Политика чистого стола и чистого экрана

a) уязвимая или критическая деловая информация, например, на бумаге или на электронном носителе, должна быть заперта (в идеале, в сейфе, в шкафу или в других формах надежной мебели), если она не требуется, особенно когда все ушли из офиса;

b) компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы или с запирающим механизмом экрана или клавиатуры, управляемым паролем, маркером или подобным механизмом аутентификации пользователя, когда они находятся без присмотра, и должны быть защищены блокировкой клавиатуры, паролями или другими средствами управления, когда не используются;

c) пункты работы с входящей и исходящей почтой и факсы без присмотра должны быть защищены;

d) неразрешенное использование фотокопировальных устройств и другой техники воспроизведения (например, сканеры, цифровые камеры), должно предотвращаться;

e) документы, содержащие важную или секретную информацию, должны удаляться с принтеров немедленно.

a) уязвимая или критическая деловая информация, например, на бумаге или на электронном носителе, должна быть заперта (в идеале, в сейфе, в шкафу или в других формах надежной мебели), если она не требуется, особенно когда все ушли из офиса;

b) компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы или с запирающим механизмом экрана или клавиатуры, управляемым паролем, маркером или подобным механизмом аутентификации пользователя, когда они находятся без присмотра, и должны быть защищены блокировкой клавиатуры, паролями или другими средствами управления, когда не используются;

c) пункты работы с входящей и исходящей почтой и факсы без присмотра должны быть защищены;

d) неразрешенное использование фотокопировальных устройств и другой техники воспроизведения (например, сканеры, цифровые камеры), должно предотвращаться;

e) документы, содержащие важную или секретную информацию, должны удаляться с принтеров немедленно.

 

Управление доступом в сеть

Доступ как к внутренним, так и к внешним сетевым услугам должен управляться:

соответствующие интерфейсы между сетью организации и другими сетями;

применение соответствующих механизмов аутентификации пользователей и оборудования;

управление доступом пользователей к информационным услугам.

 

Политика в отношении использования сетевых услуг

Пользователям должен быть предоставлен доступом только к разрешенным им услугам.

Политика должна описывать:

· сети и сетевые услуги, к которым разрешен доступ;

· процедуры выдачи разрешения на доступ;

· административные средства и процедуры для защиты доступа к сети;

· средства, используемые для доступа к сетям и сетевым услугам.

 

Аутентификация удаленных пользователей

Аутентификация удаленных пользователей может быть достигнута путем использования, например, методов, основанных на криптографии, аппаратных маркеров или протоколов с запросом и подтверждением. Можно использовать выделенные линии связи.

Аутентификация узлов сети криптографическими методами, например, основанными на машинных сертификатах может послужить в качестве альтернативного средства аутентификации групп удаленных пользователей, если они подключены к безопасному, совместно используемому компьютерному комплексу

 

Идентификация оборудования в сетях

Автоматическая идентификация оборудования должна быть рассмотрена как средство аутентификации подключений с конкретных мест и оборудования.

Идентификация оборудования может использоваться, если важно, чтобы подключение могло быть инициировано только с определенного места или оборудования.

Можно рассмотреть физическую защиту оборудования для того, чтобы поддержать защиту идентификатора оборудования.

 

Защита удаленных диагностических и конфигурационных портов

Физический и логический доступ к диагностическим и конфигурационным портам должен контролироваться и управляться.

Ненужные порты должны быть заблокированы или удалены

 

Разделение в сетях

Большие сети лучше разделять на отдельные логические домены, например, домены внутренней сети организации и домены внешней сети, каждый из которых защищен определенным периметром безопасности.

Специальные средства управления могут использоваться для разграничения во внутренней сети систем общего доступа, внутренних сетей и критических активов.

Средства для разделения

· Шлюз между 2мя доменами, настроенный на фильтрацию трафика между доменами и блокировку неразрешенного доступа в соответствии с политикой управления доступом (брандмауэр).

· VPN для групп пользователей

· Организация доменов управлением потоком данных в сети, используя возможности маршрутизации/коммутации, такие как список контроля доступа.