Pakiet szablonów, (Sample Security Policies) można pobrać z The SANS Institute(SANS) Template Package.

Przykładowe Wytyczne Użytkowania Komputerów. Niniejszy dokument ustanawia wytyczne dotyczące korzystania z komputera dla personelu pomocniczego działu systemów <XYZ> w trakcie wykonywania obowiązków służbowych w systemach komputerowych <XYZ>. Niniejsze wytyczne zawierają elementy <XYZ> Systems Division Special Access Agreement oraz Acceptable Use Statement of <XYZ> Systems Division Computing Resources. Niniejsze wytyczne mają na celu ochronę praw i prywatności klientów <XYZ> Działu Systemów, jak również pracowników wsparcia <XYZ> Działu Systemów. Wszelkie wytyczne lub zasady centrali korporacyjnej będą miały pierwszeństwo przed niniejszymi wytycznymi.

Oświadczenie o dopuszczalnym użytkowaniu. Poniższy dokument przedstawia wytyczne dotyczące korzystania z systemów i urządzeń komputerowych znajdujących się lub obsługiwanych przez (<XYZ>) Definicja <XYZ> Działu Systemów i urządzeń komputerowych obejmuje wszelkie komputery, serwer lub sieć dostarczane lub obsługiwane przez <XYZ> Dział Systemów

Polityka dostępu specjalnego. Dostęp specjalny do systemów <XYZ> jest utrzymywany i monitorowany za pomocą bazy danych dostępu specjalnego, zarówno przez <XYZ>Operacje, jak i <XYZ>pracownika ochrony i/lub jego asystenta.

Umowa dotycząca wytycznych w sprawie specjalnego dostępu. Umowa ta określa wiele zasad i zakazów korzystania ze specjalnego dostępu do komputerów NAS. Specjalny dostęp jest zdefiniowany jako posiadanie uprawnień i hasła do korzystania z jednego lub więcej z następujących kont: () . Środowisko NAS jest bardzo złożone i dynamiczne.

Polityka połączeń sieciowych. Polityka ta opisuje wymagania i ograniczenia dotyczące dołączania komputera do pracy <XYZ>. Wszystkie komputery zainstalowane w sieci<XYZ> podlegają władzy i odpowiedzialności inspektora bezpieczeństwa komputerowego instalacji przetwarzania danych (DPICSO) i jako takie muszą spełniać minimalne wymagania bezpieczeństwa <nazwa firmy>przepisów i polityki.

Procedury ratunkowe w przypadku incydentów bezpieczeństwa. Niniejsza procedura opisuje kroki, które mają być podjęte w przypadku fizycznych i komputerowych zdarzeń naruszających bezpieczeństwo, które wystąpią w obiekcie <XYZ>. Incydenty związane z bezpieczeństwem fizycznym objęte niniejszą procedurą to: kradzież (poważna i drobna), nielegalny dostęp do budynku i zniszczenie mienia (poważne lub drobne).

Procedura obsługi incydentów. Niniejszy dokument zawiera ogólne wytyczne i procedury postępowania w przypadku wystąpienia incydentów związanych z bezpieczeństwem komputerowym. Dokument ten ma zapewnić pracownikom pomocy technicznej firmy <XYZ> wytyczne dotyczące postępowania w przypadku wykrycia incydentu naruszenia bezpieczeństwa.

Polityka akceptowalnego szyfrowania. Celem tej polityki jest zapewnienie wytycznych ograniczających stosowanie szyfrowania do tych algorytmów, które zostały poddane istotnej publicznej ocenie i których skuteczność została udowodniona. Dodatkowo, polityka ta zawiera wytyczne zapewniające przestrzeganie przepisów federalnych oraz prawne upoważnienie do rozpowszechniania i stosowania technologii szyfrowania poza granicami Stanów Zjednoczonych.

Polityka bezpieczeństwa linii analogowych/ISDN. Niniejszy dokument wyjaśnia <XYZ> politykę i procedury dopuszczalnego użytkowania i zatwierdzania linii analogowych i ISDN. Polityka ta obejmuje dwa różne sposoby wykorzystania linii analogowych/ISDN: linie, które mają być podłączone wyłącznie w celu wysyłania i odbierania faksów oraz linie, które mają być podłączone do komputerów.

Wytyczne dotyczące procesów antywirusowych. Zalecane procesy mające na celu zapobieganie problemom z wirusami.

Polityka dotycząca dostawców usług aplikacyjnych (ASP). Dokument ten opisuje wymagania InformationSecurity wobec dostawców usług aplikacyjnych (ASP), którzy współpracują z firmą<XYZ>.

Polityka oceny przejęć. Określenie obowiązków InfoSec dotyczących przejęć korporacyjnych oraz zdefiniowanie minimalnych wymagań bezpieczeństwa oceny przejęcia InfoSec.

Standardy bezpieczeństwaASP. Dokument ten określa minimalne kryteria bezpieczeństwa, które musi spełnić dostawca usług aplikacji (ASP), aby mógł być brany pod uwagę do użytku przez <XYZ>.

AuditPolicy. Zapewnienie członkom <Nazwa firmy> zespołuInfoSec uprawnień do przeprowadzania audytu bezpieczeństwa dowolnego systemu w <XYZ>.

Polityka automatycznego przekazywania poczty elektronicznej. Zapobieganie nieuprawnionemu lub niezamierzonemu ujawnieniu poufnych informacji firmowych.

