Политика безопасности при работе в Интернете

         

Средний риск



Средний риск

Доступ к информации класса ХХХ и ее обработка из Интернета (при ее несанкционированной модификации, раскрытии или уничтожении имеет место небольшой ущерб) требует использования паролей, а доступ ко всем остальным видам ресурсов требует использования устойчивой аутентификации.

Доступ в режиме telnet к корпоративным ресурсам из Интернета требует использования устойчивой аутентификации.




Средний риск

Политика контроля за импортом программ для Среды со средним риском должна требовать более частых проверок на вирусы, и использования антивирусных программ для проверки серверов и электронной почты.

Предотвращение:

Программы должны загружаться и устанавливаться только сетевым администратором (который проверяет их на вирусы или тестирует).

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигуированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Все приходящие электронные письма должны проверяться на вирусы. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы.

Программа обучения сотрудников компьютерной безопасности должна содержать следующую информацию о риске заражения вирусами:

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно обновляться (ежемесячно или ежеквартально) для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать системному администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

Обнаружение:



Должны использоваться коммерческие антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы должны обновляться каждый месяц. Все программы или данные, импортируемые в компьютер (с дискет, электронной почты и т.д.) должны проверяться на вирусы перед их использованием.

Журналы работы антивирусных средств должны сохраняться и просматриваться системными администраторами. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

При получении информации о заражении вирусом системный администратор должен информировать всех пользователей, которые имеют доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус возможно заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса системным администраторам.

Удаление:

Любая машина, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети . Машина не должна подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении вируса. По возможности должны использоваться коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи при необходимости. Все эти программы должны быть повторно установлены из надежных источников и повторно проверены на вирусы. (В России зарегистрированные пользователи могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса).





Средний риск

Если это возможно, брандмауэыр должны быть сконфигурированы так, чтобы блокировать загрузку апплетов из внешних источников и загрузку апплетов из внутренних доверенных сетей внешними пользователями, если только для защиты от недоверенных источников не используется технология аутентификации.

Пользователи должны сконфигурировать свои браузеры так, чтобы загрузка апплетов была возможна только из надежных источников. Если это невозможно, то браузеры следует сконфигурировать так, чтобы загрузка апплетов была запрещена.

При необходимости следует разрешить загружать апплеты только в исследовательских сетях, но не в тех, которые используются для обеспечения работы организации.





Средний риск

Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий.

Когда требуется удаленный доступ для администрирования брандмауэра, он должен осуществляться только с других хостов внутренней сети организации. Такой внутренний удаленный доступ требует усиленной аутентификации, такой как одноразовые пароли и смарт-карты. Удаленный доступ по небезопасным сетям, таким как Интернет, требует использования сквозного шифрования всего трафика соединения и усиленной аутентификации.





Средний риск

Пользователь

Для удаленного доступа к внутренним системам организации требуется усиленная аутентификация с помощью одноразовых паролей и смарт-карт.

Начальник отдела

Администраторы брандмауэра и другие руководители, ответственные за компьютерную безопасность, должны регулярно пересматривать политику сетевой безопасности (не реже чем раз в три месяца). При изменении требований к работе в сети и сетевым сервисам политика безопасности должна быть обновлена и утверждена заново. При необходимости внесения изменений администратора брандмауэра отвечает за реализацию изменений на брандмауэре и модификацию политики.

Структура и параметры внутренней сети организации не должны быть видимы из-за брандмауэра.

Сотрудник отдела автоматизации

Брандмауэр должен быть сконфигурирован так, чтобы по умолчанию все сервисы, которые не разрешены, были запрещены. Должен производиться регулярный аудит его журналов на предмет выявления попыток проникновения или неверного использования Интернета.

Брандмауэр должен практически сразу уведомлять системного администратора при возникновении ситуации, требующей его немедленного вмешательства, такой как проникновение в сеть, отсутствие места на диске и т.д.

Брандмауэр должен работать на специальном компьютере - все программы, не относящиеся к брандмауэру, такие как компиляторы, редакторы, коммуникационные программы и т.д., должны быть удалены или доступ к ним должен быть заблокирован.





Средний риск

Пользователь

Служащие пользуются программами для поиска информации в WWW только для более лучшего выполнения ими своих должностных обязанностей.

Все программы, используемые для доступа к WWW, должны быть утверждены сетевым администратором и на них должны быть установлены все доработки производителя(patch), связанные с безопасностью.

Все файлы, загружаемые с помощью WWW, должны проверяться на вирусы с помощью утвержденных руководством антивирусных программ.

Во всех браузерах должно быть запрещена обработка Java, Javascript и ActiveX из-за небезопасности данных технологий.

Могут использоваться или загружаться только версии браузеров, использование которых разрешено в организациит. Другие версии могут содержать вирусы или ошибки.

Все веб-браузеры должны быть сконфигурированы так, чтобы использовать прокси-сервер для WWW из состава брандмауэра.

При посылке данных на веб-сервер с помощью форм HTML из браузера, удостоверьтесь, что установлен механизм, такой как SSL (Secure Sockets Layer), для шифрования сообщения при посылке его.





Средний риск

Пользователь

Пользователям запрещено устанавливать или запускать веб-сервера.

В отношении веб-страниц должен соблюдаться установленный в организации порядок утверждения документов, отчетов, маркетинговой информации и т.д.

Менеджер

Менеджерам и пользователям разрешено иметь веб-страницы для участия в проекте или выполнения своих должностных обязанностей

Сотрудник отдела автоматизации

Веб-сервер и любые данные, являющиеся публично доступными, должны быть размещены за пределами брандмауэра организации.

Веб-сервера должны сконфигурированы так, чтобы пользователи не могли устанавливать CGI-скрипты

Все сетевые приложения, кроме HTTP, должны быть отключены (например, SMTP, FTP и т.д.)

Информационные сервера должны быть размещены в защищенной подсети для изоляции их от других систем организации. Это уменьшает вероятность того, что информационный сервер будет скомпрометирован и использован для атаки на другие системы организации.

При использования средств администрирования с помощью WWW, ограничьте доступ к нему только авторизованных систем (с помощью IP-адресов, а не имен хостов). Всегда меняйте пароли по умолчанию.





Средний риск

Пользователь

Электронная почта предоставляется сотрудникам организации только для выполнения ими своих служебных обязанностей. Использование ее в личных целях запрещено.

Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты.

Могут использоваться только утвержденные почтовые программы.

Нельзя устанавливать анонимные ремэйлеры

Служащим запрещено использовать анонимные ремэйлеры

Менеджер

Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты.

Если будет установлено, что сотрудник неправильно использует электронную почту с умыслом, он будет наказан

Сотрудник отдела автоматизации

Почтовая система должна обеспечивать только один внешний электронный адрес для каждого сотрудника. Этот адрес не должен содержать имени внутренней системы или должности

Должен вестись локальный архив MIME-совместимых программ для просмотра специальных форматов и быть доступен для внутреннего использования..



Содержание раздела