3. Сервер аутентификации

Для интернетов, которые соединяются с сетью Корпорации через точки риска, требующие усиленной аутентификации, Корпорация требует наличия безопасного сервера аутентификации для протоколирования верификации попыток аутентификации и их результатов. Сервер аутентификации должен размещаться в интернете, к которому не должно быть доступа с других интернетов с целями, отличными от обработки событий, связанных с аутентификацией. Допускается вход в этот интернет транзакций аутентификации, ответов на запросы службы имен, и результатов синхронизации времени для поддержки технологий аутентификации на основе времени. Выходить из этого интернета через единственную точку риска могут только ответы на транзакции аутентификации, запросы к службе имен и запросы к службе времени. Для этого интернета может также допускаться передача сообщений службы протоколирования событий, связанных с безопасностью, если администратор безопасности сочтет нужным хранить протоколы событий на сервере аутентификации. Серверу аутентификации также разрешается посылать уведомления об инцидентах с безопасностью информации по электронной почте для последующего анализа их администратором безопасности. Сервер аутентификации может быть физически защищен путем помещения его в закрытую комнату , доступ в которую разрешен только администратору.

4. Доступ к Интернету

Это - специальный случай в политике компании, требующий отдельного описания и рекомендаций. При подключении компании к Интернету она получает значительные выгоды при ведении своей деятельности, но также подвергается при этом большом риску. Компания придерживается политики быть членом Интернета, и поэтому эта часть описывает, как уменьшить риск, связанный с Интернетом.

4.1. Разрешенные службы

Корпорация поддерживает и поощряет свободный обмен электронной почтой между своими служащими и их корреспондентами в Интернете. Эта поддержка ограничивается такими формами обмена данными, которые не противоречат требованиям части 3.2.2. В некоторых случаях при импорте закодированных графических или аудио-файлов имеется прямая выгода для компании, но в большинстве случаев такая практика запрещена.

Корпорация поддерживает свободный обмен статьями конференций новостей с другими узлами Интернета. Реальная транспортировка этих статей в и из Корпорации должна быть ограничена небольшим числом доверенных соседей-серверов новостей, другой обмен статьями конференций запрещен. Ни при каких условиях узлы Интернета не имеют права читать новости из компании. Служащие должны быть проинформированы о порядке составления и передачи статей в конференции Интернета перед тем, как им будет позволено читать или посылать статьи в конференции. Компания будет поддерживать группы новостей, которые необязательно имеют прямую деловую направленность в интересах повышения производительности работы сотрудников, но она оставляет за собой право ограничить или удалить трафик новостей, который будет представляться ей бесполезной тратой сетевых ресурсов.

Предприятие поддерживает Службу Доменных Имен Интернет. Ни при каких обстоятельствах компания не будет разрешать зональные передачи списков имен узлов компании, кроме случаев, когда доверенный вторичный сервер имен запрашивает зональную передачу; сервера имен компании всегда будут отвечать на UDP-запросы имен.

Администраторы отвечают за принятие решения в отношении допустимости обмена узлов компании сообщениями по протоколу ICMP с другими узлами Интернета. Кроме того, они отвечают за принятие решения в отношении допустимости команды traceroute на основе протокола UDP в сетях компании и границ допустимости применения этой команды.

Предприятие не имеет намерения разрешать выходящие из сети компании соединения по протоколу TCP с узлами где-либо в Интернете. Администраторы безопасности отвечают за принятие решения о том, какие известные службы протокола TCP полезны для деятельности компании и оценить оценку риска компании, представляемого выбранными службами. Администраторы отвечают за поддержание целостности периметра между интернетами компании и Интернетом. Они должны использовать все доступные средства для предотвращения несанкционированного доступа в интернеты компании и всеми силами отражать любую форму атаки на периметр обороны.

Подразделения внутри Группы Компаний «ЭкоТранс» могут принять решение сделать некоторую информацию доступной для публичного доступа. Это должно делаться путем создания сервера для WWW и/или анонимного FTP. Администраторы должны обеспечить помощь в этом, согласованную с их другими обязанностями по установке таких информационных серверов. Если администраторы решат поместить сервер за периметром обороны, они должны проконсультироваться с ответственной организацией в отношении процедур, которым надо будет следовать в том случае, если сервер окажется разрушен преступниками за пределами компании. Если сервер нужно установить в одном из интернетов в низкими привилегиями, администраторы отвечают за гарантию того, что пользователи таких служб не смогут обойти защиту в этих приложениях и получить доступ к информационным ценностям компании.