Цель — определить стандарты, которым должны отвечать все собственное и/или используемое Организацией оборудование, находящееся за пределами МЭ, отделяющего внутренний интранет Организации от внешних по отношению к нему сетей. Эти стандарты предназначены для снижения потенциального ущерба Организации от потери важной или конфиденциальной информации, интеллектуальной собственности или ее имиджа, что может явиться следствием несанкционированного использования ресурсов Организации.
Объектом политики является оборудование, установленное на границе с другими сетями за МЭ Организации рассматривается как часть пограничной демилитаризованной зоны (ДМ3). Это оборудование (сетевое и хосты) является потенциально уязвимым к атакам, исходящим из внешних сетей (типа Интернета).
Политика определяет следующие стандарты:
- ответственность владельцев;
- требования защищенного конфигурирования;
- требования к работе;
- требования к изменению управления.
- Область действия. Все оборудование или устройства, расположенные в ДМ3, являющиеся собственностью или используемые Организацией (включая хосты, маршрутизаторы, коммутаторы и т. п.) и/или зарегистрированные в принадлежащем ей домене (Domain Name System, DNS), должно соответствовать данной политике. Эта политика также распространяется на любой хост, которым управляет или владеет внешний сервис-провайдер или третье лицо, если это оборудование находится в домене Организации или будет принадлежать ей. Все новое оборудование, которое подпадает под действие данной политики, должно быть сконфигурировано в соответствии с ее требования. Все существующее и позднее закупленное оборудование, размещаемое в недоверенных сетях Организации, должно также соответствовать данной политике.
Основные положения
Владение и ответственность.
Оборудование и приложения, являющиеся объектами данной политики, должны администрироваться группой поддержки, утвержденной департаментом ИБ для управления ДМ3, приложениями и/или сетями. Группа поддержки несет ответственность за следующее.
Оборудование должно быть зарегистрировано в корпоративной системе управления. Для этого как минимум требуется следующая информация:
- местонахождение хоста и контактное лицо;
- аппаратная платформа и ОС с версией;
- основные функции и приложения;
- парольные группы с привилегированными нравами.
Сетевые интерфейсы должны иметь соответствующие записи на DNS-сервере (минимально А- и PTR-записи).
Парольные группы должны поддерживаться в соответствии с корпоративными системой/процессами управления паролями.
Всем членам департамента ИБ по требованию (см. политику аудита ИБ) должен предоставляться немедленный доступ к оборудованию и системным журналам.
Об изменениях в текущем оборудовании и появлении нового оборудования требуется немедленно уведомить соответствующих лиц с целью изменения корпоративных процессов/процедур управления.
Для проверки соблюдения данной политики департамент ИБ будет периодически проводить аудит оборудования ДМ3 (см. политику аудита ИБ).
Общая политика конфигурирования
Все оборудование должно соответствовать следующей конфигурационной политике.
АО, ОС, сервисы и приложения должны быть одобрены департаментом ИБ на этапе предварительного анализа.
Настройки ОС должны соответствовать стандартам инсталляции и конфигурирования для защищенных хостов и маршрутизаторов (ссылка на стандарт).
Все обновления, рекомендуемые производителями или департаментом ИБ, должны быть установлены. Это относится ко всем инсталлированным сервисам, даже если они временно или постоянно отключены. Административная группа должна проверять это.
Сервисы и приложения, не удовлетворяющие требованиям бизнеса, должны быть отключены.
Доверенные отношения между системами должны использоваться только по требованиям бизнеса, быть задокументированы и одобрены департаментом ИБ.
Сервисы и приложения не для общего доступа должны быть внесены в соответствующие контрольные списки.
Незащищенные сервисы или протоколы (по определению департамента ИБ) должны быть заменены на более защищенные аналоги, если таковые существуют.
Удаленное администрирование должно осуществлять по защищенным каналам (например, шифрованным сетевым соединениям, использующим протоколы SSH или IPSec) или через консольный доступ, независимый от ДМ3. Если средства защиты каналов не применимы, для всех уровней доступа должны использоваться одноразовые пароли.
Все обновления контента (содержимого) хостов должны осуществляться по защищенным каналам.
Все имеющие отношения к ИБ события должны регистрироваться и сохраняться в утвержденных департаментом ИБ журналах для последующего аудита ИБ. Эти события включают (но не ограничиваются) следующее:
- попытку неудачного входа пользователя;
- отказ в получении привилегированного доступа;
- нарушения политики доступа.
Департамент ИБ рассматривает запросы на отказ в предоставлении доступа в порядке поступления и удовлетворяет их, если на то есть основания.
Установка нового оборудования и изменение процедур управления. Все новые установки и изменения конфигурации существующего оборудования и приложений должны соответствовать следующим по- литике/процедурам:
- все новые установки должны осуществляться по разработанной процедуре размещения оборудования в ДМ3;
- изменения конфигурации должны соответствовать процедурам корпоративного управления изменениями;
- для осуществления аудита ИБ систем/приложений, заменяемых новыми сервисами, должен приглашаться департамент ИБ;
- в одобрении размещения нового оборудования и изменения каких- либо конфигураций департамент ИБ должен участвовать непосредственно или через систему управления изменениями.
Оборудование, управляемое внешними сервис-провайдерами. Ответственность за защиту оборудования, устанавливаемого внешними сервис-провайдерами, должна быть оговорена в контракте с ними и контактными лицами, отвечающими за ИБ. Подписавшие контракт со стороны Организации несут ответственность за следование политике третьих лиц.
Ответственность
Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы. Внешние сервис-провайдеры, уличенные в несоблюдении данной политики, будут обязаны выплатить штрафы, вплоть до прерывания действия контракта.
Определения
ДМ3 — любая недоверенная сеть, соединенная с интранетом Организации, но отделенная от нее МЭ, используемая для внешнего (Интернет/экстранет и т. п.) доступа из Организации или предоставляющая информацию внешним пользователям.
Недоверенная сеть — любая сеть, отделенная от интранета МЭ с целью избежать повреждения ресурсов от незаконного сетевого трафика, НСД (сети партеров, Интернет и т. п.) или чего-то еще, идентифицируемого как потенциальная угроза ИБ для таких ресурсов.