Сергей Петренко - Политики безопасности компании при работе в Интернет
• запретить использование Интернета в личных целях; запретить доступ в Интернет с использованием нештатных модемов; определить порядок доступа в Интернет через шлюзы сети; регулярно пересматривать политику сетевой безопасности (не реже одного раза в три месяца);
• следить за тем, чтобы структура и параметры сети были скрыты внешним брандмауэром;
• выявлять и наказывать всех нарушителей системной политики безопасности сети;
• тестировать брандмауэр перед началом работы и проверять правильность его конфигурации;
• сконфигурировать брандмауэр так, чтобы он был прозрачен для входящих соединений;
• контролировать трафик на открытый интернет-сервер и закрытый интранет-сервер;
• в случае аварии или сбоя брандмауэра блокировать доступ к любым сетевым службам;
• запретить маршрутизацию источника на всех брандмауэрах и внешних маршрутизаторах;
• блокировать трафик из внешних интерфейсов, выдающих себя за внутренние интерфейсы сети;
• вести журнал нештатных ситуаций брандмауэра;
• вести рабочий журнал работы брандмауэра, в котором отражать: схему сети с IP-адресами всех сетевых устройств, IP-адреса провайдера (внешние серверы новостей, маршрутизаторы, DNS-серверы и др.), параметры конфигурации брандмауэра, правила фильтрации пакетов и т. п.;
• использовать для хранения журналов и системных носителей специальное место хранения с ограниченным доступом;
• по умолчанию запретить все сервисы, которые явно не разрешены;
• проводить регулярный аудит брандмауэра на предмет выявления попыток проникновения или неверного использования Интернета;
• немедленно устранять все ситуации, приводящие к сбою или аварийному завершению брандмауэра;
• обслуживать брандмауэр на выделенном сервере. При этом все системные и прикладные программы, не относящиеся к брандмауэру, удалить или заблокировать;
• протоколировать весь доступ к Интернету;
• выявлять всех нарушителей использования Интернета.
Администратор безопасности сети обязан следить за исправным функционированием сети, выполнять все распоряжения и указания руководителя группы, оказывать ему помощь в поддержании Интернет/интранет-технологий в работоспособном состоянии; оставаясь за старшего группы, выполнять его обязанности.
Инструкция для администратора Web-cepeepa сети
Администратор Web-cepeepa сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми технологиями на основе ТСР/IР-протокола.
Он отвечает за корректное функционирование Web-cepeepa, настройку и поддержание в работоспособном состоянии внутренних Web-серверов и клиентов, а также за реализацию политики безопасности при работе с технологией WWW.
Администратор Web-cepeepa сети подчиняется начальнику ИТ-службы и его заместителю, а при организации группы интернет-технологий – руководителю группы.
Администратор Web-cepeepa сети обязан:
• поддерживать локальные архивы программ Web-серверов и опубликованной ранее информации;
• запретить пользователям устанавливать и запускать Web-серверы;
• не размещать информацию на Web-cepeepe без получения письменного разрешения руководства;
• установить порядок размещения утвержденных документов на Web-cepeepe;
• разрешить пользователям – участникам проекта иметь собственные Web-страницы;
• размещать утвержденные, публично доступные данные на открытом Интернет-сервере;
• размещать утвержденную служебную информацию на внутреннем интранет-сервере в защищенном сегменте сети;
• конфигурировать Web-серверы так, чтобы пользователи не могли устанавливать CGI-скрипты;
• отключить все неутвержденные сетевые приложения за исключением ННТР;
• с помощью IP-адресов разрешить доступ к Web-серверам только авторизованным системам;
• по умолчанию всегда менять пароли пользователей;
• контролировать сетевой трафик на предмет выявления неавторизованных Web-серверов;
• выявлять и наказывать нарушителей системной политики безопасности сети;
• тестировать все доступные Web-сайты на предмет корректности ссылок;
• запретить использование средств удаленного управления Web-серверами;
• запретить вход в систему с удаленного терминала с правами суперпользователя;
• проводить все исправления программ Web-серверов и ОС, рекомендованные производителями ПО;
• сканировать входящий трафик HTTP на предмет появления неавторизованных Web-серверов;
• осуществлять аудит всех Web-сайтов;
• протоколировать деятельность всех пользователей, некорректно использующих Интернет;
• контролировать разработку и использование CGI-скриптов.
