====== Политика информационной безопасности для персонала (IT Security Cookbook) ====== ===== 1.Этика ===== Пользователям информационной системы не разрешается: сообщать свои имена учетных записей и пароли друзьям или родственникам, пытаться подобрать пароли, обрабатывая файлы, хранящие пароли, программами-подборщиками, запускать сетевые сканеры, взламывать чужие учетные записи, прерывать работу систем, использовать системные ресурсы и электронную почту не по назначению, открывать файлы других пользователей за исключением случаев, когда владелец файла попросил об этом, скачивать файлы, копировать нелицензионное ПО или позволять другим пользователям копировать нелицензионное ПО. =====2. Парольная политика ===== Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для неавторизованного доступа в используемые системы. __Содержимое__ * комбинация цифр, прописных и строчных букв, знаков препинания. * легкое для запоминания (не нужно записывать). * удобное для быстрого ввода (сложно для восприятия подглядывающего). __Примеры__ * выберите несколько строк поэмы, песни и т.д. и используйте только первые буквы слов. * соедините два небольших слова необычным символом. * придумайте акроним (например, комсомол — коммунистический союз молодежи). __Примеры плохих паролей__ * имя супруга, родителя, коллеги, друга, домашнего животного, названия городов, месяцев, дней. * номер машины/мотоцикла, номер телефона. * простые слова из любого языка. * серия одинаковых цифр/букв. * простые клавиатурные последовательности (qwerty, asdf) * все вышеперечисленное, введенное в обратной последовательности или с цифрой до или после. __Правила__ * Не записывайте пароли, не пересылайте их по электронной почте(класс 2 ((Смотри: [[шаблоны:пзи|Политика информационной безопасности (IT Security Cookbook)]]))). * Пароли, устанавливаемые по умолчанию не должны использоваться (класс 2). * Не передавайте свой пароль посторонним (класс 2). * Если пароли скомпрометированы, немедленно меняйте их. * Избегайте распространения административных паролей. Используйте группы или утилиты типа 'su'. * Если возможна синхронизация паролей пользователей между платформами, используйте ее. Пользователь, скорее всего, будет использовать более стойкий пароль, если он будет единственным. * Подробно информируйте пользователей об опасности взлома и примерах его осуществления. Хорошо информированный пользователь - залог выбора стойкого пароля. * Все пароли по умолчанию должны быть сменены перед использованием системы. * Пароли должны храниться в зашифрованном виде. Шифрование должно быть стойким к брут-форс атакам, проводимым в течение нескольких недель на мощном компьютере. * Пароли не должны отображаться во время ввода, отображения условных символов на каждый знак пароля следует избегать. Пользователь не должен иметь возможности узнать зашифрованные пароли других пользователей (из файла, содержащего пароли). * Встраивание паролей из простого текста должно быть исключены любыми средствами. Встраивание шифрованных паролей также необходимо исключить где это возможно. * Следует определить минимальный и максимальный срок действия пароля, а также список изменений. Например: * Минимальный срок действия - 2 дня, максимальный срок действия = 6 месяцев, минимальная длина - 6 символов (класс 1). * Минимальный срок действия - 2 дня, максимальный срок действия = 30 дней, минимальная длина - 6 символов (класс 2). * История паролей: использование пяти предыдущих паролей должно быть запрещено (класс 3). * Следует определить допустимое содержимое паролей. Система должна проверять пароли на соответствие этим правилам прежде чем принять их. См. раздел "Примеры плохих паролей" (класс 2). * Пользователь не должен иметь возможность менять пароли других пользователей, но администратор должен быть в состоянии изменять пароли пользователей. * Когда требуется отдельный логин для системы (например, для СУБД Oracle под Линукс), пароль должен быть блокирован во избежание интерактивного входа в систему. * Требуйте, если возможно, смены пароля при первом входе в систему (класс 2). Используйте строгую аутентификацию (например, смарт-токены, смарт-карты, биометрические системы и т. д.) (класс 4). * Если возможно, осуществляйте автоматическую генерацию паролей (в помощь пользователям) (класс 3). * Программа проверки паролей должна регулярно (раз в неделю) проверять пароли на устойчивость. (класс 3) ===== 3. Программное обеспечение ===== Общедоступное ПО может использоваться в системах класса 1 и 2 при наличии TCB (т. е. не DOS/Windows), если системный администратор, ответственный за установку ПО уверен в надежности автора/источника. Общедоступное ПО в системах класса 3 следует избегать. Хотя, если это необходимо, применение такого ПО возможно исключительно после анализа исходного кода или (если исходный код большого размера) после года его использования в подобных системах в других (известных и надежных) компаниях и ПО было тщательно протестировано в изолированной среде. Нелицензионное ПО не должно использоваться. Использование игр допустимо если системный администратор уверен, что они не используют более 5% (например) ресурсов (дисковое пространство/память/загрузка процессора) и система не перегружается. UNIX: скрипты SUID и SGID недопустимы в системе. Используйте Tainted Perl или скомпилированные программы. ===== 4.Сети ===== 1. Конфиденциальная информация: * Конфиденциальные данные, передаваемые через общедоступные сети, должны быть зашифрованы. 