Сергей Петренко - Политики безопасности компании при работе в Интернет
Цель
Этот документ описывает минимально необходимые настройки безопасности в конфигурации всех маршрутизаторов и коммутаторов, имеющих соединение с корпоративной сетью компании или управляемых специалистами компании в рамках предоставления услуг клиентам.Область действия Затрагивает все маршрутизаторы и коммутаторы, соединяющиеся с корпоративной сетью компании. Не затрагивает маршрутизаторы и коммутаторы во внутренней сети компании и в тестовых лабораториях. Маршрутизаторы и коммутаторы в демилитаризованной зоне относятся к политике оборудования демилитаризованной зоны.
Суть политики
Каждый маршрутизатор должен иметь следующие настройки конфигурации:
• на маршрутизаторе не должны создаваться никакие локальные учетные записи. Маршрутизаторы должны использовать TACACS+ для аутентификации сотрудников;
• ЕпаЫе-пароль на маршрутизаторе должен храниться в зашифрованном виде. Маршрутизатор должен иметь enable-пароль, установленный организацией, поддерживающей маршрутизатор;
• на маршрутизаторе должны быть отключены:
– IP directed broadcast,
– входящие пакеты с недействительными адресами, например из RFC1918,
– TCP small services,
– UDP small services,
– весь source routing,
– Web-сервер маршрутизатора;
• маршрутизаторы должны использовать корпоративную стандартизированную community string SNMP;
• списки контроля доступа добавляются по мере необходимости;
• маршрутизатор должен быть включен в корпоративную систему управления сетью и иметь ответственного за него сотрудника;
• каждый маршрутизатор должен иметь следующее приглашение: «Неправомочный доступ к этому устройству сети запрещен. Вы должны иметь явное разрешение для получения доступа или конфигурирования этого устройства. Все действия, выполненные на этом устройстве, будут зарегистрированы, и нарушения этой политики могут иметь своим следствием дисциплинарные меры, о них может быть сообщено в правоохранительные органы. Конфиденциальность действий на устройстве не гарантируется».Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Производственная сеть – сеть, используемая в ежедневном бизнесе компании.
Лабораторная сеть – любая сеть, используемая для тестирования, демонстраций, обучения и т. д., нарушение функционирования которой не повлияет на производственную сеть.
9. Политика обеспечения безопасности серверовЦель
Установить стандарты конфигураций серверов, находящихся под управлением сотрудников компании. Эффективное выполнение этой политики минимизирует неправомерный доступ к секретам и технологиям компании.Область действия Эта политика охватывает оборудование, находящееся в собственности компании и/или используемое в ее сети. Данная политика предназначена только для оборудования, находящегося во внутренней сети компании. Стандарты по конфигурации оборудования, находящегося в демилитаризованной зоне, приведены в описании политики оборудования демилитаризованной зоны.
Суть политики
Владельцы и обязанности. Все внутренние серверы, развернутые в сети компании, должны быть закреплены за эксплуатационной группой, которая является ответственной за администрирование систем. Стандарты конфигурации серверов устанавливаются и поддерживаются эксплуатационной группой исходя из бизнес-потребностей, одобряются они отделом информационной безопасности. Эксплуатационные группы должны отслеживать соответствие конфигурации стандартам, а в случае необходимости – реализовывать отклонения от стандартов. Каждая эксплуатационная группа определяет процесс изменения стандартов конфигурации, который должен включать в себя анализ изменений и разрешение от отдела информационной безопасности.
Требования отдела информационной безопасности:
• серверы должны быть зарегистрированы в корпоративной системе управления компании. Как минимум, должна иметься следующая информация о сервере: ответственный, местоположение оборудования и ответственный за резервное копирование; производитель оборудования и версия операционной системы; основные функции и приложения;
• информация в корпоративной системе управления компании должна своевременно обновляться;
• изменения в конфигурациях серверов должны соответствовать процедурам управления изменениями.
Основные настройки конфигурации:
• конфигурация операционной системы должна быть произведена в соответствии с установленными отделом информационной безопасности стандартами;
• неиспользуемые сервисы и приложения должны быть отключены/удалены;
• доступ к сервисам должен журналироваться и/или защищаться с использованием методов контроля доступа;
• обновления средств безопасности должны быть установлены сразу после их появления, допустимо единственное исключение, когда приложение не может быть остановлено из-за его критичности;
• доверительные отношения между системами приводят к увеличению рисков безопасности. Не используйте доверительные отношения, если есть другой метод, способный реализовать необходимые задачи;
• необходимо всегда использовать принцип наименьших привилегий;
• не следует использовать администраторскую учетную запись, если можно выполнить задачу с применением непривилегированной учетной записи;
• привилегированный доступ, если это технически возможно, должен осуществляться с помощью SSH или IPSec;
• серверы должны быть физически расположены в помещении с ограниченным доступом;
• запрещается размещать серверы в незащищенных помещениях.Мониторинг. Все связанные с безопасностью события на критических или важных системах регистрируются, и журналы должны храниться следующим образом:
• все связанные с безопасностью события хранятся в офисе как минимум 1 неделю;
• ежедневные инкрементальные резервные копии хранятся в течение 1 месяца;
• еженедельные полные резервные копии журналов хранятся в течение 1 месяца;
• ежемесячные полные резервные копии хранятся как минимум 2 года;
• о событиях, связанных с нарушением безопасности, следует немедленно сообщать в отдел информационной безопасности, который будет проводить анализ и разбор инцидентов. При необходимости будут определены корректирующие меры защиты. События, связанные с нарушением безопасности, включают: сканирование портов, доказательства неправомерного доступа к привилегированным учетным записям, аномальные события, которые не связаны с нормальным функционированием приложений, и т. д.Соглашения:
• аудит будет проводиться регулярно;
• управление проведением аудита возлагается на группу внутреннего аудита или на отдел информационной безопасности, в соответствии с политикой аудита уязвимости. Отдел информационной безопасности обрабатывает полученные данные и затем представляет их в соответствующие группы для проведения корректирующих работ;
• должны быть предприняты все меры по недопущению выхода из строя оборудования или остановки сервисов во время проведения аудита.Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Демилитаризованная зона – часть сети компании, внешняя по отношению к корпоративной сети.
Сервер – в рамках этой политики сервер определяется как внутренний сервер компании. Компьютеры сотрудников и оборудование лабораторий не затрагиваются этой политикой.10. Политика виртуальных частных сетей
Цель Установить стандарты для удаленного доступа к внутренней корпоративной сети через виртуальные частные сети, построенные с использованием IPSec и L2TP.
Область действия Эта политика обязательна для всех сотрудников компании, внешних консультантов, временных и других работников, включая весь персонал сторонних организаций, использующий виртуальные частные сети для доступа в сеть компании. Эта политика применима и к реализации виртуальной частной сети с использованием IPSec-концентратора.
Суть политики
Определенному перечню сотрудников компании и сотрудников сторонних организаций разрешено пользоваться услугами виртуальной частной сети, которая является сервисом, «управляемым пользователем». Это означает, что сотрудник ответственен за выбор интернет-провайдера, проведение инсталляции необходимого программного обеспечения и оплату связанных с этим расходов. Дальнейшие детали могут быть уточнены в политике удаленного доступа.
