Сергей Петренко - Политики безопасности компании при работе в Интернет

Тут можно читать онлайн Сергей Петренко - Политики безопасности компании при работе в Интернет - бесплатно ознакомительный отрывок. Жанр: Интернет. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Политики безопасности компании при работе в Интернет
Автор:

Сергей Петренко
Жанр:

Интернет
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.4/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание

Политики безопасности компании при работе в Интернет - описание и краткое содержание, автор Сергей Петренко, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок

Политики безопасности компании при работе в Интернет - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Сергей Петренко

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

руководство по разработке приложений;

Разработчики приложений должны гарантировать, что их программы содержат следующие меры безопасности. Приложения:

– должны иметь возможность идентификации подлинности сотрудников, а не групп;

– не должны хранить пароли в незашифрованном виде или в любой другой форме, которая позволит получить к ним доступ;

– должны предусматривать управление ролями сотрудников так, чтобы один пользователь мог выполнять функции другого, не зная пароля этого пользователя;

– должны поддерживать TACACS+, RADIUS и/или Х.509 с исправлениями безопасности для LDAP везде, где возможно.

использование паролей или ключевых фраз (passphrase) для удаленного доступа сотрудников;

Доступ к сети компании через систему удаленного доступа должен осуществляться с использованием или одноразовых (one-time) паролей, или инфраструктуры открытых ключей.

ключевая фраза (passphrase).

Ключевая фраза применяется для идентификации подлинности пользователя при использовании инфраструктуры открытых ключей. Данная фраза определяет математические отношения между публичным ключом, который известен всем, и секретным ключом, известным только пользователю. Без этой фразы пользователь не может получить доступ к секретному ключу. Ключевая фраза – это не то же самое, что пароль. Ключевая фраза – более длинная версия пароля и поэтому лучше защищена от взлома. Обычно составляется из нескольких слов. Из-за этого ключевая фраза лучше защищена от взлома методом грубой силы (brute-force). Правильно подобранная ключевая фраза достаточно длинная и содержит комбинацию прописных и строчных символов, чисел и знаков препинания. Пример: «The*?#› *@ TrafficOnThelOlWas* & #! #ThisMorning». Все правила, указанные выше для паролей, обязательны и для ключевых фраз.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Учетная запись администратора приложения – любая учетная запись для администрирования приложения (например, администратор базы данных Oracle).

7. Политика оценки рисков

Цель

Дать право отделу информационной безопасности проводить периодическую оценку рисков информационной безопасности для определения степени уязвимости и инициирования защитных процессов.

Область действия Оценка рисков может быть произведена в отношении любого объекта внутри компании или объекта за ее пределами, если компания имеет соглашения со сторонними организациями. Оценка рисков может быть произведена в отношении любой информационной системы, включая приложения, серверы или сети, любых процессов или процедур, с помощью которых эти системы администрируются и/или поддерживаются.

Суть политики Выполнение, разработка и внедрение мер по уменьшению рисков – обязанность отдела информационной безопасности и отдела, занимающегося поддержкой конкретной системы. Пользователи, ответственные за системы, должны работать совместно с отделом информационной безопасности при проведении оценки рисков и при разработке плана по их уменьшению.

Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Термины и определения

Объект – любое подразделение, отдел, группа или третья сторона, внутренние или внешние по отношению к компании, ответственные за поддержание и сохранность ресурсов компании.

Риск – факторы, которые могут нарушать конфиденциальность, целостность или доступность информационных ценностей или систем компании. Отдел информационной безопасности отвечает за поддержание целостности, доступности и конфиденциальности критичной информации и ресурсов и за уменьшение влияния процедур и политик безопасности на производительность компании.

8. Политика безопасности маршрутизатора

Цель

Этот документ описывает минимально необходимые настройки безопасности в конфигурации всех маршрутизаторов и коммутаторов, имеющих соединение с корпоративной сетью компании или управляемых специалистами компании в рамках предоставления услуг клиентам.

Область действия Затрагивает все маршрутизаторы и коммутаторы, соединяющиеся с корпоративной сетью компании. Не затрагивает маршрутизаторы и коммутаторы во внутренней сети компании и в тестовых лабораториях. Маршрутизаторы и коммутаторы в демилитаризованной зоне относятся к политике оборудования демилитаризованной зоны.

Суть политики

Каждый маршрутизатор должен иметь следующие настройки конфигурации:

• на маршрутизаторе не должны создаваться никакие локальные учетные записи. Маршрутизаторы должны использовать TACACS+ для аутентификации сотрудников;

• ЕпаЫе-пароль на маршрутизаторе должен храниться в зашифрованном виде. Маршрутизатор должен иметь enable-пароль, установленный организацией, поддерживающей маршрутизатор;

• на маршрутизаторе должны быть отключены:

– IP directed broadcast,

– входящие пакеты с недействительными адресами, например из RFC1918,

– TCP small services,

– UDP small services,

– весь source routing,

– Web-сервер маршрутизатора;

• маршрутизаторы должны использовать корпоративную стандартизированную community string SNMP;

• списки контроля доступа добавляются по мере необходимости;

• маршрутизатор должен быть включен в корпоративную систему управления сетью и иметь ответственного за него сотрудника;

• каждый маршрутизатор должен иметь следующее приглашение: «Неправомочный доступ к этому устройству сети запрещен. Вы должны иметь явное разрешение для получения доступа или конфигурирования этого устройства. Все действия, выполненные на этом устройстве, будут зарегистрированы, и нарушения этой политики могут иметь своим следствием дисциплинарные меры, о них может быть сообщено в правоохранительные органы. Конфиденциальность действий на устройстве не гарантируется».

Термины и определения

Производственная сеть – сеть, используемая в ежедневном бизнесе компании.

Лабораторная сеть – любая сеть, используемая для тестирования, демонстраций, обучения и т. д., нарушение функционирования которой не повлияет на производственную сеть.

9. Политика обеспечения безопасности серверов

Цель

Установить стандарты конфигураций серверов, находящихся под управлением сотрудников компании. Эффективное выполнение этой политики минимизирует неправомерный доступ к секретам и технологиям компании.

Область действия Эта политика охватывает оборудование, находящееся в собственности компании и/или используемое в ее сети. Данная политика предназначена только для оборудования, находящегося во внутренней сети компании. Стандарты по конфигурации оборудования, находящегося в демилитаризованной зоне, приведены в описании политики оборудования демилитаризованной зоны.