2. Подключение к сетям: * Пользователь не может подключить свой компьютер к любой сети кроме локальной. * Доступ к внешним (публичным и частным) сетям должен осуществляться через межсетевой экран. Все межсетевые экраны должны инсталлироваться и обслуживаться службой безопасности. 3. Модемы. * Пользователям запрещается иметь модемы на своих компьютерах. * Доступ по dial-up в корпоративную сеть разрешен определенному кругу лиц. Доступ по dial-up должен осуществляться через защищенные сервера с использованием одноразовых паролей. 4. Электронная почта. * Пользователям должно быть известно, что обычные почтовые системы часто не гарантируют защиту информации или точное определение отправителя. В большинстве систем системный администратор может читать всю почту. Данные системы класса 2 могут рассылаться внутри системы без шифрования. Класс 3 должен шифроваться. * Данные класса 4 нельзя передавать по электронной почте. * Только данные класса 1 и специфическая информация необходимая внешним участникам проекта может быть отправлена за пределы компании. * Пользователям должны быть известны риски открытия документов с макросами, файлы в формате постскрипт и установки программ, полученных по электронной почте. ===== 5.Интернет ===== Подключение к интернету в современном деловом мире является неотъемлемой частью бизнеса, особенно в исследовательских отделах. Из-за недостатков в структуре и методах контроля интернет является источником следующих рисков: * Компрометация конфиденциальной информации. * Атака хакеров на корпоративные ресурсы. * Изменение или удаление информации. * Отказ систем из-за высокой нагрузки. Если пользователям предоставлен доступ в интернет, они должны быть осведомлены о рисках и ознакомлены с политикой использования интернета. Следовательно необходима особая политика доступа к интернет, которая должна быть широко известна и используема: * Весь исходящий трафик в интернет должен идти через утвержденные компанией шлюзы, которые сертифицированы на соответствие с корпоративной политикой безопасности. * Кому предоставлен стандартный доступ в интернет (например, администраторы, исследовательские отделы). * Кому доступна внешняя электронная почта (например, всем). * Случаи запрета доступа (например, с серверов класса 3). * Разрешенное клиентское ПО для работы в интернет (например, стандартное ПО организации). * Недопустимое использование интернет (например, порнографические материалы, загрузка опасного или нелицензионного ПО, случаи пользования в сугубо личных целях и т. д.). * Условия предоставление доступа к интернету (например, утвержденная политика использования межсетевого экрана, публикация информации, классифицированной как общедоступная). ===== 6.Ноутбуки и портативные компьютеры ===== Портативные компьютеры позволяют персоналу быть более продуктивным будучи "в отъезде". Они позволяют осуществлять доступ к информации. С точки зрения безопасности они могут создать риск компрометации информации, быть украдены и стать точкой неавторизованного доступа в корпоративную сеть. Количество мобильных компьютеров растет, поэтому необходима специальная политика по использованию портативных компьютеров: * Донесите до пользователей риски при использовании ноутбуков. * Парольная защита в таких офисных приложениях как MS Word не является защитой от грамотных злоумышленников. * Съемный жесткий диск легко позволяет защититься если убрать его в карман. С другой стороны это упрощает кражу информации. * Подготовка и инсталляция ПО должна производиться профессиональным ИТ персоналом. В штате необходимы сотрудники, которые могут дать рекомендацию по выбору модели ноутбука. * По возможности установите программу шифрования файлов, обеспечивающую стойкое шифрование ((например, F-Secure Desktop или PGP Desktop, обладающие стойким алгоритмом шифрования и надежным удалением файлов.)) и простую в применении. Программа шифрования диска является альтернативой, но она может потребовать специальных знаний для администрирования и повлиять на производительность, а также вызвать проблемы совместимости. * Используйте операционную систему, в которой обычный пользователь не имеет полного доступа к системе. * Пользователи несут ответственность за ноутбуки за пределами офисного здания. * Системы автоматической блокировки экрана и пароли при загрузке должны использоваться везде где это возможно. Загрузочные пароли защищают от любопытного, но не грамотного злоумышленника. * Следует установить активный антивирус (установите его всем сотрудникам). * В общественном транспорте держите ноутбук при себе. * Данные класса 3 не следует переносить в ноутбуках если они не зашифрованы. * Выключайте компьютер когда он не используется. * Никогда не храните в ноутбуке пароль для доступа в корпоративную локальную сеть. * Не передавайте данные класса 3 по небезопасным сетям (таким как интернет, GSM-сетям, инфракрасным портам и т. д.) без шифрования. * Доступ в корпоративную локальную сеть через dial-up должен быть определен в политике доступа к сети. * Выключайте модемы когда они не используются. ===== См. также ===== * [[шаблоны:пзи|Политика информационной безопасности (IT Security Cookbook)]] * [[шаблоны:пиб_фз|Политика обеспечения физической защиты (IT Security Cookbook)]] * [[англоязычные:непереведенные:политика|Политика обеспечения компьютерной и сетевой безопасности (IT Security Cookbook)]] * [[шаблоны:пиб_бизнес|Политика обеспечения непрерывности ведения бизнеса (IT Security Cookbook)]] ===== Источник ===== [[http://www.boran.com/security/IT1x-6.html|boran.com]]