Сергей Петренко - Политики безопасности компании при работе в Интернет
Определенному перечню сотрудников компании и сотрудников сторонних организаций разрешено пользоваться услугами виртуальной частной сети, которая является сервисом, «управляемым пользователем». Это означает, что сотрудник ответственен за выбор интернет-провайдера, проведение инсталляции необходимого программного обеспечения и оплату связанных с этим расходов. Дальнейшие детали могут быть уточнены в политике удаленного доступа.
Дополнительно следует иметь в виду:
• сотрудник, имеющий доступ в корпоративную сеть через виртуальную частную сеть, несет ответственность за недопущение доступа посторонних лиц во внутреннюю сеть компании;
• аутентификация в виртуальной частной сети происходит с использованием или однократных (one-time) паролей, или архитектуры открытых ключей с устойчивыми к взлому ключевыми фразами;
• после установления виртуальной частной сети весь трафик будет идти только через туннель, весь другой трафик будет блокироваться;
• двойные туннели запрещены, разрешено только одно сетевое соединение;
• точки терминирования трафика виртуальных частных сетей будут устанавливаться и обслуживаться группой сетевых операций;
• на всех компьютерах, получающих доступ к внутренней корпоративной сети, должно быть установлено принятое в качестве обязательного в компании антивирусное программное обеспечение с самыми последними обновлениями антивирусных баз;
• соединение через виртуальную частную сеть будет прервано в случае 30-минутного бездействия сотрудника. После этого сотрудник должен снова установить соединение. Использование ping или подобных средств для поддержания активности соединения запрещено;
• общее время непрерывного соединения ограничено 24 часами;
• владельцы компьютеров, не являющиеся сотрудниками компании, должны сконфигурировать свои компьютеры в соответствии с политиками информационной безопасности компании;
• в качестве программных и аппаратных клиентов для организации виртуальной частной сети могут выступать только утвержденные отделом информационной безопасности средства;
• при использовании технологии виртуальных частных сетей компьютеры становятся частью корпоративной сети и должны быть сконфигурированы в соответствии с политиками информационной безопасности компании.Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
IPSec-концентратор – устройство, на котором терминируется трафик виртуальной частной сети.
11. Политика беспроводного доступа в сеть компанииЦель
Эта политика запрещает доступ к корпоративной сети компании через незащищенные беспроводные подключения. Доступ с использованием беспроводных устройств в сеть компании разрешен только с устройств, соответствующих требованиям этой политики или имеющих разрешение отдела информационной безопасности.Область действия Эта политика относится ко всем устройствам с возможностью беспроводного доступа во внутреннюю сеть компании (персональным компьютерам, мобильным телефонам, персональным органайзерам и др.). Беспроводные устройства, не имеющие входа во внутреннюю сеть компании, не подпадают под действие этой политики.
Суть политики
Регистрация точек доступа и беспроводных карт. Все беспроводные точки доступа во внутреннюю сеть компании необходимо зарегистрировать в отделе информационной безопасности и получить разрешение.
Эти точки доступа должны периодически проверяться отделом информационной безопасности на защищенность. Все беспроводные сетевые адаптеры, используемые в переносных и персональных компьютерах, должны быть зарегистрированы в отделе информационной безопасности.
Разрешенная технология. Весь беспроводной доступ во внутреннюю сеть компании настраивается в соответствии с рекомендациями по защите производителя оборудования и лучшими практиками в этой области.
Использование шифрования и аутентификации. Все компьютеры с устройствами для беспроводного доступа должны использовать для подключения виртуальную частную сеть, сконфигурированную для блокирования незашифрованного и неаутентифицированного трафика. Для соответствия этой политике устройства должны поддерживать аппаратное шифрование «точка-точка» с длиной ключа как минимум 56 бит. Кроме того, все устройства должны иметь уникальный аппаратный адрес, который может быть зарегистрирован и журналирован, например МАС-адрес. Все соединения должны быть аутентифицированы на уровне пользователя с проверкой во внешней базе данных, например TACACS+ или RADIUS.
Установка SSID. SSID должен быть сконфигурирован таким образом, чтобы он не содержал какой-либо информации о компании, например названия компании, отдела, имени сотрудника или идентификатора продукта.Ответственность
Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
12. Политика автоматического перенаправления электронной почты компанииЦель
Недопущение преднамеренного или случайного разглашения конфиденциальной информации компании.Область действия Эти политика описывает автоматическое перенаправление электронной почты компании и потенциально возможную непреднамеренную передачу конфиденциальной информации сотрудниками компании, вендорами и агентами, действующими от имени компании за ее пределами.
Суть политики Сотрудники должны действовать очень внимательно при отправке любых почтовых сообщений за пределы компании. Почтовые сообщения не должны автоматически перенаправляться за пределы компании, если только не получено разрешение от отдела информационной безопасности. Конфиденциальная информация (подробнее см. в описании политики классификации информации), не должна перенаправляться, кроме случаев, когда это является критически важным для бизнеса, при передаче информация должна быть зашифрована в соответствии с политикой допустимого шифрования.
Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Электронное почтовое сообщение (почтовое сообщение) – передача информации с помощью почтового протокола типа SMTP или IMAP. Почтовыми клиентами могут быть, например, Eudora или Microsoft Outlook.
Переадресация почты – электронная почта, полученная на почтовый адрес компании и перенаправленная на почтовый адрес, не принадлежащий компании.
Разглашение информации – намеренное или неумышленное раскрытие ограниченной для распространения информации людям, которые не должны ее знать.13. Политика классификации информации
Цель
Помочь сотрудникам в определении информации, которая может быть разглашена ими людям, не являющимся сотрудниками компании, и информации, которая не может быть разглашена ими за пределами компании без получения соответствующего разрешения.
Информация, описываемая в этой политике, – любая информация, хранимая или передаваемая внутри компании на бумажных, электронных и других носителях, получаемая или передаваемая посредством голоса или визуально (телефон, видеоконференция).
Все сотрудники должны ознакомиться с правилами хранения и маркирования информации, описанными в этой политике. Уровни важности информации, приведенные ниже, являются руководством и акцентируют внимание на требуемых шагах по защите конфиденциальной информации (например: конфиденциальная информация не должна оставаться без присмотра в комнатах для конференций).Область действия
Вся информация в компании делится на:
• публичную,
• конфиденциальную.Публичная информация – информация, которая может быть объявлена публично сотрудником, уполномоченным на это, и разглашение этой информации не нанесет ущерба компании.
Конфиденциальная информация – вся остальная информация. Необходимо понимать, что информация бывает более важной и менее важной, более важная должна быть и защищена более тщательно. К информации, которую нужно защищать очень тщательно, относятся торговые секреты, списки возможных приобретений и другая информация, от которой зависит успех компании. К конфиденциальной информации, которую тоже нужно защищать, хотя и менее тщательно, относятся списки телефонов компании, общая информация о структуре компании, списки сотрудников и т. д.
