Добавил:

AnnaNSK Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Новосибирский государственный технический университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Политика безопасности

.docx

Скачиваний:

Добавлен:

04.01.2020

Размер:

85.85 Кб

Скачать

☆

http://www.npo-echelon.ru/doc/politics_development.php

ISO 17799, можно предложить следующую структуру типовой ПБ организации.

1. Общие положения.

1.1. Назначение документа.

1.2. Основания для разработки документа.

1.3. Основные определения.

2. Идентификация системы.

2.1. Идентификатор и имя системы.

2.2. Ответственные подразделения.

2.3. Режим функционирования системы.

2.4. Описание и цели системы.

2.5. Цели и задачи ПБ.

2.6. Системная среда.

2.6.1. Физическая организация системы.

2.6.2. Логическая организация системы.

2.7. Реализованные сервисы системы.

2.8. Общие правила, принятые в системе.

2.9. Общее описание важности информации.

3. Средства управления.

3.1. Оценка рисков и управление.

3.2. Экспертиза СЗИ.

3.3. Правила поведения, должностные обязанности и ответственность.

3.4. Планирование безопасности.

3.5. Разрешение на ввод компонента в строй.

3.6. Порядок подключения подсетей подразделения к сетям общего пользования.

4. Функциональные средства.

4.1. Защита персонала.

4.2. Управление работой и вводом-выводом.

4.3. Планирование непрерывной работы.

4.4. Средства поддержки программных приложений.

4.5. Средства обеспечения целостности информации.

4.6. Документирование.

4.7. Осведомленность и обучение специалистов.

4.8. Ответные действия в случаях возникновения происшествий.

5. Технические средства.

5.1. Требования к процедурам идентификации и аутентификации.

5.2. Требования к системам контроля и разграничения доступа.

5.3. Требования к системам регистрации сетевых событий.

http://hr-portal.ru/pages/kb/tib.php

Пример типовой политики безопасности компании, имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернет.

А. Сетевая безопасность

1. Головной файрвол ( сетевой экран комплекс аппаратных и программных средств в компьютерной сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами) . Обязателен антивирусный контроль трафика на файрволе (АВП с еженедельным обновлением через Интернет). Файрвол администрируется локально или удаленно (с обязательным использованием средств шифрования трафика и только из внутренней сети с виртуального фиксированного НАТ адреса администратора).

Из операционной системы на файрволе удаляются все не нужные сервисы и протоколы, ставятся и регулярно обновляются необходимые патчи, создается максимально безопасная конфигурация ОС. Пользователь имеется только один - администратор.

Фильтрация на головном файрволе.

ДОСТУП из Интернет в корпоративную сеть:

· во внутреннюю приватную сеть доступ извне запрещен

· к файрволу извне доступ запрещен

· В ДМЗ (демилитаризованная зона) доступ разрешен ТОЛЬКО к следующим портам на объектах (в остальных случаях доступ запрещен):

o § Веб-сервер.

1. анонимный доступ всем разрешен только к 80 порту.

2. разрешен авторизованный FTP-доступ на 21 порт и 20 порт (возможно с предварительной идентификацией / аутенитификацией на файрволе) администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора).

3. из приватной сети, только из сегмента административного управления (с ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер

o § Мейл - сервер (SMTP and POP3)

1. разрешен доступ только из приватной корпоративной сети к сервису POP3 - 110 порт, исключая учебную подсеть

2. разрешен доступ к SMTP сервису - 25 порт только из приватной сети, исключая учебную подсеть

Доступ из корпоративной сети в Интернет разрешен без ограничений

2. Свитч - Доступ из учебной сети во всю рабочую сеть (три сегмента) запрещен (но доступ из учебного сегмента в Интернет разрешен)

Доступ из сети персонала в сети менеджеров и административного управления запрещен

Свитч выбирается такой, чтобы можно было задавать политику безопасности и запрещать доступ из одного сегмента в другой. Также свитч должен быть по возможности устойчив к ARP-атаке, чтобы такая атака, переполнив ARP-таблицу свитча, не перевела его в режим хаба

3. Электронная почта. Необходимо обеспечить возможность безопасной отправки - приема почты через корпоративный сервер через Интернет.

1. Универсальное решение - это ssl- редиректор. Клиент посылает запрос на 110 или 25 порт сервера; попытка установления соединения обнаруживается клиентским редиректором, пропускается через (например) socks с ssl и отправляется на сервер (какой-нибудь другой порт). Там это получает аналогичный редиректор, расшифровывает и перебрасывает на 110 порт.

