Основные требования к конфигурации:

• производственная сеть компании не должна зависеть от сетей лаборатории демилитаризованной зоны;

• лаборатории демилитаризованной зоны не должны иметь соединений с внутренней сетью компании напрямую или через беспроводную сеть

• оборудование лабораторий демилитаризованной зоны должно быть размещено в серверных, физически отделенных от оборудования внутренних сетей компании. Если это невозможно, то данное оборудование должно размещаться в запираемой на ключ серверной стойке. Менеджер лаборатории должен иметь у себя список, в котором указаны лица, имеющие доступ к оборудованию;

• менеджер лаборатории отвечает за выполнение следующих политик:

– политики использования паролей,

– политики беспроводного доступа в сеть компании,

– политики лаборатории антивирусной защиты;

• отдел поддержки сети, поддерживающий функционирование межсетевых экранов, должен сконфигурировать их в соответствии с принципами наименьшего доступа и обеспечения функционирования лаборатории демилитаризованной зоны. Все списки доступа утверждаются отделом информационной безопасности;

• межсетевой экран должен быть единственной точкой доступа между лабораторией и внутренней сетью компании и/или Интернетом. Все другие способы подключения запрещены;

• начальная конфигурация и любые последующие изменения межсетевых экранов должны быть исследованы и одобрены отделом информационной безопасности. Отдел информационной безопасности может затребовать дополнительные настройки безопасности на межсетевых экранах;

• трафик из лаборатории демилитаризованной зоны во внутреннюю сеть компании, включая доступ посредством частной виртуальной сети, попадает под действие политики удаленного доступа;

• все маршрутизаторы и коммутаторы, не используемые для тестирования и/или обучения, должны быть настроены в соответствии со стандартами для маршрутизатора демилитаризованной зоны и коммутатора демилитаризованной зоны;

• операционные системы всех компьютеров внутри лаборатории демилитаризованной зоны, на которых выполняются интернет-сервисы (HTTP, FTP, SMTP и т. д.), должны быть сконфигурированы в соответствии со стандартом компьютеров демилитаризованной зоны (добавьте здесь ссылку на внутренний сайт, где находятся стандарты конфигураций);

• должны быть установлены все текущие сервисные пакеты и обновления, рекомендованные производителем для всех приложений и операционных систем. Администраторы должны иметь возможность устанавливать появляющиеся обновления быстро и эффективно;

• сервисы и приложения, не используемые для работы, должны быть отключены/деинсталлированы;

• в соответствии с политикой классификации информации запрещается размещать и хранить конфиденциальную информацию на оборудовании лаборатории демилитаризованной зоны, к которому имеют физический доступ сотрудники сторонних организаций;

• удаленное администрирование должно осуществляться по защищенным протоколам (SSH, IPSEC) или через консольный доступ.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Списки доступа (АСЕ)  – списки, хранимые на маршрутизаторах, коммутаторах, межсетевых экранах и регулирующие доступ к сервисам и приложениям.

Демилитаризованная зона – сеть, размещающаяся за пределами внутренней корпоративной сети, но находящаяся под управлением компании.

Отдел поддержки сети – любая утвержденная отделом информационной безопасности группа, управляющая внутренними сетями компании.

Принцип наименьшего доступа – доступ к сервисам, компьютерам, сетям запрещен, если только это не является необходимым для выполнения обязанностей.

Интернет-сервисы – сервисы, выполняющиеся на устройствах, доступных из-за пределов сети. К ним относятся FTP, DNS, HTTP и т. д.

Граница ответственности отдела поддержки сети – точка, в которой ответственность за поддержку сети переходит от отдела поддержки сети к сотрудникам лаборатории демилитаризованной зоны. Обычно это маршрутизатор или межсетевой экран.

Менеджер лаборатории – сотрудник, ответственный за всю лабораторию и ее персонал.

Лаборатория – сотрудники, оборудование и программное обеспечение, объединенные для разработки, тестирования, демонстрирования продуктов и услуг и обучения пользованию ими.

Межсетевой экран – устройство, контролирующее доступ между сетями, такое, как Cisco PIX, маршрутизатор со списками доступа, или подобное устройство, определенное отделом информационной безопасности.

Внутренняя лаборатория – лаборатория внутри корпоративного межсетевого экрана, подключенная к производственной сети компании.

16. Политика безопасности внутренней лаборатории

Цель

Эта политика устанавливает требования по информационной безопасности для всех лабораторий компании с целью обеспечения гарантий неразглашения конфиденциальной информации и технологий, а также для гарантии, что производственные сервисы и другие интересы компании защищены от действий, выполняемых в лабораториях.

Область действия Эта политика применима ко всем внутренним лабораториям, сотрудникам компании и сторонних организаций, имеющим доступ в лаборатории компании. Все существующее и будущее оборудование, которое подпадает под действие данной политики, должно быть сконфигурировано в соответствии с перечисленными ниже документами. Лаборатории демилитаризованной зоны и отдельные сети, не подключенные к сети компании, не подпадают под действие этой политики.

