Paskutinį kartą pakeista: 19 kovo, 2025

Politika Nr. 4204 Serverio saugumo procedūra

Atsisiųsti serverio saugumo procedūros dokumentą

Apžvalga

Neapsaugoti ir pažeidžiami serveriai tebėra pagrindinis piktavalių grėsmių sukėlėjų patekimo taškas. Nuosekli serverių diegimo politika, nuosavybė ir konfigūracijos valdymas - tai tik pagrindinių dalykų geras atlikimas.

Tikslas

Šios procedūros tikslas - nustatyti PCSD priklausančios ir (arba) eksploatuojamos vidaus serverių įrangos bazinės konfigūracijos standartus. Veiksmingas šios procedūros įgyvendinimas sumažins neleistiną prieigą prie PCSD nuosavybės teise priklausančios informacijos ir technologijų.

Apimtis

Visi darbuotojai, rangovai ir konsultantai privalo laikytis šios procedūros. Ši procedūra taikoma serverių įrangai, kuri priklauso, yra naudojama arba registruota PCSD vidinio tinklo domene. Šioje procedūroje nurodomi reikalavimai vidaus tinklo įrangai.

Procedūra

Bendrieji reikalavimai

Visi PCSD įdiegti vidaus serveriai turi priklausyti operacinei grupei, atsakingai už sistemos administravimą. Kiekviena operatyvinė grupė turi parengti ir prižiūrėti patvirtintus serverių konfigūracijos vadovus, pagrįstus verslo poreikiais ir patvirtintus Informacijos saugumo grupės. Operacinės grupės turėtų stebėti konfigūracijos atitiktį ir įgyvendinti jų aplinkai pritaikytą išimčių procedūrą. Kiekviena veiklos grupė turi nustatyti konfigūracijos vadovų keitimo procesą, kuris apima "InfoSec" grupės peržiūrą ir patvirtinimą.
Serveriai turi būti užregistruoti inventoriaus valdymo sistemoje ir turi būti sukurtas CSI (kritinės sistemos informacijos) dokumentas. Reikia pateikti bent šią informaciją:
- serverio kontaktinis (-iai) asmuo (-enys) ir vieta, atsarginis kontaktinis asmuo ir vieta.
- Techninė įranga ir operacinė sistema / versija
- Pagrindinės funkcijos ir taikymai, jei taikoma
- Serijos numeris
- HW adresas
- Pirkimo informacija
- Paramos informacija
- Pardavėjo informacija
Inventoriaus valdymo sistemoje ir CSI esanti informacija turi būti nuolat atnaujinama.
Saugumo, atitikties ir techninės priežiūros tikslais įgalioti darbuotojai gali stebėti ir audituoti įrangą, sistemas, procesus ir tinklo srautą pagal audito procedūrą.

Konfigūracijos reikalavimai

Operacinės sistemos konfigūracija turi atitikti patvirtintas informacinės saugos gaires.
Paslaugos ir programos, kurios nebus naudojamos, turi būti išjungtos, jei tai praktiškai įmanoma.
Jei įmanoma, prieiga prie paslaugų turėtų būti registruojama ir (arba) apsaugota naudojant prieigos kontrolės metodus, pavyzdžiui, žiniatinklio programų užkardą.
Naujausios saugumo pataisos sistemoje turi būti įdiegtos kuo greičiau, vienintelė išimtis - kai jų neatidėliotinas pritaikymas trukdytų mokymui ir mokymuisi.
Pasitikėjimo ryšiai tarp sistemų kelia pavojų saugumui, todėl jų reikėtų vengti. Nenaudokite pasitikėjimo santykių, jei pakanka kito ryšio būdo.
Visada naudokite standartinius saugumo principus, kad funkcijai atlikti reikia mažiausiai reikalingos prieigos. Nenaudokite "root", jei tam tinka neprivilegijuota paskyra.
Jei yra saugaus ryšio kanalo metodika (t. y. techniškai įmanoma), privilegijuota prieiga turi būti vykdoma saugiais kanalais (pvz., šifruotais tinklo ryšiais naudojant SSH arba IPSec).
Serveriai turėtų būti fiziškai laikomi kontroliuojamoje aplinkoje.
Serverius draudžiama naudoti iš neleistinų įrenginių ir tinklų.

Stebėsena

Turi būti registruojami visi su saugumu susiję įvykiai kritinėse arba jautriose sistemose.
Apie su saugumu susijusius įvykius bus pranešama "InfoSec" komandai, kuri peržiūrės žurnalus ir praneš apie incidentus IT vadovybei. Prireikus bus nustatytos taisomosios priemonės.
Su saugumu susiję įvykiai apima, be kita ko, šiuos įvykius:
- Prievadų skenavimo atakos
- Neteisėtos prieigos prie privilegijuotų paskyrų įrodymai
- neįprasti reiškiniai, nesusiję su konkrečiomis kompiuterio taikomosiomis programomis.

Paskutinio atnaujinimo būsena:

Atnaujinta 2015 m. sausio mėn.