"Человек - самое уязвимое место в системе безопасности.."

Положение о политике информационной безопасности предприятия

1.Цель и область применения политики безопасности
2.Требования и рекомендации
3. Защита оборудования

Цель и область применения политики безопасности

Для предприятия ее информация является важным ресурсом. Политика информационной безопасности определяет необходимые меры для защиты информации от случайного или намеренного получения ее, уничтожения и тд. Ответственность за соблюдение политики безопасности несет каждый работник предприятия. Целями политики безопасности есть:

  • Реализация непрерывного доступа к ресурсам компании для нормального выполнения сотрудниками своих обязанностей
  • Обеспечение конфиденциальности критичных информационных ресурсов
  • Защита целостности данных
  • Назначение степени ответственности и функций работников по реализации информационной безопасности на предприятии
  • Работы по ознакомлению пользователей в сфере рисков, которые связанные с инф. ресурсами предприятия

Должна проводится периодическая проверка сотрудников, на предмет соблюдения информационной политики безопасности. Правила политики распространяются на все ресурсы и информацию предприятия. Предприятию принадлежит права на собственность вычислительных ресурсов, деловой информации, лицензионное и созданное ПО, содержимое почты, разного рода документы.

Требования и рекомендации

В отношении всех информационных активов предприятия, должны быть соответствующие люди с ответственностью за использование тех или других активов.

Контроль доступа к информационным системам

Все свои обязанности должны быть исполнены только на компьютерах, разрешенных к эксплуатации на предприятии. Использование своих портативных устройств и запоминающих устройств можно только с согласованием службы информационной безопасности предприятия. Вся конфиденциальная информация должна хранится в шифрованном виде на жестких дисках, где реализовано ПО с шифрованием жесткого диска. Периодически должны пересматриваться права сотрудников к информационной системы. Для реализации санкционированного доступа к информационному ресурсу, вход в систему должен быть реализован с помощью уникального имени пользователи и пароля. Пароли должны удовлетворять Парольную политику. Также во время перерыва, или отсутствия сотрудника на своем рабочем месте, должна срабатывать функция экранной заставки, для блокирование рабочей машины.

Доступ третьих лиц к информационной системе предприятия

Каждый работник должен оповестить службу ИБ о том, что он предоставляет доступ третьим лицам к ресурсам информационной сети.

Удаленный доступ

Сотрудники, которые используют личные портативные устройства, могут попросить об удаленном доступе к информационной сети предприятия. Сотрудникам, которые работают за пределами предприятия и имеют удаленный доступ, запрещено копировать данные из корпоративной сети. Также таким сотрудникам нельзя иметь больше одного подключение к разным сетям, не принадлежащих предприятию. Компьютеры имеющий удаленный доступ должны содержать антивирусное программное обеспечение.

Доступ в сеть интернет

Такой доступ должен разрешаться только в производственных целях, а не для личного пользования. Далее показаны рекомендации:

  • Запрещается посещение веб-ресурса, который считается оскорбительным для общества или имеет данные сексуального характера, пропаганды и тд
  • Работники не должны использовать интернет для хранение данных предприятия
  • Сотрудники, которые имеют учетные записи предоставленные публичными провайдерами, запрещено использовать на оборудовании предприятия
  • Все файлы из интернета должны проверяться на вирусы
  • Запрещен доступ в интернет для всех лиц, которые не являются сотрудниками

Защита оборудования

Работники также должны помнить о реализации физической защиты оборудование, на котором хранится или обрабатываются данные предприятия. Запрещено вручную настраивать аппаратное и программное обеспечение, для этого есть специалисты службы ИБ.

Аппаратное обеспечение

Пользователи, которые работают с конфиденциальной информацией, должны иметь отдельное помещение, для физического ограничения доступа к ним и их рабочего места.

Каждый сотрудник, получив оборудование от предприятия на временное пользование (командировка), должен смотреть за ним, и не оставлять без присмотра. В случаи потери или других экстренных ситуаций, данные на компьютере должны быть заранее зашифрованы.

Форматирование данных перед записью, или уничтожением носителя не является 100% гарантией чистоты устройства. Также порты передачи данных на стационарных компьютерах должны быть заблокированы, кроме тех случаев когда у сотрудника есть разрешение на копирование данных.

Программное обеспечение

Все программное обеспечение, которое установленное на компьютерах предприятия является собственностью предприятия и должно использовать в служебных задачах. Запрещено устанавливать сотрудникам лично другое ПО, не согласовав это с службой ИБ. На всех стационарных компьютерах должен быть минимальный набор ПО:

  • межсетевой экран
  • Антивирусное ПО
  • ПО шифрование жестких дисков
  • ПО шифрование почтовых сообщений

Работники компании не должны:

  • блокировать или устанавливать другое антивирусное ПО
  • менять настройки защиты

Рекомендуемые ограничения использования электронной почты

Электронные сообщения (даже удаленные) могут использоваться гос. органами или конкурентами по бизнесу в суде в качестве доказательств. Поэтому содержание сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.

Работникам нельзя передавать с помощью почты конфиденциальную информацию предприятия без реализация шифрования. Также работникам нельзя использовать публичные почтовые ящики. При документообороте должны использоваться только корпоративные почтовые ящики. Ниже описаны неразрешимые действия при реализации электронной почты:

  • групповая рассылка всем пользователям предприятия
  • рассылка сообщений личного характера, используя ресурсы электронной почты предприятия
  • подписка на рассылки ящик предприятия
  • пересылка материалов не касающихся работы

Сообщение об инцидентах, реагирование и отчетность

Все сотрудники должны оповещать о любом подозрении на уязвимости в системе защиты. Также нельзя разглашать известные сотруднику слабые стороны системы защиты. Если есть подозрения на наличие вирусов или других деструктивных действиях на компьютере, работник должен:

  • проинформировать сотрудников службы ИБ
  • не включать зараженный компьютер и не использовать его
  • Не подсоединять компьютер к информационной сети предприятия

Помещения с техническими методами защиты

Все конфиденциальные собрания/заседания должны проводиться только в специальных помещениях. Участникам запрещено проносить в помещения записывающие устройства (Аудио/видео) и мобильными телефонами, без согласия службы ИБ. Аудио/видео запись может вести сотрудник, с разрешением от службы ИБ.