Polityka dotycząca haseł do bazy danych. Polityka ta określa wymagania dotyczące bezpiecznego przechowywania i pobierania nazw użytkowników i haseł baz danych (tj. poświadczeń bazy danych) do wykorzystania przez program, który będzie miał dostęp do bazy danych działającej w jednej z sieci firmy <XYZ>.

Polityka dostępu do usługi Dial-In. Celem tej polityki jest ochrona informacji elektronicznych firmy <XYZ> przed nieumyślnym narażeniem na szwank przez upoważniony personel korzystający z połączenia dial-in.

Polityka bezpieczeństwa laboratoriumDMZ. Ta polityka ustanawia wymagania dotyczące bezpieczeństwa informacji dla wszystkich sieci i sprzętu rozmieszczonych w laboratoriach firmy <XYZ> znajdujących się w „strefie zdemilitaryzowanej” (DMZ).

Polityka dotycząca sieci ekstranetowych. Dokument ten opisuje politykę, zgodnie z którą organizacje stron trzecich łączą się z sieciami <XYZ> w celu prowadzenia działalności związanej z <XYZ>.

Polityka wrażliwości informacji. Polityka wrażliwości informacji ma pomóc pracownikom określić, jakie informacje można ujawnić osobom niebędącym pracownikami, a także względną wrażliwość informacji, które nie powinny być ujawniane poza firmą <XYZ> bez odpowiedniego upoważnienia.

Polityka bezpieczeństwa wewnętrznego laboratorium. Niniejsza polityka ustanawia wymagania dotyczące bezpieczeństwa informacji dla <XYZ> laboratoriów w celu zapewnienia, że <XYZ> poufne informacje i technologie nie są zagrożone, oraz że usługi produkcyjne i inne <XYZ> interesy są chronione przed działalnością laboratorium.

Polityka dotycząca sprzętu InternetDMZ. Celem tej polityki jest określenie standardu, jaki ma spełniać cały sprzęt będący własnością i/lub obsługiwany przez <XYZ> znajdujący się poza<XYZ> korporacyjnymi internetowymi zaporami ogniowymi.

Polityka antywirusowa laboratorium.Ustalenie wymagań, które muszą spełniać wszystkie komputery podłączone do <XYZ> sieci laboratoryjnych, aby zapewnić skuteczne wykrywanie wirusów i zapobieganie im.

PasswordPolicy. Hasła są ważnym aspektem bezpieczeństwa komputerowego. Stanowią one pierwszą linię ochrony kont użytkowników. Źle dobrane hasło może doprowadzić do kompromitacji całej sieci korporacyjnej firmy <XYZ>. W związku z tym wszyscy<XYZ>pracownicy (w tym wykonawcy i sprzedawcy mający dostęp do<XYZ>systemów) są odpowiedzialni za podjęcie odpowiednich kroków, jak podano poniżej, w celu wybrania i zabezpieczenia swoich haseł.

Polityka zdalnego dostępu. Celem tej polityki jest określenie norm dotyczących łączenia się z siecią firmy <XYZ> z dowolnego hosta. Standardy te mają na celu zminimalizowanie potencjalnego narażenia <XYZ> na szkody, które mogą wynikać z nieuprawnionego użycia <XYZ> zasobów.

Polityka oceny ryzyka. Upoważnienie InfoSec do przeprowadzania okresowych ocen ryzyka w zakresie bezpieczeństwa informacji (RA) w celu określenia obszarów podatności na zagrożenia oraz inicjowania odpowiednich działań zaradczych.

Polityka bezpieczeństwa routerów. Niniejszy dokument opisuje wymaganą minimalną konfigurację zabezpieczeń dla wszystkich routerów i przełączników łączących się z siecią produkcyjną lub używanych w charakterze produkcyjnym w firmie lub w imieniu firmy <XYZ>.

Polityka zabezpieczeń serwerów. Celem niniejszej polityki jest ustanowienie standardów dla podstawowej konfiguracji wewnętrznego sprzętu serwerowego, który jest własnością i/lub jest obsługiwany przez <XYZ>. Skuteczne wdrożenie tej polityki zminimalizuje nieupoważniony dostęp do <XYZ> zastrzeżonych informacji i technologii.

UMOWA DOTYCZĄCA POŁĄCZEŃ ZE STRONAMI TRZECIMI. Niniejsza Umowa jest kompletnym porozumieniem pomiędzy stronami niniejszej Umowy dotyczącym jej przedmiotu i zastępuje wszelkie wcześniejsze ustne lub pisemne komunikaty pomiędzy stronami.

Virtual Private Network (VPN) Policy. Celem tej polityki jest zapewnienie wytycznych dotyczących połączeń zdalnego dostępu IPSec lub L2TP wirtualnej sieci prywatnej (VPN) do sieci korporacyjnej <XYZ>.

Polityka komunikacji bezprzewodowej. Niniejsza polityka zabrania dostępu do sieci <XYZ> poprzez niezabezpieczone mechanizmy komunikacji bezprzewodowej. Do łączności z sieciami firmy <XYZ> zatwierdzane są wyłącznie systemy bezprzewodowe, które spełniają kryteria tej polityki lub którym InfoSec przyznał wyłączne zwolnienie.

Pełny pakiet szablonów, (SampleSecurity Policies) można pobrać z The SANS Institute(SANS) Template Package.

By: adminPosted on

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *