Все автоматизированные информационные ценности и службы, которые используются локальной вычислительной сетью (ЛВС) ОК «БОР», охватываются этой политикой. Она одинаково применима к серверам ЛВС, периферийному оборудованию, автоматизированным рабочим местам и персональным компьютерам (ПК) в пределах среды ЛВС ОК «БОР». Ресурсы ЛВС ОК «БОР» включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к ОК «БОР» ЛВС, включая всех служащих ОК «БОР», поставщиков и работающих по контракту, которые используют ОК «БОР» ЛВС.
Цели программы защиты информации состоят в том, чтобы гарантировать целостность, доступность и конфиденциальность данных, которые должны быть достаточно полными, точными, и своевременными, чтобы удовлетворять потребности ОК «БОР», не жертвуя при этом основными принципами, описанными в этой политике. Определяются следующие цели:
Следующие группы сотрудников несут ответственность за внедрение и достижение целей безопасности, сформулированных в этой политике.
1. Функциональное руководство (ФР) - те служащие, кто несет ответственность согласно своим функциональным обязанностям (не в области компьютерной безопасности) внутри ОК «БОР». Функциональное Руководство отвечает за информирование сотрудников относительно этой политики, гарантию того, что каждый сотрудник имеет ее копию, и взаимодействие со всеми служащими по проблемам безопасности.
2. Администраторы ЛВС (АД) - служащие, кто участвуют в ежедневном управлении и поддержании работоспособности ЛВС ОК «БОР». Они отвечают за обеспечение непрерывного функционирования ЛВС. Администраторы ЛВС отвечают за осуществление соответствующих мер защиты в ЛВС в соответствии с политикой безопасности ЛВС ОК «БОР» .
3. Местные Администраторы (МА) - служащие, которые являются ответственными за предоставление конечным пользователям доступа к необходимым ресурсам ЛВС, которые размещены на серверах, входящих в их зону ответственности. Местные администраторы отвечают за обеспечение защиты своих серверов - в соответствии с политикой безопасности ЛВС ОК «БОР».
4. Конечные пользователи (П) - являются любыми служащими, которые имеют доступ к ЛВС ОК «БОР». Они отвечают за использование ЛВС в соответствии с политикой безопасности ЛВС. Все пользователи данных отвечают за соблюдение специфических политик безопасности, установленных теми лицами, кто несет основную ответственностью за защиту тех или иных данных, и за доклад руководству о любом подозрении на нарушение защиты.
Отказ соблюдать эту политику может подвергнуть информацию ОК «БОР» недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в ЛВС ОК «БОР». Нарушения стандартов, процедур или руководств, поддерживающих эту политику, будут привлечь внимание руководства и могут привести к дисциплинарной ответственности вплоть до увольнения со службы.
ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС
ОП1. Каждый персональный компьютер должен иметь "владельца" или " системного администратора ", который является ответственным за работоспособность и безопасность компьютера, и за соблюдение всех политик и процедур, связанных с использованием данного компьютера. Основной пользователь компьютера может выполнять эту роль. Эти пользователи должны быть обучены и обеспечены соответствующими руководствами так, чтобы они могли корректно соблюдать все политики и процедуры.
ОП2. Чтобы предотвратить неавторизованный доступ к данным ЛВС, программному обеспечению, и другим ресурсам, находящимся на сервере ЛВС, все механизмы защиты сервера ЛВС должны находиться под монопольным управлением местного администратора и местного персонала Администраторов ЛВС.
ОП3. Чтобы предотвратить распространение злонамеренного программного обеспечения и помочь выполнению лицензионных соглашений о программах, пользователи должны гарантировать, что их программное обеспечение должным образом лицензировано и является безопасным.
ОП4. За все изменения(замены) программного обеспечения и создание резервных копий данных на серверах отвечают Администраторы ЛВС.
ОП5. Каждому пользователю должен быть назначен уникальный ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ и начальный пароль (или другая информация для идентификации и аутентификации), только после того, как закончено оформление надлежащей документации. Пользователи не должны совместно использовать назначенные им ИДЕНТИФИКАТОРЫ ПОЛЬЗОВАТЕЛЯ.
ОП6. Пользователи должны аутентифицироваться в ЛВС перед обращением к ресурсам ЛВС.
ОП7. ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ должен удаляться после продолжительного периода неиспользования.
ОП8. Использование аппаратных средств ЛВС типа мониторов / регистраторов трафика и маршрутизаторов должно быть авторизовано и проводиться под контролем Администраторов ЛВС.
ОП9. Отчеты о безопасности должны готовиться и рассматриваться ежедневно.
ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС ОК «БОР».
