Читать книгу Политики безопасности компании при работе в Интернет - Группа авторов - Страница 46

Область действия политики. Как авторизованный пользователь корпоративной сети каждый сотрудник компании обладает доступом к информации с различным уровнем конфиденциальности. Ознакомление и соблюдение политики сетевой безопасности компании (далее – «политика») является важной обязанностью каждого сотрудника для обеспечения конфиденциальности, целостности и доступности информационных активов компании. При этом компания следует принципу «знать только то, что необходимо знать для выполнения своих служебных обязанностей».

Целевая аудитория. Политика обязательна для следующих сотрудников компании:

• рядовых пользователей сети, выполняющих свои служебные обязанности на рабочих местах;

• специалистов ИТ-службы и службы безопасности, ответственных за эксплуатацию и сопровождение информационной системы, а также за соблюдение политики безопасности;

• менеджеров, ответственных за организацию режима информационной безопасности компании;

• руководства компании, которое стремится обеспечить целостность, конфиденциальность и доступность информационных активов компании в соответствии с целями и задачами бизнеса;

• юристов и аудиторов компании, которые обеспокоены сохранением репутации компании и ответственностью компании перед клиентами и партнерами.

Область действия. Политика является частью программы компании по обеспечению безопасности ее информационных активов. Политика определяет допустимые правила доступа сотрудников, клиентов, партнеров и вендоров к открытым и конфиденциальным информационным активам в сети компании.

Юридические права. Совет директоров уполномочен акционерами компании создать, внедрить и поддерживать политику в соответствии с требованиями государственных органов, федерального и международного законодательства. Директор (начальник) службы информационной безопасности и главный юрист компании несут ответственность за реализацию этой политики.

Заинтересованные стороны. Следующий персонал компании несет личную ответственность за создание, поддержку и внедрение политики сетевой безопасности:

• директор по финансам,

• директор по развитию,

• директор службы продаж и маркетинга,

• исполнительный директор, СЕО,

• директор информационной службы, CIO,

• директор службы информационной безопасности, CISO,

• директор по сетям и телекоммуникациям,

• главный менеджер по информационным системам,

• директор службы качества и внутреннего аудита,

• главный юрист компании,

• директор службы персонала,

• директор системной поддержки и сопровождения,

• директор службы разработки приложений.

Обязанности системного администратора. Системный администратор сетевого оборудования отвечает за выполнение следующих требований:

• назначение учетной записи отдельным сотрудникам (не группам);

• обеспечение уникальности учетных записей сотрудников и оборудования внутри компании;

• установка обновлений безопасности и сервисных пакетов, рекомендованных отделом информационной безопасности, в соответствии с их уровнем критичности;

• осуществление управления учетными записями и паролями;

• отключение учетных записей при увольнении сотрудников;

• хранение файлов конфигураций сетевых устройств на защищенном TFTP-сервере. Защита конфигураций от разглашения. Использование керберизованного rcp между маршрутизаторами Cisco и сервером TFTP;

• ежедневное исследование файлов журналов. Немедленное оповещение отдела информационной безопасности об инцидентах, связанных с безопасностью. Еженедельная отправка отчетов о небольших нарушениях безопасности (типа многократных неудачных попыток регистрации) в отдел информационной безопасности;

• использование средств управления и контроля сетевой безопасности для поиска «слабых» паролей, сетевых уязвимостей и средств проверки целостности файлов и системных конфигураций (таких, как Cisco IDS, Cisco Netsys, Crack, COPS, Tiger, Tripwire) на постоянной основе.

Процедура поддержки политики безопасности. Заинтересованные стороны компании должны просматривать и обновлять политику не реже одного раза в год. Отдел информационных систем под руководством отдела информационной безопасности проводит аудит сети на регулярной основе и документирует результаты проверок.

Процедура реализации. Директор по развитию сетей и телекоммуникаций должен определить точную сетевую топологию и сетевое оборудование компании, в рамках которых будет действовать настоящая политика безопасности.

Для проверки дееспособности политики безопасности проводится аудит после установки и подключения к сети нового сетевого оборудования и компьютеров.

Обучение сотрудников. Ознакомление с политикой осуществляется в ходе первичного инструктажа сотрудников. Сотрудники должны ежегодно перечитывать и подписывать политику допустимого использования как условие продолжения их работы.

Ознакомление сотрудников для предупреждения случаев социальной инженерии. Сотрудники обязаны соблюдать осторожность при общении с людьми, не являющимися сотрудниками компании. Перед началом дискуссии следует определить границы того, что можно сообщить постороннему человеку.

Политика допустимого использования. Политика допустимого использования определяет права и порядок доступа к информационным активам компании, порядок использования разрешенных аппаратно-программных средств, а также права и обязанности сотрудников согласно накладываемым ограничениям со стороны федеральных, законодательных актов и требований руководящих документов.

Допустимое использование сети. Сотрудникам запрещается делать и распространять копии конфигурации сетевого оборудования или серверов, если они не являются системными администраторами.

Сотрудникам запрещается получать или пытаться получить административный доступ к сетевому оборудованию и серверам, если они не являются системными администраторами или если это не входит в их служебные обязанности.

Требования по соответствию. Сотрудники обязаны выполнять все требования этой политики и любых последующих ее версий. Доступ к инфраструктуре компании и ее данным является привилегией, не правом. То есть компания может изменить привилегии доступа сотрудника любым способом в любое время. К сотруднику, нарушившему эту политику, могут быть применены дисциплинарные и административные меры, вплоть до увольнения.

Политика идентификации и аутентификации. Политика идентификации и аутентификации определяет процедурные и технические методы, используемые для идентификации и аутентификации.

Руководство по управлению паролями. Следующие принципы определяют правила выбора пароля:

• пароли, если возможно, должны использовать строчные и прописные буквы, знаки препинания и числа, должны иметь длину как минимум восемь символов;

• изменять пароли следует ежеквартально;

• нельзя записывать пароли;

• нельзя сообщать пароли кому бы то ни было.

Руководство по аутентификации. Компания должна использовать защищенную базу учетных записей на основе протокола TACACS+ для аутентификации.

Политика доступа в Интернет. Компания осознает важность доступа сотрудников в Интернет для ведения бизнеса и принимает возможные риски, связанные с этими подключениями.

Политику доступа в Интернет определяет Руководство по доступу в Интернет.

Допустимое использование. Исходящий доступ в Интернет может быть свободно использован сотрудниками для выполнения служебных обязанностей. Должно быть определено и реализовано разумное ограничение на общее время работы в Интернете.

Политика межсетевого экрана. Межсетевой экран, состоящий как минимум из пограничного маршрутизатора и защищенного компьютера, должен быть использован для защиты от несанкционированного доступа к внутренней сети компании из Интернета. Необходимо разработать правила фильтрации пакетов для управления доступом через периметр с регистрацией попыток нарушения доступа на сервере syslog.