Политика информационной безопасности для персонала (IT Security Cookbook)

Материал из SecurityPolicy.ru

Перейти к: навигация, поиск
ЭТОТ ДОКУМЕНТ ПЕРЕВЕДЕН С ИНОСТРАННОГО ЯЗЫКА

Если вы не согласны с текстом перевода, вы можете внести правку (исходный текст документа размещен в комментариях).


Содержание

[править] 1.Этика

Пользователям информационной системы не разрешается: сообщать свои имена учетных записей и пароли друзьям или родственникам, пытаться подобрать пароли, обрабатывая файлы, хранящие пароли, программами-подборщиками, запускать сетевые сканеры, взламывать чужие учетные записи, прерывать работу систем, использовать системные ресурсы и электронную почту не по назначению, открывать файлы других пользователей за исключением случаев, когда владелец файла попросил об этом, скачивать файлы, копировать нелицензионное ПО или позволять другим пользователям копировать нелицензионное ПО.

[править] 2. Парольная политика

Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для неавторизованного доступа в используемые системы.

Содержимое

  • комбинация цифр, прописных и строчных букв, знаков препинания.
  • легкое для запоминания (не нужно записывать).
  • удобное для быстрого ввода (сложно для восприятия подглядывающего).

Примеры

  • выберите несколько строк поэмы, песни и т.д. и используйте только первые буквы слов.
  • соедините два небольших слова необычным символом.
  • придумайте акроним (например, комсомол — коммунистический союз молодежи).

Примеры плохих паролей

  • имя супруга, родителя, коллеги, друга, домашнего животного, названия городов, месяцев, дней.
  • номер машины/мотоцикла, номер телефона.
  • простые слова из любого языка.
  • серия одинаковых цифр/букв.
  • простые клавиатурные последовательности (qwerty, asdf)
  • все вышеперечисленное, введенное в обратной последовательности или с цифрой до или после.

Правила

  • Не записывайте пароли, не пересылайте их по электронной почте(класс 2[1]).
  • Пароли, устанавливаемые по умолчанию не должны использоваться (класс 2).
  • Не передавайте свой пароль посторонним (класс 2).
  • Если пароли скомпрометированы, немедленно меняйте их.
  • Избегайте распространения административных паролей. Используйте группы или утилиты типа 'su'.
  • Если возможна синхронизация паролей пользователей между платформами, используйте ее. Пользователь, скорее всего, будет использовать более стойкий пароль, если он будет единственным.
  • Подробно информируйте пользователей об опасности взлома и примерах его осуществления. Хорошо информированный пользователь - залог выбора стойкого пароля.
  • Все пароли по умолчанию должны быть сменены перед использованием системы.
  • Пароли должны храниться в зашифрованном виде. Шифрование должно быть стойким к брут-форс атакам, проводимым в течение нескольких недель на мощном компьютере.
  • Пароли не должны отображаться во время ввода, отображения условных символов на каждый знак пароля следует избегать.
  • Пользователь не должен иметь возможности узнать зашифрованные пароли других пользователей (из файла, содержащего пароли).
  • Встраивание паролей из простого текста должно быть исключены любыми средствами. Встраивание шифрованных паролей также необходимо исключить где это возможно.
  • Следует определить минимальный и максимальный срок действия пароля, а также список изменений. Например:
Минимальный срок действия - 2 дня, максимальный срок действия = 6 месяцев, минимальная длина - 6 символов (класс 1).
Минимальный срок действия - 2 дня, максимальный срок действия = 30 дней, минимальная длина - 6 символов (класс 2).
История паролей: использование пяти предыдущих паролей должно быть запрещено (класс 3).
  • Следует определить допустимое содержимое паролей. Система должна проверять пароли на соответствие этим правилам прежде чем принять их. См. раздел "Примеры плохих паролей" (класс 2).
  • Пользователь не должен иметь возможность менять пароли других пользователей, но администратор должен быть в состоянии изменять пароли пользователей.
  • Когда требуется отдельный логин для системы (например, для СУБД Oracle под Линукс), пароль должен быть блокирован во избежание интерактивного входа в систему.
  • Требуйте, если возможно, смены пароля при первом входе в систему (класс 2).
  • Используйте строгую аутентификацию (например, смарт-токены, смарт-карты, биометрические системы и т. д.) (класс 4).
  • Если возможно, осуществляйте автоматическую генерацию паролей (в помощь пользователям) (класс 3).
  • Программа проверки паролей должна регулярно (раз в неделю) проверять пароли на устойчивость. (класс 3)

[править] 3. Программное обеспечение

Общедоступное ПО может использоваться в системах класса 1 и 2 при наличии TCB (Trusted computing base - система надежных вычислений, см. www.boran.com/security/it15-os-overview.html) (т. е. не DOS/Windows), если системный администратор, ответственный за установку ПО уверен в надежности автора/источника. Общедоступное ПО в системах класса 3 следует избегать. Хотя, если это необходимо, применение такого ПО возможно исключительно после анализа исходного кода или (если исходный код большого размера) после года его использования в подобных системах в других (известных и надежных) компаниях и ПО было тщательно протестировано в изолированной среде. Нелицензионное ПО не должно использоваться. Использование игр допустимо если системный администратор уверен, что они не используют более 5% (например) ресурсов (дисковое пространство/память/загрузка процессора) и система не перегружается. UNIX: скрипты SUID и SGID недопустимы в системе. Используйте Tainted Perl или скомпилированные программы.

