Политика межсетевого взаимодействия

Этот документ описывает политику в соответствие с которой третьи стороны подключаются к сети ВАША КОМПАНИЯ для осуществления транзакций при работе с ВАША КОМПАНИЯ.

Коммуникации с третьими сторонами, требующие доступа к закрытым ресурсам ВАША КОМПАНИЯ, регулируются данной политикой, независимо от того используется ли для соединения выделенная линия (Frame Relay или ISDN) или VPN. Подключение к таким третьим сторонам как провайдер услуг интернет, предоставляющих доступ ВАША КОМПАНИЯ к интернет-ресурсам или городской телефонной сети не подпадает под действие этой политики.

Предпосылки, обзор безопасности

Все новые экстранет-подключения должны рассматриваться отделом информационной безопасности ВАША КОМПАНИЯ. Это рассмотрение подтвердит что подключение к сети третьей стороны соответствует нуждам бизнеса.

Трёхсторонне Соглашение о подключении

Все новые запросы на коммуникацию между третьими сторонами и ВАША КОМПАНИЯ требуют подписания Трёхстороннего Соглашения вице-президентом базовой организации и уполномоченным представителем третьей стороны. Подписанный документ должен храниться в документации (наименование отдела ведущего экстранет-соединения). Документы, относящиеся к коммуникациям с подразделениями ВАША КОМПАНИЯ должны храниться среди документации отдела безопасности подразделения.

Бизнес-кейс

Все производственные экстранет-коммуникации должны сопровождаться действующими бизнес-основаниями, одобренными проект-менеджером экстранет-группы. Подключение к подразделению должно быть разрешено (наименование отдела безопасности подразделения). Этот бизнес-кейс обычно является частью трёхстороннего соглашения.

Контактное лицо

Базовая организация должна назначить Контактное лицо для экстранет-соединений. В случае смены лица незамедлительно информируйте соответствующего партнёра.

Базовая организация в ВАША КОМПАНИЯ, желающая установить соединение с третьей стороной должна направить запрос, включающий в себя полную информацию о предполагаемом типе доступа экстранет-группе. Экстранет-группа обозначит возможные проблемы безопасности, которые могут возникнуть при реализации этого проекта. Если предполагаемое соединение будет терминироваться в подразделении, то необходимо привлечь (отдел безопасности подразделения).

Все экстранет-соединения должны быть основаны на принципе необходимого доступа (предоставление доступа только к необходимым для работы ресурсам) в соответствие с применяемыми бизнес-требованиями и требованиями безопасности. ВАША КОМПАНИЯ никогда не должна полагаться на третью сторону при решении вопросов защиты сетевых ресурсов.

Все изменения доступа должна сопровождаться действующими бизнес-основаниями и должны контролироваться с точки зрения безопасности. Изменения осуществляются в соответствие с процессом управления изменениями ВАША КОМПАНИЯ. Базовая организация ответственна за уведомление экстранет-группы и/или ВАША КОМПАНИЯ в случае существенных изменений первоначального требования доступа чтобы уровень безопасности соответствовал статусу подключения.

Если доступ больше не требуется, базовая организация должна уведомить экстранет-группу, ответственную за это подключение, которая затем отключит доступ. В зависимости от ситуации это могут быть действия от изменения существующих прав до отключения канала. Отделы безопасности экстранет и соответствующего подразделения должны проводить ежегодный аудит своих подключений чтобы убедиться в необходимости этих подключений и что предоставленный доступ соответствует подключению. Подключения, которые больше не используются ВАША КОМПАНИЯ для ведения бизнеса, должны быть незамедлительно отключены. Если инцидент безопасности или аудит определят что канал скомпрометирован или более не используется ВАША КОМПАНИЯ для ведения бизнеса, ВАША КОМПАНИЯ и/или экстранет-группа должны попытаться уведомить контактное лицо базовой организации до изменения прав доступа или прекращения соединения.

Любой сотрудник, нарушивший данную политику может быть подвержен взысканию вплоть до увольнения.

Канал В рамках этой политики каналом называется метод сетевого доступа и может включать себя ISDN, Frame Relay и т. д. или VPN-технологии.

Базовая организация Подразделение ВАША КОМПАНИЯ, которая инициирует доступ третьей стороны к сетям ВАША КОМПАНИЯ.

Третья сторона организация, которая не является подразделением ВАША КОМПАНИЯ.

• Политика допустимого использования ИС
• Политика использования электронной почты
• Антивирусная политика
• Политика управления доступом к ИС
• Парольная политика
• Политика шифрования
• Политика управления удаленным доступом к ИС
• Политика использования VPN