Политика построения частных виртуальных сетей (VPN)

Примеры политик информационной безопасности

Цель — определить руководящие принципы для VPN-соединений с интранетом Организации с применением УД на основе протоколов IPSec или L2TP.

Область действия. Политика применяется ко всем сотрудникам, временным рабочим, консультантам, внештатным сотрудникам и другим работникам Организации, включая всех третьих лиц, использующих VPN-доступ к интранету Организации. Данная политика распространяется на те реализации VPN, в которых используются концентраторы IPSec.

Основные положения. Имеющие на это разрешение сотрудники и третьи лица Организации (например, клиенты, поставщики и т. п.) могут пользоваться VPN-доступом, который считается сервисом, «управляемым пользователем». Это означает, что сам пользователь отвечает за выбор сервис-провайдера Интернета (Internet Service Provider, ISP), руководит настройкой, устанавливает требуемое ПО и платит арендную плату (детали изложены в политике УД). Дополнительно к этому:

  • сотрудник, имеющий разрешение на VPN-доступ, должен гарантировать, что неуполномоченные пользователи не получают доступа к интранету Организации;
  • использование VPN контролируется либо на основе аутентификации с одноразовыми паролями (типа токенов), либо системами с открытым/личным ключом со стойкими парольными фразами;
  • при активном подключении к интранету VPN направляют весь трафик от и к ПК по VPN-туннелю; весь остальной трафик отбрасывается;
  • одновременное соединение с несколькими VPN не разрешается;
  • VPN-шлюзы устанавливаются и управляются соответствующей рабочей группой Организации;
  • на всех компьютерах, включая ПК, соединенных с интранетом Организации посредством VPN или любой другой технологии, должно быть установлено стандартное для Организации современное антивирусное ПО;
  • пользователь VPN будет автоматически отключаться от интранета Организации после 30 мин неактивности; после этого пользователь должен снова войти в систему для восстановления подключения; пингование (pings) или другие искусственные сетевые процессы не должны использоваться для поддержания соединения в открытом состоянии;
  • время работы VPN-концентратора ограничивается 24 ч соединения;
  • пользователи компьютеров, не являющихся оборудованием Организации, должны сконфигурировать их таким образом, чтобы они соответствовали политикам Организации для ВЧС и интранета;
  • можно использовать только разрешенные Организацией VPN-клиенты;
  • при использовании VPN-технологии на персональном оборудовании пользователи должны осознавать, что их компьютеры являются фактически расширением интранета Организации, и поэтому они подчиняются тем же правилам и положениям, которые применяются к собственному оборудованию Организации.

Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.

Определения. Концентратор IPSec — это устройство, в котором заканчиваются виртуальные каналы.