Администратор Web-cepeepa сети обязан следить за исправным функционированием Web-серверов, выполнять все распоряжения и указания руководителя группы, оказывать ему помощь в поддержании интернет/интранет-технологий в работоспособном состоянии; оставаясь за старшего группы, выполнять его обязанности. Инструкция для пользователя интернет/интранет-технологий сети
Пользователь интернет/интранет-технологий сети компании X назначается приказом по подразделению.
Он отвечает за корректное использование интернет/интранет-технологий сети в служебных целях, поддержание в работоспособном состоянии программного обеспечения серверов и клиентов, а также за выполнение принятой политики безопасности сети.
Пользователь интернет/интранет-технологий сети подчиняется начальнику подразделения и его заместителю, а в порядке работы в сети – сотрудникам-администраторам группы интернет-технологий.
Пользователь интернет/интранет-технологий сети обязан:
• использовать интернет только в служебных целях;
• осуществлять выход в Интернет через шлюзы сети, используя рекомендованное ПО;
• не пытаться обойти брандмауэр с помощью модемов или программ сетевого туннелирования;
• при разрешенном удаленном доступе к сети использовать усиленную аутентификацию (одноразовые пароли, информационные подписи, асимметричные ключи);
• не пытаться подключиться к объявленным сайтам, запрещенным для доступа;
• использовать программы поиска WWW, FTP и другие только в служебных целях;
• работать на Web-браузерах, разрешенных администратором безопасности сети;
• проверять все загружаемые файлы WWW на наличие вирусов;
• не обрабатывать на своих Web-браузерах программы Java, JavaScript и ActiveX, не утвержденные начальником ИТ-службы;
• проверять каждый загружаемый файл на наличие вирусов и закладок;
• предоставлять информацию для опубликования на Web-cepeepe только в служебных целях;
• не устанавливать и не запускать Web-серверы;
• соблюдать порядок и правила утверждения официальных документов, установленные в сети;
• при участии в проектах использовать только специальные Web-страницы;
• не использовать электронную почту в личных целях, в ущерб деятельности и политики безопасности сети компании;
• помнить, что все электронные письма, создаваемые и хранимые на компьютерах, являются собственностью компании и не считаются персональными;
• получить личный адрес и пароль у администратора электронной почты сети;
• для отправления электронной почты регистрироваться путем ввода своего имени и пароля на своем браузере по адресу: http://*******;
• не использовать адреса в письмах-«пирамидах»;
• использовать только утвержденные почтовые службы;
• не использовать анонимные адреса;
• не разрешать никому от своего имени посылать письма;
• при отправлении утвержденной конфиденциальной информации использовать доступные механизмы шифрования, аутентификации и сертификации.
Пользователь интернет/интранет-технологий сети обязан помнить, что в соответствии с приказом директора компании X, лица участвующие в передаче по Интернету информации, составляющей коммерческую тайну, несут персональную ответственность.Рекомендуемая политика безопасности компьютерной сети компании X Таблица П6.1. Регламент доступа компьютерной сети предприятия к Интернету
Таблица П6.2. Рекомендуемая политика безопасности сетиОкончание табл. П6.2
Приложение 7 ПЕРЕЧЕНЬ ЗАКОНОДАТЕЛЬНЫХ АКТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Нормативно-правовые акты
• Конституция Российской Федерации, 1993 г.
• Гражданский кодекс Российской Федерации, часть I, 1994 г.
• Гражданский кодекс Российской Федерации, часть II, 1995 г.
• Уголовный кодекс Российской Федерации, 1996 г.
• Постановление Пленума Верховного Суда РФ и Высшего Арбитражного Суда РФ «О некоторых вопросах, связанных с применением части I ГК РФ», № 6/8, 1996 г.
• Концепция национальной безопасности Российской Федерации, утверждена Президентом РФ № Пр-1300, 1997 г.