Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Администратор безопасности сети подчиняется начальнику ИТ-службы и его заместителю, а при организации группы интернет-технологий – руководителю группы.
Администратор безопасности сети обязан:
• администрировать брандмауэр преимущественно с локального терминала;
• использовать усиленную аутентификацию и сквозное шифрование трафика в случае удаленного соединения с брандмауэром;
• не использовать брандмауэр как сервер общего назначения;
• создавать ежедневные, еженедельные и ежемесячные архивные копии системных программ брандмауэра;
• при наличии «зеркального «брандмауэра поддерживать его в «холодном» резерве;
• контролировать все разрешенные соединения с внешними сетями;
• периодически проверять и удалять неиспользуемые логины пользователей;
• вести системный журнал соединений с внешними сетями;
• по указанию руководителя группы удалять все параметры ненужного соединения;
• использовать механизм шифрования при работе с частными виртуальными сетями, VPN;
• контролировать все утвержденные VPN-соединения;
• поддерживать механизмы распределения и администрирования ключей шифрования при эксплуатации VPN-соединений;
• администрировать все основные, вторичные или кэшируемые DNS-серверы;
• ежедневно, еженедельно и ежемесячно обновлять и хранить в установленном месте данные для проверки целостности брандмауэра; документировать параметры конфигурации брандмауэра в рабочих журналах;
• создавать ежедневные, еженедельные и ежемесячные отчеты для анализа сетевой активности;
• каждую неделю анализировать таблицы состояния брандмауэра для выявления следов атак;
• в случае атаки немедленно прибыть к локальному терминалу брандмауэра и предпринять необходимые контрмеры;
• обнаруживать попытки сканирования или зондирования брандмауэра сети; блокировать работу всех типов программ, представляющих угрозу безопасности сети;
• при выявлении факта проникновения поставить в известность руководителя группы и с его разрешения отключить брандмауэр сети от Интернета. Переконфигурировать брандмауэр и подключиться к Интернету; придерживаться рекомендаций производителя брандмауэра в отношении мощности процессора и объема оперативной памяти; производить оценку возможностей каждой новой версии брандмауэра на предмет необходимости установления доработок;
• оперативно модифицировать исполняемый код брандмауэра по рекомендациям его производителя;
• получать модули доработки брандмауэра только у его производителя; подписаться на список рассылки производителя брандмауэра или другим доступным способом получать информацию обо всех требуемых доработках; выявлять недокументированные возможности брандмауэра и уметь их парировать при его эксплуатации;
• запретить использование Интернета в личных целях; запретить доступ в Интернет с использованием нештатных модемов; определить порядок доступа в Интернет через шлюзы сети; регулярно пересматривать политику сетевой безопасности (не реже одного раза в три месяца);
• следить за тем, чтобы структура и параметры сети были скрыты внешним брандмауэром;
• выявлять и наказывать всех нарушителей системной политики безопасности сети;
• тестировать брандмауэр перед началом работы и проверять правильность его конфигурации;
• сконфигурировать брандмауэр так, чтобы он был прозрачен для входящих соединений;
• контролировать трафик на открытый интернет-сервер и закрытый интранет-сервер;
• в случае аварии или сбоя брандмауэра блокировать доступ к любым сетевым службам;
• запретить маршрутизацию источника на всех брандмауэрах и внешних маршрутизаторах;
• блокировать трафик из внешних интерфейсов, выдающих себя за внутренние интерфейсы сети;
• вести журнал нештатных ситуаций брандмауэра;
• вести рабочий журнал работы брандмауэра, в котором отражать: схему сети с IP-адресами всех сетевых устройств, IP-адреса провайдера (внешние серверы новостей, маршрутизаторы, DNS-серверы и др.), параметры конфигурации брандмауэра, правила фильтрации пакетов и т. п.;
• использовать для хранения журналов и системных носителей специальное место хранения с ограниченным доступом;
• по умолчанию запретить все сервисы, которые явно не разрешены;
• проводить регулярный аудит брандмауэра на предмет выявления попыток проникновения или неверного использования Интернета;
• немедленно устранять все ситуации, приводящие к сбою или аварийному завершению брандмауэра;
• обслуживать брандмауэр на выделенном сервере. При этом все системные и прикладные программы, не относящиеся к брандмауэру, удалить или заблокировать;
• протоколировать весь доступ к Интернету;
• выявлять всех нарушителей использования Интернета.
Администратор безопасности сети обязан следить за исправным функционированием сети, выполнять все распоряжения и указания руководителя группы, оказывать ему помощь в поддержании Интернет/интранет-технологий в работоспособном состоянии; оставаясь за старшего группы, выполнять его обязанности.
Инструкция для администратора Web-cepeepa сети
Администратор Web-cepeepa сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми технологиями на основе ТСР/IР-протокола.
Он отвечает за корректное функционирование Web-cepeepa, настройку и поддержание в работоспособном состоянии внутренних Web-серверов и клиентов, а также за реализацию политики безопасности при работе с технологией WWW.
Администратор Web-cepeepa сети подчиняется начальнику ИТ-службы и его заместителю, а при организации группы интернет-технологий – руководителю группы.
Администратор Web-cepeepa сети обязан:
• поддерживать локальные архивы программ Web-серверов и опубликованной ранее информации;
• запретить пользователям устанавливать и запускать Web-серверы;
• не размещать информацию на Web-cepeepe без получения письменного разрешения руководства;
• установить порядок размещения утвержденных документов на Web-cepeepe;
• разрешить пользователям – участникам проекта иметь собственные Web-страницы;
• размещать утвержденные, публично доступные данные на открытом Интернет-сервере;
• размещать утвержденную служебную информацию на внутреннем интранет-сервере в защищенном сегменте сети;
• конфигурировать Web-серверы так, чтобы пользователи не могли устанавливать CGI-скрипты;
• отключить все неутвержденные сетевые приложения за исключением ННТР;
• с помощью IP-адресов разрешить доступ к Web-серверам только авторизованным системам;
• по умолчанию всегда менять пароли пользователей;
Читать дальшеИнтервал:
Закладка:
