opq
Ministerie van Verkeer en Waterstaat
Rijkswaterstaat
Remote Toegang Policy VICnet/SPITS 16 Februari 2005
Eindverantwoordelijkheid Naam Datum Paraaf
Goedgekeurd Security Manager SPITS E.A. van Buuren
Geaccepteerd Manager SPITS
Ministerie van Verkeer en Waterstaat
opq Rijkswaterstaat
Remote Toegang Policy VICnet/SPITS
16 Februari 2005
........................................................................................
Colofon Uitgegeven door: SPITS
Informatie: Telefoon: Fax:
servicedesk SPITS 0800-0230339
Uitgevoerd door:
Security manager SPITS
Opmaak:
Datum:
16-02-05
Status:
definitief
Versienummer:
1.1
3
Remote Toegang Policy VICnet/SPITS
Inhoudsopgave ........................................................................................
1.
Inleiding
5
2.
Doel
5
3.
Scope
5
4.
Policy
6
4.1
Verplicht
4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5.
4.2
6 6 6 6 7
Gewenst
4.2.1.
4.3
6
Toegang Verlies en diefstal Wijzigingen Apparatuur Documentatie
7
Logging
7
Optie
4.3.1.
7
Encryptie
7
5.
Revisie historie
6.
BIJLAGE A: Protocol
7.
Bijlage B: Lijst met systemen + protocollen
4
Remote Toegang Policy VICnet/SPITS
7
van overdracht
8 9
1. Inleiding Remote Toegang maakt het mogelijk om tijd- en plaatsonafhankelijk een verbinding te maken met een host binnen het VICnet. Dankzij op elkaar afgestemde componenten is het mogelijk om op een beveiligde manier toegang te krijgen tot informatie binnen het VICnet. Hierdoor wordt het bijvoorbeeld mogelijk gemaakt dat werkzaamheden van afstand uitgevoerd kunnen worden.
2. Doel Het doel van deze policy is standaarden te definiëren voor verbindingen naar het VICnet vanaf elke willekeurige andere host. De reden hiervoor is om de mogelijke schade, die kan ontstaan bij ongeautoriseerd gebruik van deze verbindingen, tot een minimum te beperken. Bij schade kun je denken aan het verlies van vertrouwelijke informatie en schade aan interne systemen.
3. Scope De scope van deze policy behelst alle werknemers, klanten, leveranciers en gebruikers die, om toegang tot het VICnet te verkrijgen, gebruikmaken van de Secure (Remote) VICnet Access-dienst. Deze policy behelst alle S(R)VA-verbindingen die gebruikt worden om namens of voor RWS werkzaamheden te verrichten binnen het VICnet/SPITS netwerk. S(R)VA wordt gebruikt voor toegang tot MoniCa en wordt gebruikt door de regio's en de AVV. SRVA wordt gebruikt voor uitwisseling van verkeersgegevens naar en van MoniCa en andere systemen. Deze policy is onderdeel van de Security policies VICnet/SPITS en is altijd verbonden met het gelijknamige policyoverzicht document en daarin opgenomen algemene beginselen.
5
Remote Toegang Policy VICnet/SPITS
4. Policy 4.1 Verplicht 4.1.1. Toegang • Het is verplicht om bij het initiëren van een remote toegang gebruik te maken van authenticatie. Er dient minimaal gebruik te worden gemaakt van een wachtwoord die aan de voorwaarden voldoet zoals besproken in de Wachtwoordpolicy (1-faktor authenticatie). • Remote toegang die via S(R)VA plaatsvindt en gebruikmaakt van 2–faktor authenticatie (token) is strikt persoonlijk. • De aanmeldprocedure voor de remote toegang naar het VICnet dient versleuteld te zijn. • Remote toegang mag alleen verleend worden voor een verbinding naar een specifieke bestemming. Er mag dus nooit toegang en rechten verleend worden voor het complete VICnet. Een uitzondering hierop vormen de cosignanten van SPITS die wel toegang verleend wordt. • Het doorhoppen vanaf een systeem waar men wel (beperkte) rechten heeft naar andere systemen waarvoor niet expliciet rechten zijn toegekend, is niet toegestaan.
4.1.2. Verlies en diefstal • Elke vorm van diefstal/verlies van component(en) die gebruikt worden voor de remote toegang dient direct te worden gemeld bij de SPITS servicedesk. • Er mag alleen gebruik worden gemaakt van standaarddiensten die aangeboden worden volgens de dienstencatalogus om de remote toegang tot stand te brengen.
4.1.3. Wijzigingen • Het is niet toegestaan om de configuratie van de remote toegang te wijzigen. • Het is verboden om de login-procedure van de remote toegang te automatiseren. Gebruikersnaam en wachtwoord dienen voor elke sessie opnieuw ingetikt te worden. • Als een inbelverbinding 6 maanden niet gebruikt is, wordt deze account disabled. Wanneer deze heropend moet worden, dient er een nieuwe account aangemaakt te worden.
4.1.4. Apparatuur • Routers die gebruikt worden voor remote toegangsverbindingen moeten aan de authenticatie voorwaarden voldoen zoals weergegeven in de Policy voor Netwerkcomponenten. • Computers en werkstations die gebruikt worden voor remote toegang dienen voorzien te zijn van een up-to-date antivirusscanner en dienen de meest recente security-patches geïmplementeerd te hebben.
6
Remote Toegang Policy VICnet/SPITS
• Het gebruik van software die het authenticatie proces omzeilen, is verboden.
4.1.5. Documentatie • Elke afzonderlijke remote toegangsverbinding dient gedetailleerd gedocumenteerd te worden. Gebruikersnaam/wachtwoord dient versleuteld opgeslagen te worden. • Namen en achternamen van de personen die gebruikmaken van de remote toegang dienen bij de beheerder(s) bekend te zijn. • Derden die gebruik willen maken van interne bronnen binnen het VICnet via een remote toegang dienen akkoord te gaan met de voorwaarden van VICnet. Deze voorwaarden staan beschreven in een verklaring opgesteld door VICnet. Deze dient ondertekend te worden door personen die bij derden de verantwoordelijkheid hebben over de remote toegang. Deze verklaring is als bijlage toegevoegd.
4.2 Gewenst 4.2.1. Logging Logging op de remote toegang componenten staat aan, zodat een remote access sessie later getraceerd kan worden.
4.3 Optie 4.3.1. Encryptie De datastroom van de remote toegang dient versleuteld te zijn.
5. Revisie historie Versie 1.0 1.1
7
Datum 10-12-2004 16-02-2005
Remote Toegang Policy VICnet/SPITS
Auteur E van Buuren
Toelichting
6. BIJLAGE A: Protocol van overdracht ……………………………………………………………… Eigenaar dienst
Gebruiker dienst
Adviesdienst Geo-informatie en ICT SPITS Derde Werelddreef 1 2600 GA DELFT
«Naam» «Bedrijf» «Straat» «Postcode» «Plaats»
Datum :
Onderwerp
Bijlage(n)
SRVA dienst
A
• «Bedrijf» verklaart dat zij in generlei wijze misbruik zal maken van de mogelijkheden op het VICnet en de daarop aangesloten apparatuur, applicaties en data, die haar geboden worden via de SRVA dienst, en hiervoor alle maatregelen zal nemen die nodig zijn; • «Bedrijf» zal geboden diensten uitsluitend gebruiken voor de daartoe geautoriseerde werkzaamheden en toepassingen zoals nodig zijn voor het uitvoeren van opdrachten en vervullen van verplichtingen jegens RWS. Geboden diensten zijn gespecificeerd in bijlage A; • «Bedrijf» verklaart tevens door de betreffende applicatie eigenaar c.q. -beheerder, geautoriseerd te zijn voor toegang via een inbeldienst; • «Bedrijf» zal onverwijld op verzoek van SPITS de Cryptocard en eventuele andere VICnet eigendommen terstond retourneren aan SPITS. Dit in geval van beëindiging c.q. opzegging van de SRVA dienst; • «Bedrijf» verzekert SPITS, dat locaties van waaruit wordt ingebeld “veilig”zijn, d.w.z. niet toegankelijk voor onbevoegden; • De Cryptocard is toegekend aan een vooraf gedefinieerde gebruiker en mag niet worden overgedragen aan anderen (ook niet aan een collega); • «Bedrijf» zal alle problemen t.a.v. de beschikbaarheid van de SRVA dienst tijdens de openingstijden (momenteel 08:00 uur - 18:00 uur) melden aan de SPITS Service Desk (0800-0230339); • SPITS behoudt zich ten alle tijde het recht voor om zonder opgaaf van redenen aan «Bedrijf», de geboden SRVA dienst te blokkeren c.q. op te heffen. • «Bedrijf» zal informatiebeveiligingsincidenten zoals diefstal, mogelijk onbevoegd gebruik, etc. direct melden bij de SPITS Service Desk (0800-0230339). • «Bedrijf» zal de apparatuur welke gebruik maakt van de SRVA dienst niet verbinden of verbonden laten zijn met andere netwerken dan het VICnet. • «Bedrijf» zal ervoor zorg dragen dat de apparatuur welke gebruik maakt van de SRVA dienst voorzien is van de laatste securitypatches en meest recente virusscanner en geen virussen, wormen of andere vormen van malware bevat. Voor akkoord, Voor akkoord, Datum : Plaats :
Datum : Plaats :
«Bedrijf», «Naam»
SPITS, R.J. Peek
8
Remote Toegang Policy VICnet/SPITS
7. Bijlage B: Lijst met systemen + protocollen
………………………………………………………… In deze bijlage worden de systemen en toegestane protocollen benoemd, waar «Bedrijf» binnen VICnet toegang heeft: De voorwaarden voor deze toegang zijn beschreven in het Protocol van Overdracht. RWS REGIO
SYSTEEM
9
SWITCH POORT
IP ADRES
Remote Toegang Policy VICnet/SPITS
TCP POORT