Цель определить требования ИБ для подразделений Организации, гарантирующие, что конфиденциальная информации и технологии не будут скомпрометированы и что сервисы и интересы Организации будут защищены от работы подразделений.
Применение. Политика распространяется на все связанные внутри Организации подразделения, служащих Организации и третьих лиц, имеющих доступ к ее подразделениям. Все существующее оборудование и то, которое будет установлено в будущем, к которому применима данная политика, должно быть сконфигурировано в соответствии с ней. ДМ3 подчиняется отдельной политике.
Основные положения.
Владение и ответственность.
Организация назначает администраторов подразделений — контактных лиц и представителей в администрации Организации, с которыми работают эти лица. В случае смены этих лиц руководители подразделений обязаны предоставлять новую информацию в департамент ИБ и администрации Организации. Администраторы подразделений и представители администрации должны быть постоянно на связи для информирования в случае необходимости, в противном случае решается вопрос об их обязанностях.
Администраторы подразделений несут ответственность за защиту своих подразделений и их влияние на интранет или любые другие сети. Они несут ответственность за следование данной политике и установленным в соответствии с ней процедурам. Если что-то не определено в политике и процедурах, они должны приложить все усилия для защиты Организации от уязвимостей.
Администраторы подразделений несут ответственность за соответствие работы подразделения ПолИБ Организации. Особенно важно соблюдать политику использования паролей для сетевых устройств и хостов, политику беспроводного доступа, антивирусную политику и физическую защиту.
Администратор подразделения несет ответственность за контроль доступа в подразделении. Доступ к подразделению предоставляется его администратором или назначенным должностным лицом тем пользователям, которые имеют такую производственную необходимость на короткое или длительное время. Это подразумевает постоянный мониторинг списков доступа, что гарантирует своевременную отмену доступа для тех, кому он больше не нужен. Группа поддержки сети обязана осуществлять управление МЭ между интранетом Организации и сетями подразделений.
Эта группа и/или департамент ИБ оставляет за собой право отключить подключение подразделения в случае его негативного воздействия на интранет или создания угрозы для ее ИБ.
Эта группа должна иметь IP-адреса всех подразделений, входящих в интранет Организации, в единой корпоративной базе данных адресов, наряду с текущей контактной информацией подразделения.
Любое подразделение, которому требуется внешнее подключение, должно предоставить департаменту ИБ схему и документацию с обоснованием причин, спецификацией оборудования и схемой IP-адресации. Департамент ИБ рассмотрит запрос и удовлетворит его, если не нарушаются требования ИБ Организации.
Пароли всех пользователей должны соответствовать политике использования паролей Организации. В случае, когда учетная запись на оборудовании подразделения уже не требуется, она должна быть уничтожена в срок не позднее трех дней. Групповые пароли для компьютеров подразделения (Unix, Windows и т. п.) должны меняться каждые три месяца. Для любого устройства подразделения при изменении состава группы пароль должен быть изменен в срок не позднее трех дней.
Ни одно подразделение не должно предоставлять эксплуатационных сервисов. Они определяются как ведущие и совместно используемые, критичные для бизнеса сервисы, генерирующие потоки поступлений или обеспечивающие работу клиентов. Они должны находиться в ведении соответствующего департамента.
Департамент ИБ рассматривает запросы на отказ в предоставлении доступа в порядке поступления и удовлетворяет их, если на то есть основания.
Общие конфигурационные требования.
Трафик между интранетом и сетями подразделений, а также между сетями отдельных подразделений без необходимости не разрешен, поскольку это может поставить под угрозу их конфиденциальную информацию.
Весь трафик между интранетом и подразделением должен проходить через МЭ, которым управляет группа поддержки интранета. Сетевые устройства подразделения (включая беспроводные) не должны иметь перекрестные ссылки между подразделением и интранетом.
Оригинальные настройки МЭ и любые изменения в них должны быть предварительно проанализированы и одобрены департаментом ИБ, который при необходимости может потребовать пересмотра требований ИБ.
Департамент ИБ оставляет за собой право в любое время проводить аудит ИБ всей информации и административных процедур подразделения, включая (но не ограничиваясь) входящие и исходящие пакеты, МЭ и сетевую периферию.
Подразделениям запрещается проводить сканирование портов, изучение сети, «наводнение» трафика и другие подобные действия, которые негативно влияют на интранет Организации и другие сети. Такие действия должны быть запрещены.
Принадлежащие подразделению шлюзы должны соответствовать рекомендациям Организации и должны удостоверяться корпоративными серверами аутентификации.
Пароль на вход в привилегированный режим для всех шлюзов подразделения должен отличаться от паролей для другого оборудования подразделения. Этот пароль должен соответствовать политике использования паролей Организации. Он дается только тем, кто уполномочен администрировать сеть подразделения.
В подразделениях, где неперсонал Организации имеет физический доступ (например, в учебных классах), запрещается прямое подключение к интранету Организации. Кроме этого, в таких подразделениях ни на каких компьютерах не должна находиться конфиденциальная информации Организации. Подключение уполномоченного персонала к интранету из таких подразделений обязательно должно использовать аутентификацию через корпоративный сервер аутентификации, временные списки доступа SSH, VPN-клиенты или подобные технологии, одобренные департаментом ИБ.
Инфраструктурные устройства (типа IP-телефонов), которым требуется подключение к интранету, должны соответствовать политике для закрытых территорий.
Все запросы на внешние подключения подразделений должны быть рассмотрены и одобрены департаментом ИБ. Аналоговые и ISDN- каналы связи должны быть сконфигурированы только на доступ к доверенным номерам. Для аутентификации должны использоваться стойкие пароли.
Все сети подразделений с внешними подключениями не должны соединяться с интранетом Организации или любой другой внутренней сетью непосредственно, через беспроводной канал или на основе любого другого вида компьютерного оборудования.
Ответственность
Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
Определения
Внутреннее подразделение — подразделение внутри Организации. Группа поддержки сети отвечает за те части интранета Организации, которые не принадлежат ни одному подразделению.
Подразделение — непроизводственное отделение Организации, занимающееся разработкой, демонстрацией, обучением и/или тестированием продуктов. Внешние подключения (известные как ДМ3) включают (но не ограничиваются) сетевые подключения третьих лиц, аналоговые и ISDN- каналы связи и любые другие телекоммуникационные (Т1/Е1, ТЗ/ЕЗ, ОСЗ, ОС 12, DSL и т. п.) каналы передачи данных. Шлюзы подразделения составляют его собственность и соединяют сеть подразделения с остальным интранетом Организации (весь трафик должен проходит через эти шлюзы).
МЭ-устройство, контролирующее доступ между сетями.
ДМ3 — сеть, расположенная за основными корпоративными МЭ, но также находящаяся под административным контролем Организации.