Политика информационной безопасности для персонала (IT Security Cookbook)

1.Этика

Пользователям информационной системы не разрешается: сообщать свои имена учетных записей и пароли друзьям или родственникам, пытаться подобрать пароли, обрабатывая файлы, хранящие пароли, программами-подборщиками, запускать сетевые сканеры, взламывать чужие учетные записи, прерывать работу систем, использовать системные ресурсы и электронную почту не по назначению, открывать файлы других пользователей за исключением случаев, когда владелец файла попросил об этом, скачивать файлы, копировать нелицензионное ПО или позволять другим пользователям копировать нелицензионное ПО.

2. Парольная политика

Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для неавторизованного доступа в используемые системы.

Содержимое

  • комбинация цифр, прописных и строчных букв, знаков препинания.
  • легкое для запоминания (не нужно записывать).
  • удобное для быстрого ввода (сложно для восприятия подглядывающего).

Примеры

  • выберите несколько строк поэмы, песни и т.д. и используйте только первые буквы слов.
  • соедините два небольших слова необычным символом.
  • придумайте акроним (например, комсомол — коммунистический союз молодежи).

Примеры плохих паролей

  • имя супруга, родителя, коллеги, друга, домашнего животного, названия городов, месяцев, дней.
  • номер машины/мотоцикла, номер телефона.
  • простые слова из любого языка.
  • серия одинаковых цифр/букв.
  • простые клавиатурные последовательности (qwerty, asdf)
  • все вышеперечисленное, введенное в обратной последовательности или с цифрой до или после.

Правила

  • Не записывайте пароли, не пересылайте их по электронной почте(класс 2 1)).
  • Пароли, устанавливаемые по умолчанию не должны использоваться (класс 2).
  • Не передавайте свой пароль посторонним (класс 2).
  • Если пароли скомпрометированы, немедленно меняйте их.
  • Избегайте распространения административных паролей. Используйте группы или утилиты типа 'su'.
  • Если возможна синхронизация паролей пользователей между платформами, используйте ее. Пользователь, скорее всего, будет использовать более стойкий пароль, если он будет единственным.
  • Подробно информируйте пользователей об опасности взлома и примерах его осуществления. Хорошо информированный пользователь - залог выбора стойкого пароля.
  • Все пароли по умолчанию должны быть сменены перед использованием системы.
  • Пароли должны храниться в зашифрованном виде. Шифрование должно быть стойким к брут-форс атакам, проводимым в течение нескольких недель на мощном компьютере.
  • Пароли не должны отображаться во время ввода, отображения условных символов на каждый знак пароля следует избегать.

Пользователь не должен иметь возможности узнать зашифрованные пароли других пользователей (из файла, содержащего пароли).

  • Встраивание паролей из простого текста должно быть исключены любыми средствами. Встраивание шифрованных паролей также необходимо исключить где это возможно.
  • Следует определить минимальный и максимальный срок действия пароля, а также список изменений. Например:
    • Минимальный срок действия - 2 дня, максимальный срок действия = 6 месяцев, минимальная длина - 6 символов (класс 1).
    • Минимальный срок действия - 2 дня, максимальный срок действия = 30 дней, минимальная длина - 6 символов (класс 2).
    • История паролей: использование пяти предыдущих паролей должно быть запрещено (класс 3).
  • Следует определить допустимое содержимое паролей. Система должна проверять пароли на соответствие этим правилам прежде чем принять их. См. раздел «Примеры плохих паролей» (класс 2).
  • Пользователь не должен иметь возможность менять пароли других пользователей, но администратор должен быть в состоянии изменять пароли пользователей.
  • Когда требуется отдельный логин для системы (например, для СУБД Oracle под Линукс), пароль должен быть блокирован во избежание интерактивного входа в систему.
  • Требуйте, если возможно, смены пароля при первом входе в систему (класс 2).

Используйте строгую аутентификацию (например, смарт-токены, смарт-карты, биометрические системы и т. д.) (класс 4).

  • Если возможно, осуществляйте автоматическую генерацию паролей (в помощь пользователям) (класс 3).
  • Программа проверки паролей должна регулярно (раз в неделю) проверять пароли на устойчивость. (класс 3)

3. Программное обеспечение

Общедоступное ПО может использоваться в системах класса 1 и 2 при наличии TCB (т. е. не DOS/Windows), если системный администратор, ответственный за установку ПО уверен в надежности автора/источника. Общедоступное ПО в системах класса 3 следует избегать. Хотя, если это необходимо, применение такого ПО возможно исключительно после анализа исходного кода или (если исходный код большого размера) после года его использования в подобных системах в других (известных и надежных) компаниях и ПО было тщательно протестировано в изолированной среде. Нелицензионное ПО не должно использоваться. Использование игр допустимо если системный администратор уверен, что они не используют более 5% (например) ресурсов (дисковое пространство/память/загрузка процессора) и система не перегружается. UNIX: скрипты SUID и SGID недопустимы в системе. Используйте Tainted Perl или скомпилированные программы.

