Уменьшение поверхности атак. Все неиспользуемые сервисы должны быть отключены.

Файлы управления заданиями. Все внешние команды в заданиях должны использовать абсолютные пути, а не относительные.

Безопасность критичных системных файлов и файлов данных:

• все критичные системные файлы и критичные файлы приложений должны регулярно проверяться по базе сигнатур (владелец, разрешения, дата последнего изменения, MD5-cyммa);

• появление файлов дампов ядра должно быть немедленно обнаружено, и по этому поводу необходимо провести расследование;

• поиск, журналирование новых файлов и директорий, не представленных в базе данных, и создание отчетов о них должны быть автоматизированы и анализироваться администраторами;

Журналирование. Журналы активности приложений и системы должны храниться как минимум один месяц на локальных носителях информации и как минимум шесть месяцев на внешних.

Журналы для систем типа серверов аутентификации удаленных пользователей должны храниться на внешних носителях информации в течение одного года.

Синхронизация времени. Системы должны использовать как минимум два надежных источника времени.

Свойства монтирования файловой системы. Файловые системы, используемые для /bin, /sbin, /usr, и любые другие каталоги, которые считаются статическими, должны быть смонтированы в режиме «только для чтения».

Сервисы каталогов. Использование непроверенных сервисов типа внешних DNS-серверов запрещено, если это может оказать негативное влияние на системы или сервисы.

2.2. Подход компании Sun Microsystems

Как считают в Sun, политика безопасности является необходимой для эффективной организации режима информационной безопасности компании. Здесь под политикой безопасности понимается стратегический документ, в котором ожидания и требования руководства компании к организации режима информационной безопасности выражаются в определенных измеримых и контролируемых целях и задачах. При этом Sun рекомендует реализовать подход «сверху-вниз», то есть сначала разработать политику безопасности, а затем приступать к построению соответствующей архитектуры корпоративной системы защиты информации. В противном случае политика безопасности будет создана сотрудниками службы автоматизации произвольно. При этом архитектура корпоративной системы защиты информации будет разрозненной, затратной и далеко не оптимальной.

Определение ролей и обязанностей. К разработке политики безопасности рекомендуется привлечь сотрудников таких подразделений компании, как:

• управление бизнесом,

• техническое управление,

• отдел защиты информации,

• департамент управления рисками,

• департамент системных операций,

• департамент разработки приложений,

• отдел сетевого администрирования,

• отдел системного администрирования,

• служба внутреннего аудита и качества,

• юридический отдел,

• отдел кадров.

2.2.1. Структура политики безопасности

Рекомендуемая структура документов политики безопасности:

• описание основных целей и задач защиты информации,

• определение отношения руководства компании к политике безопасности,

• обоснование путей реализации политики безопасности,

• определение ролей и обязанностей ответственных за организацию режима информационной безопасности в компании,

• определение требуемых правил и норм безопасности,

• определение ответственности за нарушение политики,