Политика информационной безопасности для веб-сервера

Примеры политик информационной безопасности

Цель — определить стандарты базовой конфигурации оборудования внутреннего веб-сервера, находящегося во владении и/или используемого Организацией. Эффективная реализация данной политики уменьшит НСД к составляющим собственность Организации информации и технологиям.

Область действия

Политика распространяется на серверное оборудование, находящееся во владении и/или используемое Организацией, и веб-серверы, зарегистрированные в любом внутреннем сетевом домене Организации. Политика применяется только к оборудованию интранета Организации. Защищенное конфигурирование внешнего оборудования из ДМ3 Организации регламентируется политикой для оборудования ДМ3.

Основные положения

Владение и ответственность.

Все размещенные в Организации внутренние веб-серверы находятся в собственности рабочей группы, осуществляющей их системное администрирование. Должны существовать и использоваться каждой рабочей группой руководства по настройке веб-серверов, основанные на потребностях бизнеса и утвержденные соответствующими службами Организации. Рабочие группы должны осуществлять мониторинг соответствия конфигурации и предпринимать предписанные действия при выявлении отклонений. Каждая рабочая группа должна определить процесс изменения руководств по настройке, который должен быть рассмотрен и утвержден в установленном порядке.

Веб-сервер должен быть зарегистрирован в корпоративной системе управления. Как минимум следующая информация необходима для определения обратной связи:

  • местонахождение веб-сервера и контактное лицо для обратной связи;
  • аппаратная платформа и ОС с версией;
  • основные функции и приложения, если таковые используются.

Информация в корпоративной системе управления должна быть актуальной.

За изменениями конфигурации веб-серверов должны быть внесены соответствующие изменения в процедуры управления.

Общее руководство по конфигурированию

Настойки ОС должны соответствовать утвержденным руководствам.

Сервисы и приложения, которые не используются, нужно отключить.

Доступ к сервисам должен регистрироваться и/или защищаться методами контроля доступа (типа TCPWrappers), если это возможно.

Самые последние обновления, устраняющие уязвимости системы, должны устанавливаться сразу же после их появления, за исключением тех случаев, когда это помешает выполнению неотложных работ.

Доверенные отношения между системами являются угрозой ИБ, поэтому лучше избегать их использования. Лучше использовать другой, более надежный метод связи.

Всегда используйте стандартные принципы ОИБ, требующие наименьшего доступа для выполнения функций.

Когда для работы достаточно привилегий обычного пользователя, не используйте административную учетную запись root.

Если технически доступно и выполнимо защищенное канальное подключение, то привилегированный доступ должен осуществляться на его основе (например, зашифрованное сетевое соединение с использованием протоколов SSH или IPSec).

Веб-вервер должен физически располагаться в среде с контролируемым доступом.

Работа с веб-сервером из неконтролируемого закрытого помещения запрещается.

  • Мониторинг.

Все относящиеся к ИБ события в важных или конфиденциальных системах должны регистрироваться и в журналах регистрации должна сохраняться следующая информация:

  • все записи событий должны сохраняться как минимум неделю;
  • ежедневные резервные копии измененной информации должны храниться не меньше месяца;
  • еженедельные полные резервные копии журналов событий должны храниться не меньше месяца;
  • ежемесячные полные резервные копии должны храниться не меньше двух лет.

Обо всех относящихся к ИБ событиях следует уведомлять соответствующие службы, которым нужно предоставить для рассмотрения журналы событий и сообщения об инцидентах ИБ в установленной форме. При необходимости они помогут определить корректирующие меры.

Относящиеся к ИБ события включают (но не ограничиваются):

  • сканирование портов;
  • НСД к привилегированным учетным записям;
  • аномальные признаки, не относящиеся к работе приложений хоста, являющегося веб-сервером.

Соглашения

Аудит ИБ веб-сервера должен выполняться регулярно уполномоченными лицами внутри Организации.

В соответствии с политикой аудитом ИБ руководит внутренняя группа или уполномоченная внешняя организация. Они отбирают обнаруженные события и при необходимости посылают соответствующие отчеты в правоохранительные органы.

Должно быть сделано все возможное, чтобы аудит ИБ не вызвал сбоев в работе или потерю ресурсов.

Ответственность

Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.

Определения

В рамках данной политики веб-сервер — это внутренний веб-сервер Организации.

Демилитаризованная зона (ДМ3) — это сетевой сегмент, внешний по отношению к интранету Организации.