Политика использования VPN

Материал из SecurityPolicy.ru

Information security

Информационная безопасность
<!--Information security-->

[править] 1.Назначение

Назначение данной политики - определение правил для VPN-подключений с использованием IPSec или L2TP к корпоративной сети ВАША КОМПАНИЯ

[править] 2. Аудитория

Эта политика предназначена всем сотрудникам ВАША КОМПАНИЯ, в том числе, работающим по контракту, консультантам, временным и остальным работникам, включая персонал треттьих организаций, использующим VPN для доступа к локальнйо сети ВАША КОМПАНИЯ. Эта политика относится к применению VPN через концентратор IPSec .

[править] 3. Политика

Определённые сотрудники ВАША КОМПАНИЯ и авторизованные партнёры (клиенты, поставщики и т. д.) могут использовать VPN, что является службой, контролируемой пользователем. Это значит, что пользователь ответственен за выбор провайлера услуг интернет, координацию установки оборудования и ПО и оплату соответствующих тарифов. Дальнейшая информация доступна в политике удалённого доступа.

Дополненительно,

1. Пользователи VPN не должны допускать неавторизованного доступа других пользователей к внутреннним сетевым ресурсам ВАША КОМПАНИЯ.

2. Доступ по VPN должен осуществляться по одноразовым паролю с помощью токена или при помощи инфраструктуры открытых ключей со стойкой парольной фразой.

3. Когда VPN-подключение активно, весь исходящий и входящий траффик компьютера идёт через VPN-туннель; остальной траффик сбрасывается.

4. Двойное тунеллирование НЕ допускается; разрешено только одно сетевое подключение.

5. VPN-шлюзы настраиваются и обслуживаются группой сетевой поддержки ВАША КОМПАНИЯ.

6. Все компьютеры, подключенные к локальной сети ВАША КОМПАНИЯ через VPN или по другой технологии должны использовать самое актуальное стандартное антивирусное ПО, (укажите URI сайта производителя); это включает в себя и персональные компьютеры.

7. Пользователи VPN должны автоматически отключаться от локальной сети ВАША КОМПАНИЯ после 30 минут простоя. Пользователь должен авторизоваться заново, чтобы подключиться к сети. Пинги или другая искусственная сетевая активность не должны использоваться для поддержания соединения.

8. VPN-концентратор имеет ограничение на беспрерывную сессию в 24 часа.

9. Пользователи компьютеров не принадлежащих ВАША КОМПАНИЯ должны настроить своё оборудование в соответствие с политикой использования VPN и сетевых ресурсов ВАША КОМАПНИЯ.

10. Только одобренное InfoSec клиентское ПО VPN подлежит использованию.

11. Используя технологию VPN на личном оборудовании пользователи должны понимать что их оборудование де-факто является частью сети ВАША КОМПАНИЯ и они тем самым подчиняются тем же требованиям и правилам, относящимся к оборудованию ВАША КОМПАНИЯ, т. е. их компьютеры должны быть сконфигурированы в соответствие с политиками безопасности администратора/группы безопасности сети.

[править] 4. Ответственность

Любой сотрудник, нарушивший данную политику, может быть подвержен взысканию вплоть до увольнения.

[править] 5. Термины

IPSec концентратор Устройство, где терминируются VPN-соединения.

[править] См. также

1. Политика допустимого использования ИС
2. Политика использования электронной почты
3. Антивирусная политика
4. Политика управления доступом к ИС
5. Парольная политика
6. Политика шифрования
7. Политика управления удаленным доступом к ИС
8. Политика межсетевого взаимодействия