Сергей Петренко - Политики безопасности компании при работе в Интернет
• все пароли на критичные элементы инфраструктуры (серверы, приложения, активное сетевое оборудование) должны храниться в отделе информационной безопасности;
• все пользовательские пароли (например, пароли для доступа к электронной почте, сети, персональному компьютеру, и т. д.) должны меняться по крайней мере один раз в шесть месяцев. Рекомендованный интервал – четыре месяца;
• учетные записи сотрудников, которым предоставили доступ к административным учетным записям на системах через членство в группах или посредством программ типа sudo, должны иметь пароль, отличный от всех других паролей данного пользователя;
• запрещается отправлять пароли в сообщениях электронной почты или с помощью других форм электронного обмена информацией;
• при использовании SNMP community strings не должны быть значениями по умолчанию и должны отличаться от паролей, используемых для аутентификации в интерактивном режиме. Обязательно использование хешей паролей (например, SNMPv2), если это возможно;
• все пароли должны соответствовать стандартам, приведенным ниже.
Руководства:
основные принципы выбора паролей;
Пароли используются для учетных записей сотрудников, для доступа к Web-сайтам, к электронной почте, в режим конфигурирования маршрутизатора. Так как очень небольшое число систем поддерживают использование одноразовых (one-time) паролей, каждый должен знать правила выбора защищенного от взлома пароля и неукоснительно следовать им.
Неправильно подобранные пароли имеют следующие особенности:
– содержат меньше восьми символов;
– являются словами, которые можно найти в словаре;
– представляют собой часто используемые слова: фамилии, клички домашних животных, имена друзей, сотрудников и т. д.; компьютерные термины, названия команд, сайтов, компаний, аппаратных средств, программного обеспечения, – дни рождения и другую личную информацию типа адресов и телефонных номеров; слова или числа типа aaabbb, набранные подряд несколько символов на клавиатуре, например qwerty, zyxwvuts, 123321 и т. д.; любой из вышеупомянутых паролей, записанный в обратном порядке; любой из вышеупомянутых паролей, в начале или в конце которого присутствует цифра (например, secret 1, 1 secret).
Устойчивые к взлому пароли имеют следующие особенности:
– содержат как прописные, так и строчные буквы (например, a-z,A-Z);
– имеют цифры и знаки пунктуации, например 0–9! *$ % А* * () _ + | ~-=
– их длина составляет по крайней мере восемь алфавитно-цифровых символов;
– не являются словами из какого-либо языка, сленга, диалекта, жаргона и т. д.;
– не основаны на личной информации (фамилии, имени);
– пароли нигде не записаны и не хранятся в компьютере. Для создания легко запоминаемого, устойчивого к взлому пароля можно использовать, например, первые буквы куплета песни или другой фразы. Например, берется фраза: «This May Be One Way To Remember», и пароль может быть таким: «TmBlw2R!» или «TmblW› г ~»....Примечание: не используйте ни один из приведенных примеров в качестве пароля.
руководство по защите пароля;
Не используйте один и тот же пароль для доступа к ресурсам компании и для доступа к внешним, по отношению к компании, ресурсам. Везде, где возможно, используйте разные пароли для доступа к ресурсам компании. Например, выберите один пароль для доступа к системе электронной почты и другой для своей учетной записи на компьютере. Никто, кроме вас, не должен знать ваши пароли. Все пароли являются конфиденциальной информацией.
Запрещается:
– сообщать кому-либо свой пароль по телефону;
– отправлять пароль в сообщении электронной почты;
– показывать пароль своему начальнику;
– называть пароль в присутствии других людей;
– намекать на формат пароля (например, «моя фамилия»);
– писать пароль в анкетных опросах;
– давать свой пароль членам семьи;
– давать пароль сотрудникам на время своего отпуска.