Пользователи
Ожидается, что пользователи хорошо осведомлены относительно политики безопасности Агентства, и других применимых законов, политик, указов и процедур и твердо их придерживаются. Пользователи полностью отвечают за их собственное поведение. В частности, пользователи отвечают за следующее:
П1. Отвечают за понимание и соблюдение соответствующих Федеральных законов, политик и процедур министерства, политик и процедур ОК «БОР» и других применимых политик безопасности и связанных с ними последствий для ЛВС ОК «БОР».
П2. Отвечают за использование доступных механизмов безопасности для защиты конфиденциальности и целостности их собственной информации, когда это требуется.
П2.1. Следуют местным процедурами защиты критических данных, а также процедурам безопасности самой ЛВС ОК «БОР». Используют механизмы защиты файлов для поддержания соответствующего управления доступом к файлам.
П2.2. Выбирает и использует хорошие пароли. Использует FIPS 112, Использование Паролей как руководство при выборе хороших паролей. Не записывает паролей, и не раскрывает их другим. Не использует совместно идентификаторы пользователей.
П3. Отвечает за помощь другим пользователям, кто будет не в состоянии должным образом использовать доступные механизмы защиты. Помогает защитить собственность других лиц. Уведомляет их относительно незащищенности их ресурсов (например, файлов, идентификаторов).
П4. Отвечает за уведомление местного администратора или члена руководства о нарушении защиты или обнаруженном отказе.
П5. Отвечает за неиспользование слабых мест АС.
П5.1. Не осуществляет намеренного изменения, уничтожения, чтения, или передачи информации неавторизованным способом: не мешает специально получить другим пользователям авторизованный доступ к ресурсам ЛВС и информации в ней.
П5.2. Предоставляет правильную информацию для идентификации и аутентификации, когда это требуется, и не пытается угадать подобную информацию для других пользователей.
П6. Отвечает за гарантию выполнения резервного копирования данных и программного обеспечения находящегося на жестком диске их собственного автоматизированного рабочего места.
П7. Отвечает за понимание принципов работы злонамеренного программного обеспечения, методов , с помощью которых оно вносится и распространяется, и уязвимых мест, которые используются злонамеренным программным обеспечением и неавторизованными пользователями.
П8. Отвечает за знание и использование соответствующих политик и процедур для предотвращения, обнаружения, и удаления злонамеренного программного обеспечения.
П9. Отвечает за знание того, на что нужно обращать внимание при работе в определенных системах и конкретных программах, чтобы обнаружить признаки их необычной работы, и что нужно сделать или с кем связаться для получения дополнительной информации.
П10. Отвечает за использование программно-аппаратных средств защиты, которые доступны для защиты системы от злонамеренного программного обеспечения.
П11. Отвечает за знание и использование процедур по обеспечению непрерывной работы для сдерживания и восстановления при потенциальных инцидентах.
2.Функциональное руководство.
Функциональное руководство (и управляющие более высокого уровня) отвечают за разработку и выполнение эффективных политик безопасности, которые отражают специфические цели ЛВС ОК «БОР». Они полностью отвечают за обеспечение того, что защита информации и линий связи является и остается важной и критической целью в повседневной деятельности. В частности функциональное руководство отвечает за следующее:
ФМ1. Отвечает за проведение эффективного управления риском для того, чтобы обеспечить основу для формулирования разумной политики. Управление риском требует идентификации ценностей, которые нужно защитить, определения уязвимых мест, анализа риска их использования и реализации рентабельных средств защиты.
ФМ2. Отвечает за гарантию того, чтобы каждый пользователь получил, как минимум, копию политики безопасности и местного руководства (если таковые есть в наличии ) до внесения его в списки пользователей АС.
ФМ3. Отвечает за осуществление программы обучения основам безопасности для пользователей, чтобы можно было гарантировать знание ими местной политики безопасности и правил работы на компьютере.
ФМ4. Отвечает за гарантию того, что весь персонал в пределах операционной единицы организации знает эту политику и отвечает за включение ее в инструктажи по компьютерной безопасности и программы обучения .
ФМ5. Отвечает за информирование местного администратора и администраторов ЛВС об изменениях в статусе любого служащего, который использует ЛВС ОК «БОР». Это изменение статуса может включать переход из организации в организацию в одном ведомстве, переход из отдела в отдел, или окончание службы в ОК «БОР».
ФМ6. Отвечает за гарантию того, что пользователи понимают природу злонамеренного программного обеспечения, понимают,как оно вообще распространяется, и какие программно-аппаратные средства защиты должны использоваться против него.
