Политика информационной безопасности. Глобальная политика

Вид материала

Документы

Содержание Политика информационной безопасности.Политика локальной вычислительной сети. Политика сетевого администрирования. Область действия Требования к сетевому соединению «Соединения между узлом связи организации и персоналом, работающим в местах, удаленных от орган

Подобный материал:

• Политика информационной безопасности (финансовые организации), 860.58kb.
• Д. С. Кулябов > Стандарты информационной безопасности, 1244.5kb.
• Экзаменационные вопросы по курсу «политология», 36.79kb.
• Политика информационной безопасности в банке, 224.59kb.
• "Политика информационной безопасности деканата сфргуитп", 41.99kb.
• Виртуальное место администратора безопасности информации в автоматизированных системах, 130.69kb.
• 1 Политика и ее роль в жизни общества, 315.83kb.
• Европейская политика соседства Европейская политика соседства, 876.66kb.
• Инструментов маркетинга, 130.06kb.
• Программа вступительного испытания по предмету «Современная экономика и экономическая, 121.62kb.

Политика информационной безопасности.
Политика локальной вычислительной сети.
Политика сетевого администрирования.

1. ТЕРМИНЫ И НОРМАТИВНЫЕ ССЫЛКИ
   

1. В настоящем документе применены термины и использованы ссылки на следующие стандарты:
   

ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»

ГОСТ Р ИСО/МЭК ТО 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»

ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»

ГОСТ Р ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»

2. ВВЕДЕНИЕ
   

1. ГБОУ ДПО НГИУВ Минздравсоцразвития полагается на использование информации при ведении своей профессиональной деятельности. Обмен данными и доступ к информационным сервисам осуществляется посредством локальной вычислительной сети (ЛВС).
   
2. Цель данной политики – определение требований к обеспечению безопасности сетевых соединений и правил обслуживания аппаратной и программной информационной инфраструктуры ЛВС института.
   

3. ОБЛАСТЬ ДЕЙСТВИЯ
   

1. Область действия данной политики распространяется на конфигурирование всех компонентов ЛВС: каналы связи, активное сетевое оборудование (АСО), сетевые интерфейсы, программное обеспечение управления и мониторинга ЛВС.
   

4. ПОЛИТИКА
   

1. Вычислительная сеть ГБОУ ДПО НГИУВ Минздравсоцразвития России является локальной вычислительной сетью, используемой для местного соединения имеющихся информационных систем. Сетевые соединения в рамках ЛВС классифицируются как «Соединение в пределах одной контролируемой территории» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования к безопасности данного соединения должны соответствовать п.4.28 данной политики.
   
2. ЛВС является сетью передачи данных. Режим работы сети – круглосуточный. Основным транспортным протоколом для передачи данных является протокол TCP/IP. Использование других протоколов не допускается.
   
3. В сети допускается использование разных типов приложений: клиент-серверных, на основе эмуляции терминала, WEB приложения и др.
   
4. Для адресации сети используется адресное пространство разрешенного частного адресного пространства Интернет.
   
5. Сетевая структура должна представлять коммутируемую, маршрутизируемую сеть с пропускной способностью 10/100/1000 Mb/сек.
   
6. В пределах ЛВС допускается наличие канала связи с другими информационными сетями для получения доступа к информационным ресурсам подразделений института, а также доступа к сервисам сторонних организаций. Данное соединение классифицируется как «Соединение с другими организациями» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования безопасности к данному типу сетевого соединения должны соответствовать п.4.29 данной политики безопасности.
   
7. В пределах ЛВС допускается наличие канала с общедоступной сетью Интернет. Данное соединение классифицируется как «Соединение с инородными областями общего пользования» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006. Требования к безопасности данного типа сетевого соединения должны соответствовать п.4.30 данной политики безопасности.
   
8. В целях обеспечения удаленного доступа к информационно-техническим сервисам института допускается наличие канала связи удаленного доступа. Данное соединение классифицируется как «Соединения между узлом связи организации и персоналом, работающим в местах, удаленных от организации» согласно ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования к безопасности данного типа сетевого соединения должны соответствовать п.4.31 данной политики безопасности.
   
9. В сети не допускается иных каналов связи, которые перечислены в п.4 данной политики.
   
10. Схемы логической и физической топологии должны быть выполнены в соответствии с требованиями «Требования к оформлению технических чертежей (схем) подсистемы активного сетевого оборудования»
    
11. Схемы логической и физической топологии хранятся на централизованном ресурсе института. Ответственность за актуальное состояние схем ЛВС несет системный администратор института. Доступ к данному ресурсу имеют только системный администратор и администратор сети. Зав. отделом информационных технологий осуществляет контроль и участвует в реорганизации.
    
12. Все сетевые компоненты должны быть идентифицированы и учтены в базе данных сетевого администрирования. Ответственность за актуальную информацию базы данных сетевого администрирования несет системный администратор. Доступ к данному ресурсу имеют только системный администратор и администратор сети.
    
13. Резервные копии конфигурационных файлов АСО должны храниться на централизованном ресурсе института. Ответственность за хранение актуальных копий конфигурационных файлов АСО несет системный администратор.
    
14. Все единицы АСО должны быть установлены либо в отдельных охраняемых помещениях, либо в шкафах, не имеющих возможности общего пользования.
    
15. Предпочтительными для конфигурирования АСО являются международные стандартные протоколы. Допускается использовать протоколы разработчика АСО, если они имеют ограниченную область действия и хорошо интегрируются в существующую гетерогенную инфраструктуру.
    
16. Все устройства АСО должны быть синхронизированы с сервером синхронизации времени института.
    
17. Доступ и удаленное управление АСО разрешено только системному администратору.
    
18. Доступ и удаленное управление АСО ограничен по IP адресу сетевого интерфейса рабочего персонального компьютера системного администратора.
    
19. Удаленное управление АСО разрешено после прохождения аутентификации и авторизации.
    
20. Параметры аутентификации и авторизации АСО должны быть отконфигурированы. Не разрешается использовать параметры, установленные по умолчанию заводом изготовителем АСО.
    
21. Не разрешается устанавливать доступ по протоколу SNMP в режиме изменения.
    
22. На всех портах АСО должен быть установлен режим управления доступом к среде.
    
23. На всех портах АСО должен быть режим STP или его производные.
    
24. Все неиспользуемые порты АСО должны быть отключены.
    
25. С целью выявления слабых мест в конфигурации сети должен выполняться мониторинг. Мониторинг проводится системным администратором, при необходимости могут привлекаться сотрудники отдела ИТ. Узлы, параметры для мониторинга и уровень детализации определяется администратором сети с учетом получения достаточной информации для проактивного анализа с целью предотвращения простоев сети и активного анализа при поиске неисправностей. Трафик, генерируемый системами управления сетью, не должен создавать препятствия для передачи данных в ЛВС института.
    
26. Тестирование новой аппаратной и программной инфраструктуры допускается только на оборудовании, которое не участвует в передаче данных института.
    
27. Изменение конфигурации и установка новых версий программного обеспечения АСО, вызывающих остановку передачи данных в сети, допускается только в нерабочее время (вечернее и ночное время). Допускается изменение конфигурации АСО в исключительных случаях для устранения неисправности.
    
28. Информация системных журналов аудита АСО должна быть централизована
    

Требования к сетевому соединению
«Соединение в пределах одной контролируемой территории»

1. Доверительная среда, связанная с данным типом соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. высокая/частная – высокое доверие и использование частной сети.
   
2. Все порты АСО, используемые для подключения персональных компьютеров сотрудников и другого АСО принадлежат виртуальной сети ЛВС ГБОУ ДПО НГИУВ Минздравсоцразвития России. В целях ограничения несанкционированного доступа допускается местное деление по виртуальным сетям по необходимым выполняемым задачам или по уровню безопасности.
   

