Последнее изменение: 19 марта, 2025

Политика № 4204 Процедура обеспечения безопасности сервера

• Скачать документ о процедуре обеспечения безопасности сервера

Обзор

Незащищенные и уязвимые серверы по-прежнему являются основной точкой входа для злоумышленников. Последовательная политика установки серверов, владение и управление конфигурацией - это все, что нужно для правильного выполнения основных задач.

Назначение

Цель данной процедуры - установить стандарты базовой конфигурации внутреннего серверного оборудования, принадлежащего PCSD и/или эксплуатируемого им. Эффективная реализация данной процедуры позволит свести к минимуму несанкционированный доступ к служебной информации и технологиям PCSD.

Область применения

Все сотрудники, подрядчики и консультанты должны придерживаться этой процедуры. Данная процедура применяется к серверному оборудованию, которое принадлежит, эксплуатируется или зарегистрировано в домене внутренней сети PCSD. Данная процедура определяет требования к оборудованию во внутренней сети.

Процедура

Общие требования

• Все внутренние серверы, развернутые в PCSD, должны принадлежать операционной группе, которая отвечает за администрирование системы. Утвержденные руководства по конфигурации серверов должны быть разработаны и поддерживаться каждой операционной группой на основе потребностей бизнеса и одобрены группой InfoSec. Операционные группы должны следить за соблюдением конфигурации и внедрять процедуру исключений, адаптированную к их среде. Каждая операционная группа должна установить процесс изменения руководств по конфигурации, который включает проверку и утверждение группой InfoSec.
• Серверы должны быть зарегистрированы в системе управления инвентаризацией, а также должен быть создан документ CSI (Critical System Information). Как минимум, требуется следующая информация:
  • Контактные данные и местоположение сервера, а также резервные контактные данные и местоположение
  • Аппаратное обеспечение и операционная система/версия
  • Основные функции и области применения, если применимо
  • Серийный номер
  • HW-адрес
  • Информация о покупке
  • Информация о поддержке
  • Информация о поставщике
• Информация в системе управления запасами и CSI должна поддерживаться в актуальном состоянии.
• В целях обеспечения безопасности, соблюдения требований и технического обслуживания уполномоченный персонал может осуществлять мониторинг и аудит оборудования, систем, процессов и сетевого трафика в соответствии с процедурой аудита.

Требования к конфигурации

• Конфигурация операционной системы должна соответствовать утвержденным рекомендациям InfoSec.
• Службы и приложения, которые не будут использоваться, должны быть отключены, где это возможно.
• Доступ к службам должен регистрироваться и/или защищаться с помощью методов контроля доступа, таких как брандмауэр веб-приложений, если это возможно.
• Последние исправления безопасности должны быть установлены на систему как можно скорее, исключение составляют случаи, когда их немедленное применение может помешать преподаванию и обучению.
• Доверительные отношения между системами представляют собой риск для безопасности, и их следует избегать. Не используйте доверительные отношения, если достаточно другого способа связи.
• Всегда используйте стандартные принципы безопасности, предусматривающие минимально необходимый доступ для выполнения функции. Не используйте root, если подойдет непривилегированная учетная запись.
• Если методика подключения к защищенному каналу доступна (т. е. технически осуществима), привилегированный доступ должен осуществляться по защищенным каналам (например, по зашифрованным сетевым соединениям с использованием SSH или IPSec).
• Серверы должны физически располагаться в среде с контролируемым доступом.
• Серверам запрещено работать с неавторизованных устройств и сетей.

Мониторинг

• Все события, связанные с безопасностью критически важных или чувствительных систем, должны регистрироваться.
• О событиях, связанных с безопасностью, будет сообщаться команде InfoSec, которая проверит журналы и сообщит об инцидентах руководству ИТ. При необходимости будут назначены корректирующие меры.
• События, связанные с безопасностью, включают, но не ограничиваются ими:
  • Атаки с использованием сканирования портов
  • Доказательства несанкционированного доступа к привилегированным учетным записям
  • Аномальные явления, не связанные с конкретными приложениями на хосте

Статус последнего обновления:

Обновлено в январе 2015 года

Соответствующие политики и процедуры

• 4204 Использование технологий
• 4204 Допустимое использование
• 4204 Аудит
• 4204 Чистый стол
• 4204 План аварийного восстановления
• 4204 Электронная почта
• 4204 Обучение сотрудников мерам безопасности
• 4204 Шифрование
• 4204 Пароль
• 4204 Удаленный доступ
• 4204 Безопасность маршрутизаторов и коммутаторов
• 4204 Безопасность чувствительных рабочих станций
• 4204 План действий по обеспечению безопасности
• 4204 Безопасность сервера
• 4204 Установка программного обеспечения
• 4204 Безопасность веб-сервисов
• 4204 Связь с беспроводными устройствами
• 4204 Беспроводная инфраструктура связи