[править] 4.Сети

1. Конфиденциальная информация:

  • Конфиденциальные данные, передаваемые через общедоступные сети, должны быть зашифрованы.

2. Подключение к сетям:

  • Пользователь не может подключить свой компьютер к любой сети кроме локальной.
  • Доступ к внешним (публичным и частным) сетям должен осуществляться через межсетевой экран. Все межсетевые экраны должны инсталлироваться и обслуживаться службой безопасности.

3. Модемы.

  • Пользователям запрещается иметь модемы на своих компьютерах.
  • Доступ по dial-up в корпоративную сеть разрешен определенному кругу лиц. Доступ по dial-up должен осуществляться через защищенные сервера с использованием одноразовых паролей.

4. Электронная почта.

  • Пользователям должно быть известно, что обычные почтовые системы часто не гарантируют защиту информации или точное определение отправителя. В большинстве систем системный администратор может читать всю почту. Данные системы класса 2 могут рассылаться внутри системы без шифрования. Класс 3 должен шифроваться.
  • Данные класса 4 нельзя передавать по электронной почте.
  • Только данные класса 1 и специфическая информация необходимая внешним участникам проекта может быть отправлена за пределы компании.
  • Пользователям должны быть известны риски открытия документов с макросами, файлы в формате постскрипт и установки программ, полученных по электронной почте.

[править] 5.Интернет

Подключение к интернету в современном деловом мире является неотъемлемой частью бизнеса, особенно в исследовательских отделах. Из-за недостатков в структуре и методах контроля интернет является источником следующих рисков:

  • Компрометация конфиденциальной информации.
  • Атака хакеров на корпоративные ресурсы.
  • Изменение или удаление информации.
  • Отказ систем из-за высокой нагрузки.

Если пользователям предоставлен доступ в интернет, они должны быть осведомлены о рисках и ознакомлены с политикой использования интернета. Следовательно необходима особая политика доступа к интернет, которая должна быть широко известна и используема:

  • Весь исходящий трафик в интернет должен идти через утвержденные компанией шлюзы, которые сертифицированы на соответствие с корпоративной политикой безопасности.
  • Кому предоставлен стандартный доступ в интернет (например, администраторы, исследовательские отделы).
  • Кому доступна внешняя электронная почта (например, всем).
  • Случаи запрета доступа (например, с серверов класса 3).
  • Разрешенное клиентское ПО для работы в интернет (например, стандартное ПО организации).
  • Недопустимое использование интернет (например, порнографические материалы, загрузка опасного или нелицензионного ПО, случаи пользования в сугубо личных целях и т. д.).
  • Условия предоставление доступа к интернету (например, утвержденная политика использования межсетевого экрана, публикация информации, классифицированной как общедоступная).

[править] 6.Ноутбуки и портативные компьютеры

Портативные компьютеры позволяют персоналу быть более продуктивным будучи "в отъезде". Они позволяют осуществлять доступ к информации. С точки зрения безопасности они могут создать риск компрометации информации, быть украдены и стать точкой неавторизованного доступа в корпоративную сеть. Количество мобильных компьютеров растет, поэтому необходима специальная политика по использованию портативных компьютеров:

  • Донесите до пользователей риски при использовании ноутбуков.
  • Парольная защита в таких офисных приложениях как MS Word не является защитой от грамотных злоумышленников.
  • Съемный жесткий диск легко позволяет защититься если убрать его в карман. С другой стороны это упрощает кражу информации.
  • Подготовка и инсталляция ПО должна производиться профессиональным ИТ персоналом. В штате необходимы сотрудники, которые могут дать рекомендацию по выбору модели ноутбука.
  • По возможности установите программу шифрования файлов, обеспечивающую стойкое шифрование [2] и простую в применении. Программа шифрования диска является альтернативой, но она может потребовать специальных знаний для администрирования и повлиять на производительность, а также вызвать проблемы совместимости.
  • Используйте операционную систему, в которой обычный пользователь не имеет полного доступа к системе.
  • Пользователи несут ответственность за ноутбуки за пределами офисного здания.
  • Системы автоматической блокировки экрана и пароли при загрузке должны использоваться везде где это возможно. Загрузочные пароли защищают от любопытного, но не грамотного злоумышленника.
  • Следует установить активный антивирус (установите его всем сотрудникам).
  • В общественном транспорте держите ноутбук при себе.
  • Данные класса 3 не следует переносить в ноутбуках если они не зашифрованы.
  • Выключайте компьютер когда он не используется.
  • Никогда не храните в ноутбуке пароль для доступа в корпоративную локальную сеть.
  • Не передавайте данные класса 3 по небезопасным сетям (таким как интернет, GSM-сетям, инфракрасным портам и т. д.) без шифрования.
  • Доступ в корпоративную локальную сеть через dial-up должен быть определен в политике доступа к сети.
  • Выключайте модемы когда они не используются.

[править] Ссылки

  1. Смотри: Политика информационной безопасности (IT Security Cookbook)
  2. например, F-Secure Desktop или PGP Desktop, обладающие стойким алгоритмом шифрования и надежным удалением файлов.

[править] См. также

[править] Источник

boran.com

Источник - "http://securitypolicy.ru/index.php/%D0%9F%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%B4%D0%BB%D1%8F_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D0%B0_(IT_Security_Cookbook)"
Навигация
Инструменты
Мой профиль