4.Сети

1. Конфиденциальная информация:

  • Конфиденциальные данные, передаваемые через общедоступные сети, должны быть зашифрованы.

2. Подключение к сетям:

  • Пользователь не может подключить свой компьютер к любой сети кроме локальной.
  • Доступ к внешним (публичным и частным) сетям должен осуществляться через межсетевой экран. Все межсетевые экраны должны инсталлироваться и обслуживаться службой безопасности.

3. Модемы.

  • Пользователям запрещается иметь модемы на своих компьютерах.
  • Доступ по dial-up в корпоративную сеть разрешен определенному кругу лиц. Доступ по dial-up должен осуществляться через защищенные сервера с использованием одноразовых паролей.

4. Электронная почта.

  • Пользователям должно быть известно, что обычные почтовые системы часто не гарантируют защиту информации или точное определение отправителя. В большинстве систем системный администратор может читать всю почту. Данные системы класса 2 могут рассылаться внутри системы без шифрования. Класс 3 должен шифроваться.
  • Данные класса 4 нельзя передавать по электронной почте.
  • Только данные класса 1 и специфическая информация необходимая внешним участникам проекта может быть отправлена за пределы компании.
  • Пользователям должны быть известны риски открытия документов с макросами, файлы в формате постскрипт и установки программ, полученных по электронной почте.

5.Интернет

Подключение к интернету в современном деловом мире является неотъемлемой частью бизнеса, особенно в исследовательских отделах. Из-за недостатков в структуре и методах контроля интернет является источником следующих рисков:

  • Компрометация конфиденциальной информации.
  • Атака хакеров на корпоративные ресурсы.
  • Изменение или удаление информации.
  • Отказ систем из-за высокой нагрузки.

Если пользователям предоставлен доступ в интернет, они должны быть осведомлены о рисках и ознакомлены с политикой использования интернета. Следовательно необходима особая политика доступа к интернет, которая должна быть широко известна и используема:

  • Весь исходящий трафик в интернет должен идти через утвержденные компанией шлюзы, которые сертифицированы на соответствие с корпоративной политикой безопасности.
  • Кому предоставлен стандартный доступ в интернет (например, администраторы, исследовательские отделы).
  • Кому доступна внешняя электронная почта (например, всем).
  • Случаи запрета доступа (например, с серверов класса 3).
  • Разрешенное клиентское ПО для работы в интернет (например, стандартное ПО организации).
  • Недопустимое использование интернет (например, порнографические материалы, загрузка опасного или нелицензионного ПО, случаи пользования в сугубо личных целях и т. д.).
  • Условия предоставление доступа к интернету (например, утвержденная политика использования межсетевого экрана, публикация информации, классифицированной как общедоступная).

6.Ноутбуки и портативные компьютеры

Портативные компьютеры позволяют персоналу быть более продуктивным будучи «в отъезде». Они позволяют осуществлять доступ к информации. С точки зрения безопасности они могут создать риск компрометации информации, быть украдены и стать точкой неавторизованного доступа в корпоративную сеть. Количество мобильных компьютеров растет, поэтому необходима специальная политика по использованию портативных компьютеров:

  • Донесите до пользователей риски при использовании ноутбуков.
  • Парольная защита в таких офисных приложениях как MS Word не является защитой от грамотных злоумышленников.
  • Съемный жесткий диск легко позволяет защититься если убрать его в карман. С другой стороны это упрощает кражу информации.
  • Подготовка и инсталляция ПО должна производиться профессиональным ИТ персоналом. В штате необходимы сотрудники, которые могут дать рекомендацию по выбору модели ноутбука.
  • По возможности установите программу шифрования файлов, обеспечивающую стойкое шифрование 2) и простую в применении. Программа шифрования диска является альтернативой, но она может потребовать специальных знаний для администрирования и повлиять на производительность, а также вызвать проблемы совместимости.
  • Используйте операционную систему, в которой обычный пользователь не имеет полного доступа к системе.
  • Пользователи несут ответственность за ноутбуки за пределами офисного здания.
  • Системы автоматической блокировки экрана и пароли при загрузке должны использоваться везде где это возможно. Загрузочные пароли защищают от любопытного, но не грамотного злоумышленника.
  • Следует установить активный антивирус (установите его всем сотрудникам).
  • В общественном транспорте держите ноутбук при себе.
  • Данные класса 3 не следует переносить в ноутбуках если они не зашифрованы.
  • Выключайте компьютер когда он не используется.
  • Никогда не храните в ноутбуке пароль для доступа в корпоративную локальную сеть.
  • Не передавайте данные класса 3 по небезопасным сетям (таким как интернет, GSM-сетям, инфракрасным портам и т. д.) без шифрования.
  • Доступ в корпоративную локальную сеть через dial-up должен быть определен в политике доступа к сети.
  • Выключайте модемы когда они не используются.

См. также

Источник

boran.com

1) Смотри: Политика информационной безопасности (IT Security Cookbook)
2) например, F-Secure Desktop или PGP Desktop, обладающие стойким алгоритмом шифрования и надежным удалением файлов.
Только авторизованные участники могут оставлять комментарии.