Пример правил администрирования

ЦЕЛЬ. Ввести правила администрирования и внедрить правила информационной безопасности.

Инструктаж пользователей

ЦЕЛЬ. Обеспечить знание и понимание всеми пользователями правил.

ПРАВИЛО. Все пользователи сетей и систем Компании должны пройти инструктаж для ознакомления с правилами безопасности, прежде чем им будет предоставлен доступ. Пользователи, которые уже работают в сети, должны пройти инструктаж в течение 30 дней после введения в действие этих правил.

Публикация и уведомление

ЦЕЛЬ. Опубликовать npaвила, чтобы они стали доступными для всех пользователей, и сообщить им о публикации.

ПРАВИЛО. Отдел кадров несет ответственность за публикацию во внутренней сети Компании правил информационной безопасности и всех их обновлений. Отдел кадров должен уведомить каждого пользователя о публикации документа правил, а также о том, как получить к ним доступ.

ЦЕЛЬ. Предоставить печатные копии тем, кто не имеет доступа к электронной версии документа.

ПРАВИЛО. Отдел кадров должен предоставить каждому отделу и пользователям, не имеющим права доступа во внутреннюю сеть, по одной печатной копии документа правил одновременно с публикацией электронной версии.

Обязанности руководства

ЦЕЛЬ. Предоставить право на проведение мониторинга.

ПРАВИЛО. Руководство имеет право контролировать всю деятельность в системах и сетевой трафик для обеспечения гарантий выполнения этих правил. Для этого руководство назначает соответствующих администраторов и возлагает на них обязанности по проведению мониторинга, а также другие обязанности, связанные с поддержкой безопасности.

ЦЕЛЬ. Предоставить право устанавливать средства управления доступом.

ПРАВИЛО. Руководство имеет право устанавливать средства управления доступом в соответствии с требованиями этих правил.

ЦЕЛЬ. Предоставить право тестирования средств управления доступом.

ПРАВИЛО. Руководство и назначенные администраторы несут ответственность за тестирование средств управления доступом и сети на наличие уязвимых мест. Пользователи не должны проводить тестирование на наличие уязвимых мест в сети и средств управления доступом вручную или с помощью программных средств.

ЦЕЛЬ. Исключитъ возможность использования уязвимых мест.

ПРАВИЛО. Когда уязвимые места становятся известны, пользователи не должны использовать их возможности вручную или с помощью программных средств.

ЦЕЛЬ. Ограничить пользование средствами обеспечения безопасности и тестирования только представителями руководства и администраторами.

ПРАВИЛО. Руководство и назначенные администраторы должны иметь доступ к средствам, которые могут помочь в управлении и тестировании системы обеспечения информационной безопасности. Пользователи не должны иметь доступ к этим средствам через сеть Компании. Пользователи не должны загружать эти средства в любую область сети или "скачивать" их оттуда.

Обязанности администраторов

ЦЕЛЬ. Обязать администраторов сохранять важные записи, фиксирующие нарушения безопасности.

ПРАВИЛО. Администраторы безопасности и системные администраторы должны делать записи обо всех нарушениях безопасности. Эти записи должны быть достаточно подробны, чтобы их можно было использовать для наложения дисциплинарных взысканий и при доработке правил безопасности.

ЦЕЛЬ. Обязать использовать журналы допустимых рисков в качестве утвержденной правилами безопасности процедуры разрешенного нарушения этих правил.

ПРАВИЛО. Администраторы безопасности должны вносить каждое разрешенное нарушение правил в журналы допустимых рисков. Руководители, которым необходимо нарушить отдельные предписания этих правил, должны расписаться в таком журнале и, тем самым, взять на себя ответственность за безопасность систем и сетей.

ЦЕЛЬ. Установить, что только системные и сетевые администраторы могут создавать и поддерживать идентификационные реквизиты пользователей и информацию, обеспечивающую управление доступом.

ПРАВИЛО. Системные и сетевые администраторы должны быть назначены ответственными за работу с информацией о пользователях и средствах управления доступом. В эти обязанности необходимо включить создание и модификацию учетных записей пользователей, а также, при необходимости, внесение изменений в средства управления доступом.

ЦЕЛЬ. Установить проведение полугодового аудита идентификационных реквизитов пользователей и средств управления доступом.

ПРАВИЛО. Системные администраторы и администраторы безопасности должны один раз в полгода проводить аудит учетных записей пользователей и соответствующих средств управления доступом для обеспечения их пригодности к использованию.

ЦЕЛЬ. Обязать администраторов разработать процедуры регистрации определенных функций систем и сетей.

ПРАВИЛО. Системные, сетевые администраторы, а также администраторы безопасности должны определить, какую информацию необходимо сохранять в системных и сетевых журналах. Кроме того, необходимо регистрировать все важные действия в области обеспечения безопасности.

