Политика использования внутренней сети

Примеры политик информационной безопасности

Цель — определить политику соединения с интранетом Организации третьих лиц для осуществления бизнеса в интересах Организации.

Область действия. Политика регламентирует соединения между третьими лицами, которые требуют доступа к непредназначенным для широкого доступа ресурсам Организации, независимо от того, какой вид соединений применяется — телекоммуникационный (типа Frame Relay или ISDN) или VPN-технология. Политика не распространяется на третьих лиц типа сервис-провайдеров Интернета (ISP), обеспечивающих доступ Организации к Интернету или к телефонным сетям общего пользования (Public Switched Telephone Network).

Основные положения.

Рассмотрение запросов для экстранет-подключения. Все запросы на новые соединения с экстранетом должны быть тщательно рассмотрены департаментом ИБ, о чем выдается соответствующее заключение. Это гарантирует то, что они не противоречат требованиям бизнеса и при этом соблюдается принцип минимального доступа.

Соглашение о соединении с третьими лицами. Все запросы на подключение между третьими лицами и Организацией требуют, чтобы представители третьих лиц и Организации были уполномочены и готовы подписать соответствующее соглашение. Это соглашение должно быть подписано как минимум заместителем руководителя спонсорского подразделения и уполномоченным представителем третьих лиц. Подписанный документ должен храниться в группе поддержки экстранета и в том подразделении, к чьим ресурсам подключаются третьи лица.

Вступление в действие. Все подключения к экстранету для ведения бизнеса должны сопровождаться соответствующим обоснованием в письменном виде, утвержденным руководителем проекта в группе поддержки экстранета. Подключения к конкретным ресурсам Организации должны быть одобрены владельцами этих ресурсов и их администраторами ИБ.

Контактные лица. Спонсорское подразделение должно выделить сотрудника, который будет являться контактным лицом по всем вопросам экстранет-подключения. Это лицо действует от имени спонсорского подразделения и несет ответственность за все пункты, имеющие отношение к политике и соглашению. В случае смены контактного лица требуется немедленно известить об этом группу поддержки экстранета.

Установление соединения. Спонсорское подразделение внутри Организации, в интересах которого устанавливается подключение к третьим лицам, обращается с запросом к соответствующей группе поддержки экстранета. Эта группа привлекает департамент ИБ для рассмотрения вопросов, связанным с ИБ в проекте. Если запрашиваемое подключение заканчивается в спонсорском подразделении, она должна привлечь своего администратора ИБ. Спонсорское подразделение должно предоставить департаменту ИБ и группе поддержки экстранета для рассмотрения полную и исчерпывающую информацию о виде запрашиваемого доступа.

В соответствии с утвержденными бизнес-требованиями и заключением об ИБ все устанавливаемые подключения должны удовлетворять принципу минимального доступа. Ни при каких обстоятельствах Организация не может положиться на третьих лиц в отношении защиты своих ресурсов и интранета.

  • Модификация или изменения соединения и доступа. Все изменения доступа должны сопровождаться соответствующим обоснованием и являться предметом рассмотрения для выдачи заключения об ИБ. Изменения осуществляются в соответствии с утвержденным Организацией процессом управления изменениями. Спонсорское подразделение несет ответственность за уведомление группы управления экстранетом и/или департамента ИБ об изменении первоначально предоставленной информации, что позволит своевременно сохранить защищенность и само подключение.
  • Прекращение доступа. Когда доступ более не требуется, спонсорское подразделение внутри Организации должно уведомить группу поддержки экстранета, осуществляющую подключение. Она ликвидирует подключение. Это может означать либо модификацию существующих разрешений, либо полное прекращение доступа. Группа поддержки экстранета и спонсорское подразделение должны ежегодно проводить аудит ИБ своих экстранет-подключений, что гарантирует актуальность существующих соединений и соответствие им предоставляемого доступа. Обнаруженные ненужные или давно неиспользуемые для бизнеса Организации соединения должны немедленно быть отключены. О таких случаях и о случаях нарушения ИБ департамент ИБ или группа поддержки экстранета должны информировать контактное лицо или спонсорское подразделение с целью принятия ими соответствующих мер.
  • Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
  • Определения. Третьи лица — люди или организации, не являющиеся официальными или вспомогательными частями Организации.

Спонсорское подразделение — подразделение внутри Организации, предоставившее запрос на экстранет-подключение третьих лиц.