Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
– пароли доступа к базам данных в соответствии с политикой использования паролей считаются паролями системного уровня;
– разработчики должны определить процедуру, гарантирующую, что пароли управляются и изменяются в соответствии с политикой использования паролей. Эта процедура должна включать метод ограничения знания паролей для доступа к базе данных на основе правила «необходимо знать»;
• техники кодирования для реализации этой политики (добавьте ссылки к различным языкам кодирования, рекомендованным в вашей компании, таким, как Perl, Java, С и С++).Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Компьютерный язык – язык, используемый для написания программ.
Атрибуты доступа – что-то, что вы знаете (пароль или ключевая фраза), и/или что-то, что определяет вас (учетная запись, отпечатки пальцев, сетчатка глаза).
Роль – уровень привилегий, который может быть аутентифицирован и авторизован. Уровень привилегий, на основе которого осуществляется доступ к ресурсам.
Тело выполнения – серия инструкций компьютеру, которые он выполняет для реализации логики программы.
15. Политика безопасности лаборатории демилитаризованной зоныЦель
Эта политика устанавливает требования по информационной безопасности для всех сетей и оборудования, расположенных в демилитаризованной зоне. Выполнение этих требований минимизирует потенциальный риск компании от нанесения ущерба путем получения неавторизованного доступа к ресурсам компании, потери конфиденциальной информации и интеллектуальной собственности компании.Область действия Субъекты действия этой политики – лабораторные сети и устройства компании (например, маршрутизаторы, коммутаторы, компьютеры и т. д.), которые доступны из Интернета и размещающиеся за пределами корпоративного межсетевого экрана. Сюда же входят лаборатории, находящиеся у поставщика услуг Интернета и в удаленных местах расположения. Все существующее и будущее оборудование, которое подпадает под область действия данной политики, должно быть сконфигурировано в соответствии с этим документом. Данная политика неприменима к лабораториям, размещающимся внутри корпоративного межсетевого экрана. Стандарты для такого оборудования описаны в политике безопасности внутренней лаборатории.
Суть политики
Владение и ответственность:
• все новые лаборатории демилитаризованной зоны должны иметь письменное обоснование их создания за подписью вице-президента. Обоснования хранятся в отделе информационной безопасности;
• компании, организующие лаборатории, должны определить ответственных менеджеров, основных и резервных контактных лиц для каждой лаборатории. Владельцы лабораторий должны поддерживать список этой информации в актуальном состоянии. Список хранится в отделе информационной безопасности (и в системе управления компанией, если такая существует). Менеджеры лабораторий или резервные контактные лица должны быть доступны круглосуточно;
• должно быть получено разрешение от отдела поддержки сети и отдела информационной безопасности для внесения изменений в схемы подключений и/или задачи существующих лабораторий, а также для создания новых лабораторий;
• все подключения к поставщикам интернет-услуг должны поддерживаться отделом поддержки сети;
• отдел поддержки сети отвечает за поддержку функционирования межсетевого экрана между демилитаризованной зоной и Интернетом;
• отдел поддержки сети и отдел информационной безопасности имеют право заблокировать любые соединения к/от оборудованию лабораторий, если это несет угрозу безопасности сети компании;
• сотрудники лаборатории демилитаризованной зоны поддерживают функционирование всех устройств, расположенных в демилитаризованной зоне до границы зоны ответственности отдела поддержки сети;
• отдел поддержки сети должен иметь список всех IP-адресов и ответственных за оборудование лиц лаборатории демилитаризованной зоны (такой же список хранится в системе управления компанией, если такая существует);
• менеджеры демилитаризованной лаборатории несут полную ответственность за нее в соответствии с этой политикой;
• в соответствии с политикой аудита уязвимостей отделу поддержки сети и отделу информационной безопасности должен при необходимости предоставляться немедленный доступ к оборудованию и журналам оборудования демилитаризованной зоны;
• тестовые учетные записи должны быть удалены в течение трех дней после того, как доступ станет ненужным. Пароли на групповые учетные записи должны быть изменены в течение трех дней после изменения состава членов группы;
• отдел информационной безопасности будет разбирать каждый случай отказа в доступе.Основные требования к конфигурации:
• производственная сеть компании не должна зависеть от сетей лаборатории демилитаризованной зоны;
• лаборатории демилитаризованной зоны не должны иметь соединений с внутренней сетью компании напрямую или через беспроводную сеть
• оборудование лабораторий демилитаризованной зоны должно быть размещено в серверных, физически отделенных от оборудования внутренних сетей компании. Если это невозможно, то данное оборудование должно размещаться в запираемой на ключ серверной стойке. Менеджер лаборатории должен иметь у себя список, в котором указаны лица, имеющие доступ к оборудованию;
• менеджер лаборатории отвечает за выполнение следующих политик:
– политики использования паролей,
– политики беспроводного доступа в сеть компании,
– политики лаборатории антивирусной защиты;
• отдел поддержки сети, поддерживающий функционирование межсетевых экранов, должен сконфигурировать их в соответствии с принципами наименьшего доступа и обеспечения функционирования лаборатории демилитаризованной зоны. Все списки доступа утверждаются отделом информационной безопасности;
• межсетевой экран должен быть единственной точкой доступа между лабораторией и внутренней сетью компании и/или Интернетом. Все другие способы подключения запрещены;
• начальная конфигурация и любые последующие изменения межсетевых экранов должны быть исследованы и одобрены отделом информационной безопасности. Отдел информационной безопасности может затребовать дополнительные настройки безопасности на межсетевых экранах;
• трафик из лаборатории демилитаризованной зоны во внутреннюю сеть компании, включая доступ посредством частной виртуальной сети, попадает под действие политики удаленного доступа;
Читать дальшеИнтервал:
Закладка:
