Другие ИТ Специфичные Политики

 

Ограждающие сервисы: Демилитаризованная Зона

Цель этой политики состоит в определении стандартов, которым должно соответствовать все ИТ оборудование, находящееся вне корпоративных Интернет брандмауэров компании. Устройства, которые выходят на Интернет и расположены вне брандмауэра Подразделения АрселорМиттал, считаются частью "демилитаризованной зоны" (DMZ) и являются предметом данной политики.

Ограждающие сервисы: Брандмауэры

Эта политика охватывает стандарты конфигурации и управления для брандмауэров. Брандмауэры определяются как системы безопасности, которые контролируют и ограничивают неавторизованный доступ к услугам Интернет. Брандмауэры устанавливают периметр, по которому действуют контроли доступа, и определяют, какие системы могут обмениваться информацией.

Ограждающие сервисы: Прокси

Прокси уменьшают время ожидания сетевого трафика и служат в качестве инструмента для управления и контроля использования Интернет. Эта политика предназначена для установки стандартов конфигурации прокси серверов и создания минимального уровня контроля для управления доступом к Интернет.

Ограждающие сервисы: Роутеры

Роутеры предоставляют услуги, существенные для правильной и безопасной работы тех сетей, которые они обслуживают. Непонимание важности роутера может привести к различным проблемам в отношении безопасности обслуживаемых этим роутером сетей или даже других сетей, с которыми связан роутер. Правильно сконфигурированные в отношении безопасности роутеры могут значительно улучшить общую безопасность сети. Эта политика устанавливает стандарты безопасности, которым должны соответствовать роутеры и коммутаторы во избежание различных проблем в отношении безопасности обслуживаемых этим роутером сетей или даже других сетей, с которыми связан роутер.

Ограждающие сервисы: Фильтрация URL

Эта политика регулирует URL Фильтрацию для доступа к Интернет, предохраняя работников от неправильного использования ИТ ресурсов (т.е. пропускной способности Интернет, сетевых ресурсов) и предотвращая неэтичное использование, которое может каким-либо образом скомпрометировать компанию.

Управление Сервисами Идентификации и Доступа: Пароли

Эта политика устанавливает стандарты контроля для уникальной идентификации и паролей пользователей. Уникальная идентификация пользователя вместе с аутентификацией паролем используется для обеспечения базового уровня безопасности с целью защиты ИТ ресурсов.

Управление Сервисами Идентификации и Доступа: Службы Актив Директории

Эта политика устанавливает стандарты минимума контролей для регулирования управления и функционирования Актив Директории Windows. Она применяется для контроллеров доменов, на которых будет развернута Актив Директория для поддержки и управления пользователями и компьютерами в домене Windows.

Управление Сервисами Инфраструктуры: Управление Сетевой Безопасностью

Эта политика описывает передовую практику управления безопасностью сетевой инфраструктуры. Она применяется к инсталляции и управлению Информационными Ресурсами (управлению), таким как распределение программного обеспечения, управление рабочим столом, управление файлами изменений.

Управление Сервисами Инфраструктуры: Управление жизненным циклом ИТ Инфраструктуры

ИТ Инфраструктура является ценным активом компании, который должен эффективно управляться на протяжении всего жизненного цикла, чтобы обеспечить компании низкую общую стоимость владения для этих активов.

Управление Сервисами Инфраструктуры: Администрирование Домена

Целью этой политики является предотвращение случайного нанесения ущерба инфраструктуре Актив Директории АрселорМиттал. Это делается путем определения требований и ролей в отношении проверки полномочий и уровня квалификации для Администраторов доменов, а также установки стандартов контроля для Всех доменов Актив Директории Windows.

Управление Сервисами Инфраструктуры: Управление Конфигурацией Windows

Эта политика предоставляет информацию и принципы, необходимые для установки принципов эффективного управления конфигурацией Windows с целью снижения затрат Общей Стоимости Владения. Рамки политики включают руководящие указания по распределению программного обеспечения и удаленной поддержке. Включены следующие справочные политики:

- Reference / Baseline Windows

- Справочная / Базовая Конфигурация Windows.

Сервисы Секретности и Сохранности: Шифрование в VPN

Эта политика предоставляет руководящие указания для использования шифрования в Виртуальных Частных Сетях по алгоритмам, получившим реальный общественный отзыв и доказавшим эффективную работу, для обеспечения того, чтобы Бизнес Подразделения использовали подобные технологии шифрования, совместно использовали знания и информацию.

Сервисы Секретности и Сохранности: Шифрование / PKI

Одним из наиболее важных структурных элементов безопасности в электронной коммерции является криптография, теоретическая основа для шифрования. Эта политика особенно направлена на небольшую группу конечных точек и на управление процессами контроля шифрованием по секретному ключу (симметричному).

Сервисы Секретности и Сохранности: Цифровые Подписи

Целью этой политики является предоставление руководящих указаний для гарантирования того, что для обеспечения защиты данных используются сервисы Цифровой Подписи, и для уверенности в том, что неавторизованные изменения данных можно обнаружить и что идентичность подписи можно удостоверить.

Сервисы Секретности и Сохранности: Управление Сертификатами

Ответственный за сертификаты (CA) является ответственным в сети, который выдает и управляет безопасностью мандатов и публичных ключей для шифрования сообщений. Цель данной политики состоит в предоставлении руководящих указаний для обеспечения того, чтобы дать защиту данных Бизнес подразделениям, работникам и прикладным программам.

Сервисы Обнаружения и Ответных Действий: Антивирус

Службы Информационных Технологий должны развернуть адекватные средства для выполнения сканирования в режиме реального времени сетевого трафика из Интернет. Эта политика регулирует сканирование на вирус в режиме реального времени сетевого трафика из Интернет во все Демилитаризованные Зоны компании.

Сервисы Обнаружения и Ответных Действий: Обнаружение Вторжений

Эта политика защищает компанию от рисков, свойственных несоответствующему доступу к сетям и системам, посредством регулирования использования Систем Обнаружения Вторжений (IDS). Системы IDS, используемые в АрселорМиттал, должны в реальном режиме времени отреагировать на попытку вторжения и сообщить об этом соответствующим сотрудникам АрселорМиттал.

Сервисы Обнаружения и Ответных Действий: Сканирование Серверов на Уязвимости

Цель этой политики состоит в регулировании и обеспечении того, что используются сервисы анализа Уязвимостей для обнаружения слабых звеньев в системах и сетях посредством использования специализированного программного и/или аппаратного обеспечения. Это программное обеспечение может определять потенциальные уязвимости во внутренней сети и слабые звенья в имеющихся контролях для предотвращения и/или обнаружения использования их хакером / работником со злыми намерениями / подрядчиком, который может получить несанкционированный доступ к информационным ресурсам, вызвать повреждение системы или перебои работы системы в сети.

 

 

Сервисы Обнаружения и Ответных Действий: Сканирование Конфигурации и Целостности Серверов

Данная политика предназначена для предоставления руководящих указаний по обеспечению того, что изменения в конфигурации и файлах не проходят незамеченными и не подвергают риску безопасность наших данных и безопасность серверов. Немедленно обнаруживая отклонения от установленной базовой конфигурации, это программное обеспечение может инициировать быстрое восстановление и позволяет избежать необходимости перестройки серверов или восстановления данных. Таким образом, это программное обеспечение создает основу для безопасности данных и обеспечивает безопасное, продуктивное и стабильное ИТ окружение.

Политики Офисного Окружения / Электронная Почта

Эта политика устанавливает стандарты контроля для регулирования использования электронной почты, касающиеся распределения учетных записей электронной почты, соответствующего использования, прав компании на доступ к электронным письмам и положений о соответствии законодательству. Даются четкие руководящие указания в помощь работникам и менеджерам для достижения вышеуказанных целей.

Политики Офисного Окружения / Стандарты Именования Коллективной Архитектуры

Эта политика регулирует соглашения по именованию, необходимые для поддержки Коллективной Архитектуры в терминах стандартизации для архитектур межсетевых экранов и VPN, Доменов Актив Директории и междоменных связей, соглашений по именованию и конфигурациям для компонентов.

Политики Офисного Окружения / Удаленный Доступ

Авторизованным пользователям из АрселорМиттал может потребоваться удаленный доступ к сети АрселорМиттал. Такой доступ имеет включенные риски безопасности, связанные с применяемой технологией, которая может регулироваться. Эта политика устанавливает стандарты контроля для управления рисками безопасности, связанными с использованием Удаленного Доступа.

Политики Офисного Окружения / Контроль Модемов

Модемы, которые используются для доступа к внешним сервисам или для предоставленного доступа к внутренним сервисам, представляют собой риск для информационной и сетевой безопасности. Кто-либо, имеющий доступ к модему, имеет возможность подвергнуть риску сетевую и информационную безопасность. Эта политика устанавливает стандарты для предотвращения несанкционированного доступа к сети через модемы, подсоединенные к компьютерам, включенным в сеть.

 

 

Политики для Индивидуальных Пользователей / Авторские Права

АрселорМиттал уважает авторские права производителей программного обеспечения в отношении программного обеспечения, используемого в компании. Она признает обязательства перед законом в отношении держателей авторских прав и соблюдает лицензионные соглашения по используемому программному обеспечению. Эта политика устанавливает стандарты для эффективного контроля соблюдения авторских прав путем признания обязательств перед законом в отношении держателей авторских прав и соблюдения лицензионных соглашений по используемому программному обеспечению.

Политики для Индивидуальных Пользователей / Использование Интернет

АрселорМиттал относится с уважением к честности и порядочности своих работников и ожидает от них проявления осмотрительности в отношении использования Интернет. Доступ к Интернет на рабочих местах АрселорМиттал обеспечивается компанией и должен использоваться преимущественно в целях поддержки и развития бизнеса компании. Назначением данной Интернет политики является обеспечение инструкциями для управления использованием Интернет в компании для достижения указанных целей.

Политики для Индивидуальных Пользователей / Использование ИТ Ресурсов

Эта политика охватывает принципы по распределению и санкционированию использования ИТ Ресурсов, соответствию этическим и правовым принципам, защите ИТ Ресурсов, а также последствия нарушения следования политикам ИТ Безопасности.

Политики для Индивидуальных Пользователей / Обработка Конечными Пользователями Финансовых и Критичных для Бизнеса Данных

Эта политика подготовлена специально для согласования с требованиями SOx. Она имеет целью предотвратить обработку финансовых и критичных для бизнеса данных в информационных системах, которые соответствующим образом не контролируются, для обеспечения конфиденциальности, целостности и доступности данных. Обработка финансовых и критичных для бизнеса данных должна выполняться в должным образом разработанных, протестированных и поддерживаемых информационных системах.

Процедура Переносов SAP

Перенос SAP в продуктивные системы должен быть ограничен до минимума, обеспечивающего стабильное продуктивное окружение, и переносимое перед переносом в продуктив должно тщательно тестироваться. Эта процедура описывает процедуру переноса в ландшафте SAP R/3.

SAP ABAP

Эта политика обращается к любой разработке, предпринимаемой программистами ABAP в любом клиенте SAP R/3 в SAP R/3, чтобы обеспечить ограничение ABAP разработки до минимума и чтобы, насколько это возможно, использовалась стандартная функциональность SAP.

Загрузка Пакетов Поддержки SAP

Эта политика определяет общую схему для загрузки пакетов поддержки SAP, чтобы поддерживать ее с помощью самых последних пакетов поддержки в актуальном состоянии для обеспечения стабильного и эффективного окружения SAP и обхода известных проблем.

Минимальные Операционные Стандарты для Авторизации в SAP

Эта политика определяет правила и инструкции по поддержке авторизации в SAP для всех пользователей SAP и типов пользователей SAP по ландшафту SAP во всех клиентах.

Минимальный Операционный Стандарт для Экземпляров Ландшафта

Эта политика определяет минимальные требования к оборудованию, программному обеспечению и дизайну для одного ландшафта SAP R/3. Должен быть развернут по меньшей мере трехуровневый ландшафт, состоящий из окружений разработки, тестирования / обеспечения качества и продуктива.

Минимальные Операционные Стандарты для Глобальной Поддержки SAP

Так как использование SAP в домене ERP является глобальной стратегией компаний в АрселорМиттал, и потому что разные члены группы уже внедрили SAP, необходимо определить стандарты для глобальной поддержки SAP между различными членами компаний АрселорМиттал. Эта политика предназначена для предоставления руководящих указаний по обеспечению или приобретению услуг (глобальной) поддержки SAP.

Минимальные Операционные Стандарты для Копий Клиентов

Политика для копий клиентов между экземплярами в ландшафте SAP R/3, которые время от времени необходимы для обеспечения выравнивания между экземплярами и получения доступности должного тестирования данных. Эта политика устанавливает стандарты по необходимым условиям, частоте и дневным временным рамкам для этих копий.

 

 

12. Новые / Дополнительные Политики, Необходимые для Sox

 

Безопасное Хранение Специальных Форм и Устройств Вывода

Целью данной политики является регулирование обращения и защита специальных форм и важных устройств вывода. Для защиты от неправильного использования специальных форм и устройств вывода менеджмент должен установить физические средства защиты, принимая во внимание должный учет ИТ ресурсов, форм или объектов, требующих дополнительного управления защитой и инвентаризацией.

Разработка Систем

Эффективный процесс разработки систем должен создавать хорошо контролируемое и стабильное ИТ окружение. АрселорМиттал должна использовать концептуальные модели Разработки Систем для описания стадий проекта по разработке информационных систем, от начального изучения возможностей реализации до сопровождения законченного приложения. Эта политика не предписывает какие именно методологии необходимо использовать, но обусловливает минимальные требования для исходной методологии.

Оценка и Одобрение Нового Аппаратного и Программного Обеспечения

Эта политика описывает соответствующие процессы, направленные на обеспечение того, чтобы новое аппаратное и программное обеспечение вводилось в ландшафт в организованном порядке. Для упрощения интеграции, обеспечения общих навыков по подразделениям и уменьшения стоимости владения необходимо избегать количественного роста технологий.

Тестирование Прикладного Программного Обеспечения

Эта политика предназначена для установления эффективного процесса Тестирования Прикладного Программного Обеспечения, предусматривающего обязательное выполнение тестирования перед вводом изменений в продуктивное окружение для обеспечения хорошо контролируемого и стабильного ИТ окружения.

Базовая Конфигурация для не-Windows Систем

Эта политика устанавливает минимальные стандарты контроля, необходимые для инсталляции и конфигурирования операционных систем для не-Windows машин. Определение четких и строгих правил для инсталляции и конфигурирования операционных систем является основой для использования ресурсов ИТ систем. Включены ссылки на следующие политики:

- Reference Baseline Unix Справочная Базисная Конфигурация Unix

- Reference Baseline Open VMS Справочная Базисная Конфигурация.

Конверсия Данных

Эта политика определяет этапы, которым необходимо следовать для конверсии данных в тех случаях, когда должна вводиться новая система или когда должны внедряться изменения, требующие конверсии данных.

Определение Интерфейсов

Если системы, критичные для бизнеса, сообщаются между собой через так называемые интерфейсы, то эти интерфейсы должны быть должным образом определены и сопровождаться при возникновении изменений. Эта политика устанавливает минимальные стандарты для такой документации.

Обеспечение Целостности Данных

Эта политика определяет процедуры для обеспечения, где это применимо, того, чтобы прикладные программы содержали средства регулярной проверки задач, выполняемых этим программным обеспечением, для гарантирования целостности данных и обеспечения восстановления целостности данных.

Планирование Заданий и Журналы Операций

Эта политика определяет процедуры для обеспечения того, чтобы планируемые задания в продуктивном окружении были должным образом определены, документированы, запланированы и отслеживались на корректное завершение. А также, безопасное хранение журналов операций должно позволять выполнение аудита и устранение ошибок в заданиях.