Требования к сетевому соединению
«Соединение с другими организациями»

1. Доверительная среда, связанная с данным типом соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/частная – низкое доверие и использование частной сети.
   
2. Условия взаимодействия данного типа соединения определяются контрактом/договором, который заключается между институтом и сторонней организацией. Запрещается межсетевое взаимодействие по каналам связи в случае отсутствия контракта/договора.
   
3. Допускается сетевое взаимодействие между ЛВС института и сторонней организации только через маршрутизаторы. На границе ЛВС должен быть установлен контроль доступа в ЛВС для входящих и исходящих данных. Ограничений на уровень контроля доступа (приложений, сетевой, канальный) не накладывается.
   
4. Доступ к сервисам, использующим данное сетевое соединение, разрешается предоставлять только после прохождения процесса аутентификации и авторизации.
   
5. За контролем доступа по данному сетевому соединению должен быть установлен аудит. Доступ к журналам аудита имеет системный администратор и зав. отделом информационных технологий.
   

Требования к сетевому соединению
«Соединение с однородными областями общего пользования»

1. Доверительная среда, связанная с данным типом сетевого соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/общая – низкое доверие и использование общей сети.
   
2. Допускается сетевое взаимодействие по данному сетевому соединению только через межсетевой экран. Ограничений на техническую инфраструктуру и схему сетевого экрана не накладывается.
   
3. На границе межсетевого взаимодействия должен быть установлен контроль доступа на входящие и исходящие данные на сетевом и транспортном уровне.
   
4. Общедоступные информационные ресурсы института выделены в зону, к которой организован общий доступ.
   
5. Доступ пользователей ЛВС к сервисам, использующим данное соединение, разрешается предоставлять только после прохождения процесса аутентификации и авторизации.
   
6. Для контроля доступа по данному сетевому соединению должен быть установлен аудит. Доступ к журналам аудита имеет системный администратор и зав. отделом информационных технологий.
   
7. Создание виртуальных частных сетей с использованием канала сети Интернет разрешается только по шифрованному каналу.
   
8. Весь входящий и исходящий трафик анализируется на наличие вирусов и сигнатур известных атак.
   
9. Отправляемые во внешние сети сообщения не содержат информации о внутренней адресации сети.
   

Требования к сетевому соединению «Соединения между узлом связи организации и персоналом, работающим в местах, удаленных от организации»

1. Доверительная среда, связанная с данным типом сетевого соединения, согласно ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/общая – низкое доверие и использование общей сети.
   
2. Допускается сетевое взаимодействие по данному соединению только через межсетевой экран. Для данного сервиса выполняются все требования к сетевому соединению «Соединение с однородными областями общего пользования»
   
3. Доступ пользователей к сервису удаленного доступа разрешается предоставлять только по производственной необходимости на основе представления, полученному согласно принятому алгоритму получения доступа к серверу в институте
   
4. Передача данных посредством сервиса удаленного выполняется только по шифрованному каналу. Ограничений на техническую реализацию сервиса удаленного доступа не накладывается.
   
5. Аутентификационные данные для пользователей, отправляющихся в командировку, выдаются на срок не превышающий время пребывания вне территории института.
   
6. Компьютеры, с которых осуществляется удаленный доступ, должны удовлетворять требованиям безопасности вычислительной сети института.
   

Требования к настройке сетевых параметров компьютеров клиентов.

1. Сетевые параметры компьютер клиента получает автоматически.
   
2. Пользователь компьютера не должен иметь возможность изменять сетевые конфигурационные параметры.
   

5. КОНТРОЛЬ
   

1. Контроль от имени института за исполнением данной политики безопасности выполняет системный администратор ГБОУ ДПО НГИУВ Минздравсоцразвития России.