Политика удаленного доступа к интернету

Примеры политик информационной безопасности

Цель — определить стандарты подключения к интранету Организации любого хоста. Они предназначены для минимизации потенциального ущерба Организации от угроз ИБ, которые может создать несанкционированное использование ресурсов Организации. Это включает угрозы потери конфиденциальности данных, интеллектуальной собственности, имиджу, важным внутренним системам Организации и т. п.

Область действия. Политика применяется ко всем сотрудникам, контрактным рабочим, поставщикам и агентам, имеющим собственные или предоставленные Организацией компьютеры или рабочие станции, подключенные к интранету Организации. Политика применяется к удаленным соединениям, используемым для выполнения работы по заказу Организации, включая чтение и отправку электронной почты и просмотр веб-ресурсов интранета.

Основные положения

Общие основные положения.

Сотрудники, контрактные рабочие, поставщики и агенты Организации, имеющие привилегии удаленного доступа (УД) к ее интранету, должны гарантировать, что их удаленное подключение является локальным соединением пользователя с Организацией.

Доступ с персональных компьютеров к Интернету в личных целях всеми членами семьи через интранет Организации запрещен для сотрудников, платящих за наем жилья. Они несут ответственность за то, чтобы члены их семьи не нарушали политики Организации, не предпринимали никаких противоправных действий и не использовали доступ ни в каких других целях, кроме рабочих. Также они несут полную ответственность за всю последовательность действий, повлекшую злоупотребление доступом.

Применяются все политики, регламентирующие защиту информации при доступе к интранету посредством удаленных подключений (например, политика шифрования, политика построения ВЧС, политика беспроводного доступа), а также политика допустимого использования компьютеров интранета Организации.

Требования

Защищенный УД должен тщательно контролироваться. Контроль осуществляется посредством аутентификации на основе одноразовых паролей или открытых/личных ключей со стойкими парольными фразами (см. политику использования паролей).

Сотрудник Организации не должен сообщать свой идентификатор и почтовый пароль никогда и никому, даже членам семьи.

Сотрудники и контрактные рабочие Организации, имеющие привилегированный УД, должны гарантировать, что имеющиеся у них собственные или предоставленные им Организацией компьютер/рабочая станция, удаленно подключенные к интранету Организации, в то же время не соединены ни с какой другой сетью, за исключением персональных сетей, находящихся под полным контролем пользователя.

Для выполнения своей работы в интересах Организации сотрудники и контрактные рабочие, имеющие привилегированный УД. не должны использовать почтовые ящики, не принадлежащие Организации (например, Hotmail, Yahoo, AOL), или другие внешние ресурсы, тем самым гарантируя, что личный бизнес не смешивается с официальной работой.

Маршрутизаторы для выделенных каналов связи (например, ISDN), сконфигурированные для доступа к интранету Организации, должны соответствовать минимальным требованиям аутентификации принятого протокола (например, CHAP).

Никогда не разрешается реконфигурация домашнего оборудования пользователя с целью его одновременного подключения к множественным каналам связи, включая виртуальные.

На конфигурирование нестандартного АО для УД требуется разрешение соответствующих служб Организации, которые должны утвердить защищенные настройки для доступа к этому обеспечению.

Все хосты, включая ПК, соединенные с внешними по отношению к интранету Организации сетями с применением технологий УД, должны использовать самое современное антивирусное ПО. Подключения третьих лиц должны соответствовать требованиям, зафиксированным в подписанном с ними соглашении.

Личное оборудование, используемое для подключения к интранету Организации, должно соответствовать требованиям для оборудования УД, принадлежащего Организации.

Организации или частные лица, которые хотят использовать нестандартные решения для УД к интранету Организации, должны получить особое разрешение от соответствующих служб Организации.

  • Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
  • Определения. Хост — устройство, имеющее уникальный адрес.

Под УД к интранету Организации понимаются все виды доступа,

осуществляемые по внешним каналам связи (через контролируемые сети или устройства) и с использованием устройств доступа, расположенных за пределами охраняемой зоны и не контролируемых Организацией. Основными видами УД являются:

* доступ к интранету по коммутируемым каналам связи с использованием модемов и телефонной сети, который предоставляется сотрудникам Организации, находящимся в отпуске, в командировке или в деловых поездках, а также представителям партнеров, проводящим работы в интранете/экстранете Организации;

  • доступ мобильных пользователей к интранету с использованием VPN-каналов связи типа «компьютер-сеть» через Интернет, предоставляемый сотрудникам Организации, находящимся в отпуске, в командировке или в деловых поездках, а также представителям партнеров, проводящим работы в интранете/экстранете Организации;
  • подключения удаленных подразделений Организации к интранету с использованием VPN-каналов типа «сеть-сеть» через Интернет. Реализации УД, рассматриваемые в данной политике, включают (ноне ограничиваются) подключения на основе Frame Relay/ISDN/X.25, подключения через сервер УД (по протоколам SLIP, РРР); доступ по протоколу Telnet из Интернета; доступ по телефонной линии на основе обычного модема (например, на основе DSL); доступ посредством кабельного модема; прямое подключение (например, на основе SSH); подключение к ВЧС и т. п.

CHAP (Challenge Handshake Authentication Protocol) — основанный на однонаправленной хеш-функции протокол, используемый для аутентификации.