Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Термины и определения
Электронная почта – передача информации через почтовый протокол типа SMTP или IMAP. Почтовыми клиентами могут быть, например, Eudora или Microsoft Outlook.
Переадресация почты – электронная почта, полученная на почтовый адрес компании и перенаправленная на почтовый адрес, не принадлежащий компании.
Важная информация – информация, разглашение которой может повредить компании или репутации ее клиентов, или положению на рынке.
Предупреждение о вирусе – предупреждение о возможном заражении вирусом. Подавляющее большинство таких электронных сообщений является обманом и содержит информацию для запугивания или введения в заблуждение сотрудников.
Разглашение информации – намеренное или неумышленное раскрытие ограниченной для распространения информации людям, которые не должны ее знать.
6. Политика использования паролей Пароли – важный аспект компьютерной безопасности. Они являются первой линией защиты учетных записей сотрудников. Неправильно выбранный пароль может привести к проникновению злоумышленника в корпоративную сеть компании. Все сотрудники компании (включая подрядчиков и продавцов, имеющих доступ к информационным системам компании) ответственны за правильный выбор и хранение паролей (в соответствии с приведенными ниже рекомендациями).Цель Цель этой политики состоит в том, чтобы установить стандарты по созданию устойчивых к взлому паролей, по защите этих паролей и определению частоты изменения паролей.
Область действия Все, кто имеет доступ или ответственен за предоставление доступа к любой информационной системе компании.
Суть политики
Общие вопросы:
• все пароли уровня системы (например, для root в системах UNIX, для enable в оборудовании Cisco, для administrator в системах Windows, администраторские пароли в приложениях и т. д.) должны меняться по крайней мере один раз в квартал;
• все пароли на критичные элементы инфраструктуры (серверы, приложения, активное сетевое оборудование) должны храниться в отделе информационной безопасности;
• все пользовательские пароли (например, пароли для доступа к электронной почте, сети, персональному компьютеру, и т. д.) должны меняться по крайней мере один раз в шесть месяцев. Рекомендованный интервал – четыре месяца;
• учетные записи сотрудников, которым предоставили доступ к административным учетным записям на системах через членство в группах или посредством программ типа sudo, должны иметь пароль, отличный от всех других паролей данного пользователя;
• запрещается отправлять пароли в сообщениях электронной почты или с помощью других форм электронного обмена информацией;
• при использовании SNMP community strings не должны быть значениями по умолчанию и должны отличаться от паролей, используемых для аутентификации в интерактивном режиме. Обязательно использование хешей паролей (например, SNMPv2), если это возможно;
• все пароли должны соответствовать стандартам, приведенным ниже.
Руководства:
основные принципы выбора паролей;
Пароли используются для учетных записей сотрудников, для доступа к Web-сайтам, к электронной почте, в режим конфигурирования маршрутизатора. Так как очень небольшое число систем поддерживают использование одноразовых (one-time) паролей, каждый должен знать правила выбора защищенного от взлома пароля и неукоснительно следовать им.
Неправильно подобранные пароли имеют следующие особенности:
– содержат меньше восьми символов;
– являются словами, которые можно найти в словаре;
– представляют собой часто используемые слова: фамилии, клички домашних животных, имена друзей, сотрудников и т. д.; компьютерные термины, названия команд, сайтов, компаний, аппаратных средств, программного обеспечения, – дни рождения и другую личную информацию типа адресов и телефонных номеров; слова или числа типа aaabbb, набранные подряд несколько символов на клавиатуре, например qwerty, zyxwvuts, 123321 и т. д.; любой из вышеупомянутых паролей, записанный в обратном порядке; любой из вышеупомянутых паролей, в начале или в конце которого присутствует цифра (например, secret 1, 1 secret).
Устойчивые к взлому пароли имеют следующие особенности:
– содержат как прописные, так и строчные буквы (например, a-z,A-Z);
– имеют цифры и знаки пунктуации, например 0–9! *$ % А* * () _ + | ~-= \
– их длина составляет по крайней мере восемь алфавитно-цифровых символов;
– не являются словами из какого-либо языка, сленга, диалекта, жаргона и т. д.;
– не основаны на личной информации (фамилии, имени);
– пароли нигде не записаны и не хранятся в компьютере. Для создания легко запоминаемого, устойчивого к взлому пароля можно использовать, например, первые буквы куплета песни или другой фразы. Например, берется фраза: «This May Be One Way To Remember», и пароль может быть таким: «TmBlw2R!» или «TmblW› г ~».Примечание: не используйте ни один из приведенных примеров в качестве пароля.
руководство по защите пароля;
Не используйте один и тот же пароль для доступа к ресурсам компании и для доступа к внешним, по отношению к компании, ресурсам. Везде, где возможно, используйте разные пароли для доступа к ресурсам компании. Например, выберите один пароль для доступа к системе электронной почты и другой для своей учетной записи на компьютере. Никто, кроме вас, не должен знать ваши пароли. Все пароли являются конфиденциальной информацией.
Запрещается:
– сообщать кому-либо свой пароль по телефону;
– отправлять пароль в сообщении электронной почты;
– показывать пароль своему начальнику;
– называть пароль в присутствии других людей;
– намекать на формат пароля (например, «моя фамилия»);
– писать пароль в анкетных опросах;
– давать свой пароль членам семьи;
– давать пароль сотрудникам на время своего отпуска.
Если кто-то требует сообщить ему ваш пароль, покажите ему этот документ или сообщите сотрудникам отдела информационной безопасности. Не используйте возможность запоминания пароля приложениями (например, Eudora, Outlook, Netscape Communicator). He записывайте пароли на бумаге и не храните их в вашем офисе. Не храните пароли в файле на компьютерной системе (включая Palm Pilot или подобные устройства) без шифрования. Пароли должны меняться по крайней мере раз в шесть месяцев (кроме паролей уровня системы, которые должны меняться ежеквартально). Рекомендованный интервал – четыре месяца. Если учетная запись или пароль, как вы подозреваете, были скомпрометированы, сообщите об инциденте в отдел информационной безопасности и измените все пароли. Подбор паролей периодически выполняется отделом информационной безопасности. Если пароль будет взломан во время одной из таких проверок, то пользователь обязан поменять его.
Читать дальшеИнтервал:
Закладка:
