Этот документ описывает допустимое использование аналоговый/ISDN линий компании <Компания> и устанавливает соответствующие политики и процедуры. Эта политика регламентирует два различных способа использования аналоговый/ISDN линий: линии которые подключены для использования с единственной целью приема и передачи факсов и линии подключенные к компьютерам.
2.0 Область применения
Эта политика охватывает только те линии, которые подключены к розеткам внутри зданий и технических площадок компании <Компания>. Она не распространяется на линии подключенные в домах сотрудников, к настольным телефонам и на линии используемые в экстренных ситуациях и не корпоративных информационных целях.
3.0 Политика3.1 Сценарии и вред бизнесу
Существует два наиболее распространенных сценария использования аналоговых/ISDN линий в злонамеренных целях, которым противодействует данная политики. В первом сценарии внешний атакующий перебирает телефонные номера с целью найти линии подключенные через модем к компьютеру. Если отвечающий модем (наиболее распространенной настройкой сегодня является авто-ответ) находится внутри периметра компании <Компания>, то становится возможным незаметно проникнуть через него во внутреннюю сеть компании. Кроме компрометации информации расположенной на компьютере, также может быть потеряна критичная информация компании.
Второй сценарий предполагает то, что человек имеющий доступ на территорию компании <Компания> может использовать оборудованный модемом ноутбук или стационарный компьютер. В этом случае, нарушитель может подключиться к доверенной части сети компании <Компания> через интерфейс локальной сети, затем сделать звонок на неконтролируемый ресурс с помощью аналоговой/ISDN линии и передать информацию компании <Компания> в неизвестном направлении.
Результатом осуществления любого из сценариев может является потеря критичной информации, что влечет за собой значительные убытки.
Следующие специальные процедуры направлены на снижение рисков связанных с приведенными сценариями.
3.2 Факсимильное оборудование
Как правило, следующие правила относятся к запросам связанным с факсами и аналоговыми линиями:
Факсы разрешены только для ведомственного использования
Факсы не устанавливаются для личного использования
Аналоговые/ISDN линии не размещаются в личных кабинетах
Факсовое оборудование должно быть размещено в административном помещении выделенном для ведомственного использования, отдельно от другого компьютерного оборудования.
Компьютеры которые могут быть использованы как факс не разрешается использовать на аналоговых/ISDN линиях в этих целях.
Исключение из перечисленных правил на может быть сделано в целях удовлетворения деловой необходимости и отдельно рассматриваются для каждого конкретного случая с учетом состояния безопасности.
Использование аналоговых/ISDN факсовых линий должно полностью удовлетворять требованиям приведенным ниже. За соблюдение этих требований пользователи допущенные к использованию аналоговых/ISDN факсовых линий отвечают постоянно:
Факсовая линия используется исключительно в запрошенных целях
Доступ к линии имеют только разрешенные пользователи.
Когда не используется, линия физически отключается от компьютера.
Когда осуществляется передача факса компьютер физически отключается от внутренней сети компании <Компания>.
Линия используется исключительно в интересах <Компания> и не используется в частных целях.
Все полученные материалы, перед их введением в системы и сети компании <Компания>, должны быть проверены с помощью разрешенных антивирусов которые содержат актуальные вирусные базы.
3.3 Соединение компьютера с аналоговой линией
Общая практик состоит в том, что запросы на подключение компьютеров или других интеллектуальных устройств к аналоговым/ISDN линиям внутри компании <Компания> не удовлетворяются (запрещаются) по причинам безопасности. Аналоговые/ISDN линии представляют значительную угрозу компании <Компания> поскольку хакеры могут использовать их для осуществления своих атак.
Исключение из правил дается на индивидуальной основе. Запрос на замену линии, например по причине перемещения сотрудника, рассматривается как новый.
3.4 Запрос аналоговой или ISDN линии
После утверждения начальством, для каждого запроса должны быть предоставлена следующая информация:
Открытые (не конфиденциальные) подробности бизнес-задачи объясняющие почему другие защищенные соединения доступные в компании <Компания> не могут использоваться.
Бизнес-цели в которых эта линия будет использоваться.
Программы и оборудование с помощью которого будет осуществляться работа на этой линии.
Какие разрешены входящие соединения
Описание бизнес-задачи как минимум должно отвечать на следующие вопросы:
Какие бизнес задачи требуют данную линию
Почему компьютеры <Компания> подключенные к Интернет не могут решить туже задачу, что и выделенная линия?
Почему существующий модемный пул компании не может решить туже задачу, что и выделенная линия?
Дополнительно, запрашивающий сотрудник должен быть готов ответить на сопутствующие вопросы:
Будет ли компьютер использующий линию отключаться от внутренней сети <Компания>?
Где линия будет размещаться? В лаборатории или кабинете?
Нужен-ли входящий доступ в компанию <Компания> по этой линии?
Как много линий необходимо и как много людей будут их использовать?
Как часто линия будет использоваться?
Как скоро линию можно будет вывести из работы?
Линия должна быть выведена из работы как только в ней отпадет необходимость.
Какие способы пользователи предполагают использовать для защиты от неавторизорванного использования?
Эта линия перемещается из старой локации? Какие были цели создания исходной линии?
Какие протоколы будут использоваться на линии?
Будут-ли использоваться авторизованные компанией <Компания> антивирусы на машине использующей линию?
Запрашивающий сотрудник должен использовать для получения аналоговой/ISDN линии установленную форму запроса.
4.0 Наказание
Любой сотрудник компании уличенный в нарушении настоящей политики может быть подвергнуть дисциплинарному взысканию вплоть до увольнения.