Суть политики

Владение и ответственность:

• компании, организующие лаборатории, должны определить ответственных менеджеров, основных и резервных контактных лиц для каждой лаборатории. Владельцы лабораторий должны поддерживать список этой информации в актуальном состоянии. Список хранится в отделе информационной безопасности (и в системе управления компанией, если такая существует). Менеджеры лабораторий или резервные контактные лица должны быть доступны круглосуточно;

• менеджеры лабораторий несут ответственность за безопасность их лабораторий и воздействие деятельности лабораторий на производственную сеть компании. Если какая-либо политика или процедура недоступна, то менеджеры должны следовать принципам наибольшей защищенности сети компании;

• менеджеры лабораторий несут ответственность за соответствие лаборатории всем политикам безопасности компании. Следующие политики особенно важны: политика использования паролей, политика беспроводного доступа в сеть компании, политика лаборатории антивирусной защиты и политика физической безопасности;

• менеджеры лабораторий несут ответственность за организацию доступа в лабораторию. Разрешение на доступ в лабораторию выдает только менеджер или лицо, которому делегирована эта обязанность. Доступ предоставляется только для выполнения служебных обязанностей. Сюда относится периодическая проверка списка доступа и немедленное удаление из него лиц, которым этот доступ стал не нужен;

• отдел поддержки сети отвечает за поддержку функционирования межсетевого экрана между производственной сетью и лабораторией;

• отдел поддержки сети и отдел информационной безопасности имеют право заблокировать любые соединения к/от оборудованию лаборатории, если это несет угрозу безопасности сети компании;

• отдел поддержки сети должен иметь список всех IP-адресов и ответственных за оборудование лиц внутренней лаборатории (такой же список хранится в системе управления компанией, если такая существует);

• любая лаборатория, которая захочет иметь доступ за свои границы, должна предоставить документацию в отдел информационной безопасности с аргументированным обоснованием такого доступа, списком оборудования, необходимого для этого, и информацию по IP-адресации. Отдел информационной безопасности исследует документы и разрешает/не разрешает такой доступ;

• все пользовательские пароли должны соответствовать политике использования паролей. Тестовые учетные записи должны быть удалены в течение трех дней после того, как доступ станет ненужным. Пароли на групповые учетные записи необходимо менять ежеквартально, кроме того, они должны быть изменены в течение трех дней после изменения состава членов группы;

• запрещается поддерживать производственные сервисы на оборудовании лаборатории;

• отдел информационной безопасности будет разбирать каждый случай отказа в доступе.

Основные требования к конфигурации:

• весь трафик между производственной сетью и сетью лаборатории должен проходить через межсетевой экран, поддерживаемый отделом поддержки сети. Сетевые устройства лаборатории (включая беспроводные) не должны каким-либо другим способом соединяться с внутренней и производственной сетью компании;

• начальная конфигурация и любые последующие изменения межсетевых экранов должны быть исследованы и одобрены отделом информационной безопасности. Отдел информационной безопасности может затребовать дополнительные настройки безопасности на межсетевых экранах;

• в лаборатории запрещена деятельность, которая может негативно сказаться на производственной сети, типа сканирования портов, спуфинг IP-адресов, трафика и т. д. Такого рода деятельность должна быть ограничена рамками лаборатории;

• трафик между лабораторией и производственной сетью, так же как трафик между отдельными сетями лаборатории, используется только в деловых целях и не должен оказывать негативное влияние на другие сети. Лаборатории не должны иметь сетевые сервисы, которые могут скомпрометировать сервисы производственной сети или подвергнуть опасности конфиденциальную информацию, хранимую внутри лаборатории;

• отдел информационной безопасности имеет право проводить аудит всех данных внутри лаборатории, входящего и исходящего трафика, конфигурации всего оборудования;

• шлюзы лаборатории должны соответствовать стандартам безопасности компании и доступ к ним должен осуществляться через сервер аутентификации компании;

• пароли администрирования шлюзов не должны совпадать с какими-либо паролями на другое оборудование. Пароли должны соответствовать политике использования паролей. Пароли будут предоставляться только тем, кому разрешено администрировать сеть лаборатории;

• в лабораториях, где сотрудники сторонних организаций имеют физический доступ к оборудованию, прямое подключение к производственной сети компании запрещено. В соответствии с политикой классификации информации запрещается размещать и хранить конфиденциальную информацию на оборудовании внутренней лаборатории. Удаленное подключение разрешенного списка сотрудников лаборатории в производственную сеть компании должно быть аутентифицировано на корпоративном сервере аутентификации с использованием временных списков доступа (lock and key access control lists) и осуществляться по защищенным протоколам (SSH, IPSEC) или посредством виртуальной частной сети, как определено отделом информационной безопасности;

• инфраструктурные устройства, например IP-телефоны, которым необходим доступ в сеть компании, должны соответствовать политике открытых областей;

• все внешние соединения в лабораторию должны быть осуществлены после исследования и получения разрешения от отдела информационной безопасности. Аналоговые или ISDN-линии должны быть сконфигурированы на прием звонков только с определенных телефонных номеров. Для аутентификации необходимо использовать устойчивые к взлому пароли;

• все лаборатории, имеющие внешние соединения, не должны иметь доступа к производственной или внутренней сетям компании напрямую или через беспроводные сети.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Демилитаризованная зона – сеть, размещающаяся за пределами внутренней корпоративной сети, но находящаяся под управлением компании.