3. Администраторы Локальной Вычислительной Сети (ЛВС)
Предполагается, что администраторы ЛВС (или назначенный для этого персонал) претворяет (в части их касающейся) местные политики безопасности, так как это связано с применением программно-аппаратных средств защиты, архивированием критических программ и данных, управлением доступом и защитой оборудования ЛВС. В частности, администраторы ЛВС отвечают за следующее:
ОУ1. Отвечают за корректное применение доступных механизмов защиты для осуществления местных политик безопасности.
ОУ2. Отвечает за уведомление руководства о работоспособности существующих политик и любых технических соображениях, которые могли бы улучшить их эффективность.
ОУ3. Отвечает за защищенность среды ЛВС внутри организации и интерфейсов с глобальными сетями.
ОУ4. Отвечает за оперативное и эффективное улаживание происшествий с компьютерной безопасностью.
ОУ4.1. Уведомляет местных администраторов о проникновении злоумышленника в ЛВС , помогает другим местным администраторам улаживать происшествия с безопасностью.
ОУ4.2. Сотрудничает с местными администраторами при выявлении нарушителя и помогает им это сделать.
ОУ5. Отвечает за использование надежных и доступных средств аудирования для облегчения обнаружения нарушений безопасности.
ОУ6. Отвечает за проведение своевременных проверок системных журналов серверов ЛВС.
ОУ7. Отвечает за отслеживание информации о политиках безопасности и приемах обеспечения безопасности в других организациях и, когда это необходимо, информирование местных пользователей и уведомление руководства об изменениях или новых разработках.
ОУ8. Отвечает за крайнюю осторожность и корректность при применении им своих экстраординарных полномочий и привилегий. Безопасность пользователей должна всегда стоять на первом месте.
ОУ9. Отвечает за разработку соответствующих процедур и издание инструкций по предотвращению, обнаружению, и удалению злонамеренного программного обеспечения, соответствующих руководящим принципам, содержащимся в этом документе.
ОУ10. Отвечает за своевременное создание резервных копий всех данных и программного обеспечения на серверах ЛВС.
ОУ11. Отвечает за выявление и рекомендацию пакетов программ для обнаружения и удаления злонамеренного программного обеспечения.
ОУ12. Отвечает за разработку процедур, позволяющих пользователям сообщать о компьютерных вирусах и других инцидентах и отвечает за уведомление потенциально затрагиваемых лиц о возможной угрозе им.
ОУ13. Отвечает за скорое уведомление соответствующей группы улаживания происшествий с компьютерной безопасностью обо всех инцидентах, включая выявление злонамеренного программного обеспечения.
ОУ14. Отвечает за оказание помощи при определении источника злонамеренного программного обеспечения и зоны его распространения.
ОУ15. Отвечает за обеспечение помощи в удалении злонамеренного программного обеспечения.
ОУ16. Отвечает за проведение периодического анализа для того, чтобы гарантировать, что соблюдаются надлежащие процедуры безопасности, включая те, которые предназначены для защиты от злонамеренного программного обеспечения.
4. Местные Администраторы
Ожидается, что местные администраторы (или назначенный персонал) будут использовать доступные службы и механизмы защиты ЛВС на сервере, за который они отвечают, чтобы поддерживать и претворять в жизнь применимые политики и процедуры безопасности. В частности, местные администраторы отвечают за следующее:
МA1. Отвечают за управление привилегиями доступа всех пользователей к данным, программам и функциям.
МA2. Отвечают за контроль за всеми связанными с защитой событиями и за расследование любых реальных или подозреваемых нарушений там, где это уместно. В соответствующих случаях отвечают за уведомление и координацию действий с Администраторами ЛВС по контролю или расследованию событий, связанных с нарушением безопасности.
МA3. Отвечает за поддержание и защиту программного обеспечения и соответствующих файлов на сервере ЛВС, используя доступные механизмы и процедуры защиты.
МA4. Отвечает за сканирование сервера ЛВС антивирусным программным обеспечением через регулярные интервалы времени для гарантии того, что никакому вирусу не удалось разместиться на сервере ЛВС.
МA5. Отвечает за назначение уникального ИП и начального пароля (или другой идентификационной и аутентификационной информации) каждому пользователю только после того, как будет оформлена надлежащая документация.
МA6. Отвечает за быстрое уведомление соответствующего персонала группы улаживания происшествий с компьютерной безопасностью обо всех инцидентах, включая злонамеренное программное обеспечение;
МA6.1. Уведомляет Администраторов ЛВС о проникновении в ЛВС , помогает другим местным администраторам улаживать нарушение безопасности.
МА6.2. Сотрудничает с другими местными администраторами и Администраторами ЛВС в поиске нарушителя и помогает им это сделать.
МA7. Отвечает за обеспечение помощи при выявлении источника злонамеренного программного обеспечения и зоны его распространения.