Если кто-то требует сообщить ему ваш пароль, покажите ему этот документ или сообщите сотрудникам отдела информационной безопасности. Не используйте возможность запоминания пароля приложениями (например, Eudora, Outlook, Netscape Communicator). He записывайте пароли на бумаге и не храните их в вашем офисе. Не храните пароли в файле на компьютерной системе (включая Palm Pilot или подобные устройства) без шифрования. Пароли должны меняться по крайней мере раз в шесть месяцев (кроме паролей уровня системы, которые должны меняться ежеквартально). Рекомендованный интервал – четыре месяца. Если учетная запись или пароль, как вы подозреваете, были скомпрометированы, сообщите об инциденте в отдел информационной безопасности и измените все пароли. Подбор паролей периодически выполняется отделом информационной безопасности. Если пароль будет взломан во время одной из таких проверок, то пользователь обязан поменять его.
руководство по разработке приложений;
Разработчики приложений должны гарантировать, что их программы содержат следующие меры безопасности. Приложения:
– должны иметь возможность идентификации подлинности сотрудников, а не групп;
– не должны хранить пароли в незашифрованном виде или в любой другой форме, которая позволит получить к ним доступ;
– должны предусматривать управление ролями сотрудников так, чтобы один пользователь мог выполнять функции другого, не зная пароля этого пользователя;
– должны поддерживать TACACS+, RADIUS и/или Х.509 с исправлениями безопасности для LDAP везде, где возможно.
использование паролей или ключевых фраз (passphrase) для удаленного доступа сотрудников;
Доступ к сети компании через систему удаленного доступа должен осуществляться с использованием или одноразовых (one-time) паролей, или инфраструктуры открытых ключей.
ключевая фраза (passphrase).
Ключевая фраза применяется для идентификации подлинности пользователя при использовании инфраструктуры открытых ключей. Данная фраза определяет математические отношения между публичным ключом, который известен всем, и секретным ключом, известным только пользователю. Без этой фразы пользователь не может получить доступ к секретному ключу. Ключевая фраза – это не то же самое, что пароль. Ключевая фраза – более длинная версия пароля и поэтому лучше защищена от взлома. Обычно составляется из нескольких слов. Из-за этого ключевая фраза лучше защищена от взлома методом грубой силы (brute-force). Правильно подобранная ключевая фраза достаточно длинная и содержит комбинацию прописных и строчных символов, чисел и знаков препинания. Пример: «The*?#› *@ TrafficOnThelOlWas* & #! #ThisMorning». Все правила, указанные выше для паролей, обязательны и для ключевых фраз.
Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Учетная запись администратора приложения – любая учетная запись для администрирования приложения (например, администратор базы данных Oracle).
7. Политика оценки рисковЦель
Дать право отделу информационной безопасности проводить периодическую оценку рисков информационной безопасности для определения степени уязвимости и инициирования защитных процессов.Область действия Оценка рисков может быть произведена в отношении любого объекта внутри компании или объекта за ее пределами, если компания имеет соглашения со сторонними организациями. Оценка рисков может быть произведена в отношении любой информационной системы, включая приложения, серверы или сети, любых процессов или процедур, с помощью которых эти системы администрируются и/или поддерживаются.
Суть политики Выполнение, разработка и внедрение мер по уменьшению рисков – обязанность отдела информационной безопасности и отдела, занимающегося поддержкой конкретной системы. Пользователи, ответственные за системы, должны работать совместно с отделом информационной безопасности при проведении оценки рисков и при разработке плана по их уменьшению.
Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Объект – любое подразделение, отдел, группа или третья сторона, внутренние или внешние по отношению к компании, ответственные за поддержание и сохранность ресурсов компании.
Риск – факторы, которые могут нарушать конфиденциальность, целостность или доступность информационных ценностей или систем компании. Отдел информационной безопасности отвечает за поддержание целостности, доступности и конфиденциальности критичной информации и ресурсов и за уменьшение влияния процедур и политик безопасности на производительность компании.