Политика межсетевого взаимодействия

Материал из SecurityPolicy.ru

Перейти к: навигация, поиск
ЭТОТ ДОКУМЕНТ СОДЕРЖИТ ФРАГМЕНТЫ НА ИНОСТРАННОМ ЯЗЫКЕ
Вы можете помочь проекту, переведя его до конца


При переводе помните, что исходный текст документа должен оставаться в комментариях, для того чтобы у других участников проекта была возможность внести правку в перевод, например:

Текст исходного документа: 

Information security

Текст переведенного документа: 

Информационная безопасность
<!--Information security-->


Содержание

[править] 1. Назначение

Этот документ описывает политику в соответствие с которой третьи стороны подключаются к сети ВАША КОМПАНИЯ для осуществления транзакций при работе с ВАША КОМПАНИЯ.


[править] 2. Аудитория

Коммуникации с третьими сторонами, требующие доступа к закрытым ресурсам ВАША КОМПАНИЯ, регулируются данной политикой, независимо от того используется ли для соединения выделенная линия (Frame Relay или ISDN) или VPN. Подключение к таким третьим сторонам как провайдер услуг интернет, предоставляющих доступ ВАША КОМПАНИЯ к интернет-ресурсам или городской телефонной сети не подпадает под действие этой политики.

[править] 3. Политика

Предпосылки, обзор безопасности
Все новые экстранет-подключения должны рассматриваться отделом информационно безопасности ВАША КОМПАНИЯ. Это рассмотрение подтвердит что подключение к сети третьей стороны соответствует нуждам бизнеса.

Трёхсторонне Соглашение о подключении
Все новые запросы на коммуникацию между третьими сторонами и ВАША КОМПАНИЯ требуют подписания Трёхстороннего Соглашения вице-президентом базовой организации и уполномоченным представителем третьей стороны. Подписанный документ должент храниться в документации (наименование отдела ведущего экстранет-соединения). Документы, относящиеся к коммуникациям с подразделениями ВАША КОМПАНИЯ должны храниться среди документации отдела безопасности подразделения.

Бизнес-кейс
Все производственные экстранет-коммуникации должны сопровождаться действующими бизнес-основаниями, одобренными проект-менеджером экстранет-группы. Подключение к подразделению должно быть разрешено (наименование отдела безопасности подразделения). Этот бизнес-кейс обычно является частью трёхстороннего соглашения.

Контактное лицо
Базовая организация должна назначить Контактное лицо для экстранет-соединений. В случае смены лица незамедлительно информируйте соответствующего партнёра.


[править] 4. Организация соединенния

Базовая организация в ВАША КОМПАНИЯ, желающая установить соединение с третьей стороной должна направить запрос, включающий в себя полную информацию о предполагаемомо типе доступа экстранет-группе. Экстранет-группа обозначит возможные проблемы безопасности, которые могут возникнуть при реализации этого проекта. Если предполагаемое соединение будет терминироваться в подразделении, то необходимо привлечь (отдел безопасности подразделения).

Все экстранет-соединенния должны быть основаны на принципе необходимого доступа (предоставление доступа только к необходиым для работы ресурсам) в соответствие с применяемыми бизнес-требованиями и требованиями безопасности. ВАША КОМАПНИЯ никогда не должна полагаться на третью сторону при решении вопросов защиты сетевых ресурсов.


[править] 5. Изменение подключения и доступа

Все изменения доступа должна сопровождаться действующими бизнес-основаниями и должны контролироваться с точки зрения безопасности. Изменения осуществляются в соответствие с процессом управления изменениями ВАША КОМАПНИЯ. Базовая организация ответственна за уведомление экстранет-группы и/или ВАША КОМПАНИЯ в случае существенных изменений первоначального требования доступа чтобы уровень безопасности соответствовал статусу подключения.

[править] 6. Прекращение доступа

Если доступ больше не требуется, базовая организация должна уведомить экстранет-группу, ответственную за это подключение, которая затем отключит доступ. В зависимости от ситуации это могут быть действия от изменения существующих прав до отключения канала. Отделы безопасности экстранет и соответствующего подразделения должны проводить ежегодный аудит своих подключений чтобы убедиться в необходимости этих подключений и что предоставленный доступ соответствует подключению. Подключения, которые больше не используются ВАША КОМПАНИЯ для ведения бизнеса, должны быть незамедлительно отключены. Если инцидент безопасности или аудит определят что канал скомпрометирован или более не используется ВАША КОМПАНИЯ для ведения бизнеса, ВАША КОМПАНИЯ и/или экстранет-группа должны попытаться уведомить контактное лицо базовой организации до изменения прав доступа или прекращения соединения.


[править] 7. Ответственность

Любой сотрудник, нарушивший данную политику может быть подвержен взысканию вплоть до увольнения.

[править] 8. Определения

Канал В рамках этой политики каналом называется метод сетевого доступа и может включать себя ISDN, Frame Relay и т. д. или VPN-технологии.

Базовая организация Подразделение ВАША КОМПАНИЯ, которая инициирует доступ третьей стороны к сетям ВАША КОМПАНИЯ.

Третья сторона организация, которая не является подразделением ВАША КОМПАНИЯ.

[править] См. также

  1. Политика допустимого использования ИС
  2. Политика использования электронной почты
  3. Антивирусная политика
  4. Политика управления доступом к ИС
  5. Парольная политика
  6. Политика шифрования
  7. Политика управления удаленным доступом к ИС
  8. Политика использования VPN
Источник - "http://securitypolicy.ru/index.php/%D0%9F%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0_%D0%BC%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE_%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D1%8F"
Навигация
Инструменты
Мой профиль