрядчиков и продавцов, имеющих доступ к информационным системам компании) ответственны за правильный выбор и хранение паролей (в соответствии с приведенными ниже рекомендациями).

Цель Цель этой политики состоит в том, чтобы установить стандарты по созданию устойчивых к взлому паролей, по защите этих паролей и определению частоты изменения паролей.

Область действия Все, кто имеет доступ или ответственен за предоставление доступа к любой информационной системе компании.

Суть политики

Общие вопросы:

• все пароли уровня системы (например, для root в системах UNIX, для enable в оборудовании Cisco, для administrator в системах Windows, администраторские пароли в приложениях и т. д.) должны меняться по крайней мере один раз в квартал;

• все пароли на критичные элементы инфраструктуры (серверы, приложения, активное сетевое оборудование) должны храниться в отделе информационной безопасности;

• все пользовательские пароли (например, пароли для доступа к электронной почте, сети, персональному компьютеру, и т. д.) должны меняться по крайней мере один раз в шесть месяцев. Рекомендованный интервал – четыре месяца;

• учетные записи сотрудников, которым предоставили доступ к административным учетным записям на системах через членство в группах или посредством программ типа sudo, должны иметь пароль, отличный от всех других паролей данного пользователя;

• запрещается отправлять пароли в сообщениях электронной почты или с помощью других форм электронного обмена информацией;

• при использовании SNMP community strings не должны быть значениями по умолчанию и должны отличаться от паролей, используемых для аутентификации в интерактивном режиме. Обязательно использование хешей паролей (например, SNMPv2), если это возможно;

• все пароли должны соответствовать стандартам, приведенным ниже.

Руководства:

 основные принципы выбора паролей;

Пароли используются для учетных записей сотрудников, для доступа к Web-сайтам, к электронной почте, в режим конфигурирования маршрутизатора. Так как очень небольшое число систем поддерживают использование одноразовых (one-time) паролей, каждый должен знать правила выбора защищенного от взлома пароля и неукоснительно следовать им.

Неправильно подобранные пароли имеют следующие особенности:

– содержат меньше восьми символов;

– являются словами, которые можно найти в словаре;

– представляют собой часто используемые слова: фамилии, клички домашних животных, имена друзей, сотрудников и т. д.; компьютерные термины, названия команд, сайтов, компаний, аппаратных средств, программного обеспечения, – дни рождения и другую личную информацию типа адресов и телефонных номеров; слова или числа типа aaabbb, набранные подряд несколько символов на клавиатуре, например qwerty, zyxwvuts, 123321 и т. д.; любой из вышеупомянутых паролей, записанный в обратном порядке; любой из вышеупомянутых паролей, в начале или в конце которого присутствует цифра (например, secret 1, 1 secret).

Устойчивые к взлому пароли имеют следующие особенности:

– содержат как прописные, так и строчные буквы (например, a-z,A-Z);

– имеют цифры и знаки пунктуации, например 0–9! *$ % А* * () _ + | ~-=

– их длина составляет по крайней мере восемь алфавитно-цифровых символов;

– не являются словами из какого-либо языка, сленга, диалекта, жаргона и т. д.;

– не основаны на личной информации (фамилии, имени);

– пароли нигде не записаны и не хранятся в компьютере. Для создания легко запоминаемого, устойчивого к взлому пароля можно использовать, например, первые буквы куплета песни или другой фразы. Например, берется фраза: «This May Be One Way To Remember», и пароль может быть таким: «TmBlw2R!» или «TmblW› г ~».

Данный текст является ознакомительным фрагментом.