Отдел поддержки сети – любая утвержденная отделом информационной безопасности группа, управляющая внутренними сетями компании.

Принцип наименьшего доступа – доступ к сервисам, компьютерам, сетям запрещен, если только это не является необходимым для выполнения обязанностей.

Интернет-сервисы – сервисы, выполняющиеся на устройствах, доступных из-за пределов сети. К ним относятся FTP, DNS, HTTP и т. д.

Граница ответственности отдела поддержки сети – точка, в которой ответственность за поддержку сети переходит от отдела поддержки сети к сотрудникам внутренней лаборатории. Обычно это маршрутизатор или межсетевой экран.

Менеджер лаборатории – сотрудник, ответственный за всю лабораторию и ее персонал.

Лаборатория – сотрудники, оборудование и программное обеспечение, объединенные для разработки, тестирования, демонстрирования продуктов и услуг и обучения пользованию ими.

Межсетевой экран – устройство, контролирующее доступ между сетями, такое как Cisco PIX, маршрутизатор со списками доступа, или подобное устройство, определенное отделом информационной безопасности.

Внутренняя лаборатория – лаборатория внутри корпоративного межсетевого экрана, подключенная к производственной сети компании.

17. Политика экстранета

Цель

Документ описывает политику, которую должны выполнять сторонние организации, подключающиеся к сети компании для ведения совместного бизнеса.

Область действия Все соединения к внутренним ресурсам компании, независимо от того, осуществлены они через сети типа Frame Relay, ISDN или посредством виртуальной частной сети, подпадают под действие этой политики. Соединения с поставщиком услуг Интернета и с телефонными сетями общего доступа не подпадают под действие этой политики.

Суть политики

Предпосылки:

 оценка безопасности;

Все новые экстранет-подключения будут оцениваться на предмет обеспечения безопасности отделом информационной безопасности. Эта оценка будет гарантировать, что подключения наилучшим образом соответствуют бизнес-по– требностям компании и принципам обеспечения наименьшего доступа.

 соглашение о подключении со сторонними организациями;

Для выполнения запроса на новое подключение между сторонней организацией и компанией требуется подписание «Соглашения со сторонней организацией» между ней и уполномоченным представителем компании. Это соглашение подписывают вице-президент компании и уполномоченный представитель сторонней организации. Документы, относящиеся к подключениям к лабораториям компании, хранятся в отделе, отвечающем за безопасность данной лаборатории.

 бизнес-потребность;

Все экстранет-подключения должны выполняться только для ведения бизнеса с письменным описанием необходимости такого подключения и с разрешением от менеджера проекта. Подключения к лаборатории должны быть разрешены сотрудником, отвечающим за безопасность лаборатории. Обычно порядок подключения описывается как часть «Соглашения со сторонней организацией».

 контактные лица.

Сторонняя организация обязана определить сотрудника, ответственного за данное подключение. Это контактное лицо ответственно за выполнение своей части «Соглашения со сторонней организацией». При изменении контактного лица организацией компания должна быть незамедлительно проинформирована.

Установление подключения. Отдел внутри компании, у которого есть необходимость установить соединение со сторонней организацией, оформляет запрос в отдел экстранета, отвечающий за такие подключения. Этот отдел вместе с отделом информационной безопасности исследует все возможные проблемы безопасности, связанные с этим подключением. Если предполагается подключение в лабораторию компании, то в исследовании принимает участие и группа, отвечающая за безопасность данной лаборатории. Сторонняя организация должна предоставить полную информацию о предполагаемом подключении отделу экстранета и отделу информационной безопасности. Все устанавливаемые подключения должны отвечать принципу наименьшего доступа в соответствии с бизнес-требованиями и оценкой безопасности. Компания ни в коем случае не должна полагаться на стороннюю организацию при защите собственных сетей и ресурсов.

Изменение подключения и доступа. Все изменения в подключении и предоставлении доступа должны соответствовать бизнес-потребностям и являются объектом для оценки безопасности. Изменения осуществляются через корпоративную процедуру управления изменениями. Сторонняя организация должна немедленно уведомлять отдел экстранета и отдел информационной безопасности о любых изменениях в подключении или доступе.

Отключение. Сторонняя организация должна уведомить отдел экстранета компании, когда доступ становится не нужен, для прекращения подключения. Это может означать изменение существующих списков доступа или физический разрыв соединения. Отдел экстранета и группа, отвечающая за безопасность лабораторий, должны проводить ежегодный аудит для обеспечения гарантии, что все подключения все еще необходимы и уровень доступа не выше требуемого для выполнения задач. Подключения, не удовлетворяющие этим требованиям, должны быть немедленно разорваны. Отдел информационной безопасности и/или отдел экстранета должны уведомлять стороннюю организацию перед внесением изменений или прекращением подключения.