Плюсы решения: стандартные клиент и сервер, не надо писать свои.

Минусы решения: клиенту все же надо иметь с собой спец. софт, но это терпимо, если он компактный и не требует настройки.

4. Система обнаружения атак .(IDS-Intrusion Detection System)

Можно использовать ISS Real Secure или любую иную программу данного типа (в том случае, если применяется файрвол Check Point, имеющий возможность сопряжения с ISS Real Secure (RS), которая обладает возможностью автоматической реконфигурации данного файрвола в случае обнаружения атаки) или бесплатная юникс программа snort. Располагается на выделенных компьютерах, контролируя входной трафик из Интернет на файрвол и трафик внутри сегментов корпоративной сети. Консоль управления RS находится в сегменте административного управления (или RS администрируется локально).

5. Контроль содержания трафика. Для контроля содержимого трафика устанавливается система анализа и контроля трафика типа MIMEsweeper (Baltimore)

6. Протоколирование и регулярный мониторинг доступа.

· На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в корпоративную сеть и из корпоративной сети. Лог файл должен храниться локально и удаленно

· Система обнаружения атак сохраняет информацию об атаках и подозрительной активности в лог-файл. Лог файл должен храниться локально и удаленно

· Веб-сервер сохраняет информацию о его посещении в лог-файл. Лог файл должен храниться локально и удаленно

· Сервер анализа контента сохраняет информацию о нарушениях в лог-файл. Лог файл должен храниться локально и удаленно

Б.Локальная безопасность (безопасность рабочих станций и серверов)

1. Антивирусный контроль. Обязательный антивирусный контроль на рабочих станциях. Обязателен автоматический запуск антивирусного монитора и обязательно его автоматическое обновление через Интернет каждую неделю

2. Защита от НСД. Необходимо поставить аппаратную систему защиты от НСД, которая должна контролировать и разграничивать доступ к каждой рабочей станции и серверу на аппаратном уровне (при загрузке). Система должна быть:

· ОС-независима и выполнена в виде платы к ЭВМ.

· при загрузке идентификация пользователя должна производиться при помощи смарт карты или электронной «таблетки» и при помощи пароля.

· блокировать доступ в сетап всех рабочих станций и серверов всем пользователям кроме администратора.

· блокировать компьютер, если пользователь покинул свое место (либо по нажатию клавиш, либо по таймауту)

3. Криптографическая защита данных

Сотрудники компании должны сохранять информацию начиная с уровня «Строго Конфиденциально» (см. положение о уровнях секретности информации) на PGP крипто диске (или на крипто диске иной разработки), разрешенном менеджментом компании.

4. Защита персональным файрволом

Все рабочие станции и мобильные компьютеры должны быть защищены персональным файрволом.

5. Резервирование данных.

Обязательным является резервирование пользователями важных данных на персональных компьютерах на внутреннем сервере данных компании.

Обязательно наличие бэкап-диска для сервера данных. Бэкап делается либо каждую неделю, либо после серьезных изменений в системе. Необходимо сохранять три цикла генерации бэкапа.

6. Протоколирование доступа

· При локальном доступе пользователя к рабочей станции ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему)

· При локальном доступе администратора к серверам ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему)

Физическая безопасность

1. Файрвол, веб-сервер, сервера IDS и контроля за трафиком и все сервера данных должны находится в отдельном помещении, доступ в которое разрешен только администраторам, у которых есть ключ или магнитная карта к этой комнате (комната обычно закрыта). Необходимо введение отдельной должности администратора безопасности, и все изменения в системах они будут делать только вдвоем: одна часть пароля администратора имеется у ИТ - администратора, вторая - у администратора безопасности.

2. Инфраструктура.

Помещение должно быть оборудовано принудительной вентиляцией и пожарной защитой (полуавтоматической или автоматической) и, возможно, видео наблюдением за действиями администраторов.

3. Вход в офис компании должен осуществляться только по магнитным картам

Соседние файлы в папке K_Ekzamenu_po_IB

#
04.01.202093.7 Кб65К лекции 2.Угрозы.doc
#
04.01.20202.87 Mб64Лекция 1. Вводная и РГР.ppt
#
04.01.2020527.59 Кб65Лекция 2. УГРОЗЫ.pptx
#
04.01.2020418.03 Кб76Лекция 2.Классификация АТАК.pptx
#
04.01.20202.77 Mб69Лекция 3 Методы и средства защиты.pptx
#
04.01.202085.85 Кб70Политика безопасности.docx
#
04.01.202016.47 Кб63Правовые средства.docx