ЦЕЛЬ. Обязать регулярно анализировать содержимое различных журналов регистрации и назначить администраторов, которым будет предоставлено исключительное право просматривать журналы.

ПРАВИЛО. Только уполномоченные администраторы должны регулярно просматривать системные и прочие журналы регистрации.

ЦЕЛЬ. Обеспечить защиту различных журналов регистрации.

ПРАВИЛО. Администраторы должны предпринять необходимые меры предосторожности, чтобы исключить отключение заполнения журналов, их исправление или удаление.

ЦЕЛЬ. Обеспечить гарантии своевременной отчетности администраторов о нарушениях защиты.

ПРАВИЛО. При обнаружении нарушений этих правил или безопасности сетей администраторы должны выполнить установленные процедуры.

ЦЕЛЬ. Обеспечить создание резервных копий и архивирование системных журналов.

ПРАВИЛО. Администраторы должны дублировать активные регистрационные журналы на онлайновые запоминающие устройства. Онлайновая копия должна быть заархивирована и перенесена на автономное запоминающее устройство в последний день каждого месяца. Автономное запоминающее устройство, на котором хранятся журналы, должно обслуживаться в течение двух лет, если в договоре или предписаниями судебных органов не установлен более длительный срок хранения.

Правовые санкции и отчетность об инцидентах

ЦЕЛЬ. Установить, что каждый отвечает за реализацию этих правил.

ПРАВИЛО. Все пользователи должны нести ответственность за внедрение и реализацию положений этих правил, а также связанных с ними процедур. О нарушениях этих правил и процедур необходимо составлять отчеты, пользуясь утвержденными для выполнения этой работы процедурами.

ЦЕЛЬ. Ввести программу мониторинга различных сообщений об инцидентах, связанных с информационной безопасностъю, и об ошибках в программном обеспечении.

ПРАВИЛО. Администраторы должны отслеживать широковещательные публикации организаций, сообщающие об инцидентах, ошибках и других проблемах, которые могут повлиять на безопасность сети и систем организации. В список этих организаций должны входить, но крайней мере, две ведущие организации из перечня поставщиков информационных систем, используемых в организации, а также выбранный организацией поставщик антивирусного программного обеспечения.

ЦЕЛЬ. Установить процедуры взаимодействия с правоохранительными органами.

ПРАВИЛО. Меры реагирования на нарушения закона необходимо координировать с руководством. Руководство должно выступать в роли ведущего собственного следователя, а также нести ответственность за связи и взаимодействие с правоохранительными органами.

ЦЕЛЬ. Ужесточить требования к работе с доказательствами нарушений безопасности.

ПРАВИЛО. Данные, необходимые для обработки информации о нарушениях информационной безопасности и об инцидентах, должны сохраняться, чтобы их можно было использовать во время анализа правил информационной безопасности на эффективность применения.

Правило увольнений

ЦЕЛЬ. Установить процедуры добровольного или принудительного увольнения пользователей.

ПРАВИЛО. Права доступа к ресурсам организации пользователей, которые разорвали трудовые отношения с организацией, должны быть немедленно аннулированы. Администраторы должны привести в порядок программы и другие данные, с которыми работали эти пользователи. Администраторы должны разработать процедуры аннулирования прав доступа этих пользователей.

Дисциплинарные меры

ЦЕЛЬ. Установить нормы поведения для работающих в сети и с системами Компании.

ПРАВИЛО. Категорически запрещено любое поведение, которое неблагоприятно отражается на работе других лиц в системах и сетях Компании, или которое может навредить другим лицам.

ЦЕЛЬ. Утвердить право руководства отменятъ право доступа к системам и сети для тех, кто нарушает эти правила.

ПРАВИЛО. Руководство имеет право аннулировать любые привилегии доступа пользователей и в любой момент разорвать с ними трудовое соглашение за нарушения предписаний правил безопасности или за поведение, мешающее нормальной работе сети и компьютерных систем Компании.

ЦЕЛЬ. Утвердить право руководства разрывать соглашения и контракты с теми, кому предоставлено право доступа к системам и сети на основании этих соглашений, если они нарушили эти правила.

ПРАВИЛО. Руководство имеет право разорвать контракты и договоры с подрядчиками и другими внешними пользователями, если они нарушают предписания правил или демонстрируют поведение, которое мешает нормальной работе сети и компьютерных систем Компании.

ЦЕЛЬ. Утвердить право руководства докладывать о нарушениях закона в соответствующие правоохранительные организации.

ПРАВИЛО. Руководство имеет право применить собственные меры наказания вместо соответствующих санкций по криминальному или гражданскому законодательству против любого, кто использует, злоупотребляет или атакует сеть организации и информационные системы таким образом, что это может быть отнесено к нарушениям закона и предписаний этих правил.