Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• запрещается поддерживать производственные сервисы на оборудовании лаборатории;
• отдел информационной безопасности будет разбирать каждый случай отказа в доступе.Основные требования к конфигурации:
• весь трафик между производственной сетью и сетью лаборатории должен проходить через межсетевой экран, поддерживаемый отделом поддержки сети. Сетевые устройства лаборатории (включая беспроводные) не должны каким-либо другим способом соединяться с внутренней и производственной сетью компании;
• начальная конфигурация и любые последующие изменения межсетевых экранов должны быть исследованы и одобрены отделом информационной безопасности. Отдел информационной безопасности может затребовать дополнительные настройки безопасности на межсетевых экранах;
• в лаборатории запрещена деятельность, которая может негативно сказаться на производственной сети, типа сканирования портов, спуфинг IP-адресов, трафика и т. д. Такого рода деятельность должна быть ограничена рамками лаборатории;
• трафик между лабораторией и производственной сетью, так же как трафик между отдельными сетями лаборатории, используется только в деловых целях и не должен оказывать негативное влияние на другие сети. Лаборатории не должны иметь сетевые сервисы, которые могут скомпрометировать сервисы производственной сети или подвергнуть опасности конфиденциальную информацию, хранимую внутри лаборатории;
• отдел информационной безопасности имеет право проводить аудит всех данных внутри лаборатории, входящего и исходящего трафика, конфигурации всего оборудования;
• шлюзы лаборатории должны соответствовать стандартам безопасности компании и доступ к ним должен осуществляться через сервер аутентификации компании;
• пароли администрирования шлюзов не должны совпадать с какими-либо паролями на другое оборудование. Пароли должны соответствовать политике использования паролей. Пароли будут предоставляться только тем, кому разрешено администрировать сеть лаборатории;
• в лабораториях, где сотрудники сторонних организаций имеют физический доступ к оборудованию, прямое подключение к производственной сети компании запрещено. В соответствии с политикой классификации информации запрещается размещать и хранить конфиденциальную информацию на оборудовании внутренней лаборатории. Удаленное подключение разрешенного списка сотрудников лаборатории в производственную сеть компании должно быть аутентифицировано на корпоративном сервере аутентификации с использованием временных списков доступа (lock and key access control lists) и осуществляться по защищенным протоколам (SSH, IPSEC) или посредством виртуальной частной сети, как определено отделом информационной безопасности;
• инфраструктурные устройства, например IP-телефоны, которым необходим доступ в сеть компании, должны соответствовать политике открытых областей;
• все внешние соединения в лабораторию должны быть осуществлены после исследования и получения разрешения от отдела информационной безопасности. Аналоговые или ISDN-линии должны быть сконфигурированы на прием звонков только с определенных телефонных номеров. Для аутентификации необходимо использовать устойчивые к взлому пароли;
• все лаборатории, имеющие внешние соединения, не должны иметь доступа к производственной или внутренней сетям компании напрямую или через беспроводные сети.Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Демилитаризованная зона – сеть, размещающаяся за пределами внутренней корпоративной сети, но находящаяся под управлением компании.
Отдел поддержки сети – любая утвержденная отделом информационной безопасности группа, управляющая внутренними сетями компании.
Принцип наименьшего доступа – доступ к сервисам, компьютерам, сетям запрещен, если только это не является необходимым для выполнения обязанностей.
Интернет-сервисы – сервисы, выполняющиеся на устройствах, доступных из-за пределов сети. К ним относятся FTP, DNS, HTTP и т. д.
Граница ответственности отдела поддержки сети – точка, в которой ответственность за поддержку сети переходит от отдела поддержки сети к сотрудникам внутренней лаборатории. Обычно это маршрутизатор или межсетевой экран.
Менеджер лаборатории – сотрудник, ответственный за всю лабораторию и ее персонал.
Лаборатория – сотрудники, оборудование и программное обеспечение, объединенные для разработки, тестирования, демонстрирования продуктов и услуг и обучения пользованию ими.
Межсетевой экран – устройство, контролирующее доступ между сетями, такое как Cisco PIX, маршрутизатор со списками доступа, или подобное устройство, определенное отделом информационной безопасности.
Внутренняя лаборатория – лаборатория внутри корпоративного межсетевого экрана, подключенная к производственной сети компании.
17. Политика экстранетаЦель
Документ описывает политику, которую должны выполнять сторонние организации, подключающиеся к сети компании для ведения совместного бизнеса.Область действия Все соединения к внутренним ресурсам компании, независимо от того, осуществлены они через сети типа Frame Relay, ISDN или посредством виртуальной частной сети, подпадают под действие этой политики. Соединения с поставщиком услуг Интернета и с телефонными сетями общего доступа не подпадают под действие этой политики.
Суть политики
Предпосылки:
оценка безопасности;
Все новые экстранет-подключения будут оцениваться на предмет обеспечения безопасности отделом информационной безопасности. Эта оценка будет гарантировать, что подключения наилучшим образом соответствуют бизнес-по– требностям компании и принципам обеспечения наименьшего доступа.
соглашение о подключении со сторонними организациями;
Для выполнения запроса на новое подключение между сторонней организацией и компанией требуется подписание «Соглашения со сторонней организацией» между ней и уполномоченным представителем компании. Это соглашение подписывают вице-президент компании и уполномоченный представитель сторонней организации. Документы, относящиеся к подключениям к лабораториям компании, хранятся в отделе, отвечающем за безопасность данной лаборатории.
бизнес-потребность;
Все экстранет-подключения должны выполняться только для ведения бизнеса с письменным описанием необходимости такого подключения и с разрешением от менеджера проекта. Подключения к лаборатории должны быть разрешены сотрудником, отвечающим за безопасность лаборатории. Обычно порядок подключения описывается как часть «Соглашения со сторонней организацией».
Читать дальшеИнтервал:
Закладка:
