Главная » Разное

Основу политики безопасности составляет способ управления доступом

Содержание
  1. Виды политики безопасности
  2. Статьи к прочтению:
  3. Виды политики
  4. Похожие статьи:
  5. Политики управления правами доступа
  6. Какими бывают политики управления доступом к данным
  7. Принципы управления политикой доступа
  8. Комбинации правил
  9. ПОПРОБУЙТЕ «СЁРЧИНФОРМ FILEAUDITOR»!
  10. Политика информационной безопасности

Виды политики безопасности

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.

Для изучения свойств способа управления доступом создается его формальное описание – математическая модель. При этом модель должна отражать состояния всей системы, ее переходы из одного состояния в другое, а также учитывать, какие состояния и переходы можно считать безопасными в смысле данного управления. Без этого говорить о каких-либо свойствах системы, а тем более гарантировать их по меньшей мере некорректно.

В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная (мандатная), основанные соответственно на избирательном и полномочном способах управления доступом.

Избирательное управление доступом – метод управления доступом субъектов системы к объектам, основанный на идентификации и опознавании пользователя, процесса и/или группы, к которой он принадлежит. Мандатное управление доступом – концепция доступа субъектов к информационным ресурсам по грифу секретности разрешенной к пользованию информации, определяемому меткой секретности. Кроме того, существует набор требований, усиливающий действие этих политик и предназначенный для управления информационными потоками в системе.

Следует отметить, что средства защиты, предназначенные для реализации какого-либо из названных способа управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компетенцию администрации системы.

Избирательная политика безопасности

Основой избирательной политики безопасности является избирательное управление доступом, которое подразумевает, что:

 все субъекты и объекты системы должны быть идентифицированы;

 права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Такая модель получила название матричной.

Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как “доступ на чтение”, “доступ на запись”, “доступ на исполнение” и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.

Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанным в соответствующей ячейке матрицы доступа. Обычно избирательное управление доступом реализует принцип “что не разрешено, то запрещено”, предполагающий явное разрешение доступа субъекта к объекту. Матрица доступа – наиболее простой подход к моделированию систем доступа.

Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.

Статьи к прочтению:

Виды политики

Похожие статьи:

Система обеспечения безопасности СОБ представляет собой единую совокупность организационных (административных) мер, правовых и морально-этических норм,…

Основу полномочной политики безопасности составляет полномочное управление доступом, которое подразумевает, что:  все субъекты и объекты системы должны…

Источник

Политики управления правами доступа

Аудит и классификация данных
на базе системы

Г рамотное построение политики управления данными предусматривает не только их рациональное хранение и обработку, но и обеспечение эффективной информационной безопасности. Из-за того, что сегодня практически любая информация, которая применяется в работе компаний, используется в электронном виде, она становится более уязвимой к различным угрозам.

Внешние угрозы вынуждают организации обеспечивать грамотное управление доступом и защищать корпоративную информацию от различных способов хищения извне. Во избежание внутренних угроз компаниям следует обеспечить ограничение доступа к важной информации для своих же сотрудников.

На сегодня существует огромное разнообразие специального программного обеспечения, с помощью которого легко настраивать и управлять правами пользователей всех компьютеров, подключенных к общей сети, начиная от первичной авторизации и заканчивая управлением правами в прикладных приложениях. Система, с помощью которой осуществляется управление базой данных, используется для разграничения доступа к любым сведениям, и, к примеру, если одни пользователи могут только читать определенные файлы, другие смогут их добавлять, удалять или редактировать.

Какими бывают политики управления доступом к данным

Существует широчайшее разнообразие политик, которые могут использоваться для управления доступом к корпоративной информации.

Сегодня наиболее распространены следующие:

1. Избирательное управление доступом. В основе данной политики лежит применение матрицы доступа, в соответствии с которой по одному измерению назначаются субъекты доступа, а по другому устанавливается перечень объектов, к которым они могут получить доступ. На пересечении определенных столбцов и строк прописывается перечень прав, которые имеет субъект по отношению к тому или иному объекту. Регулировать их может собственник объекта или пользователь, имеющий соответствующие полномочия, то есть администратор БД или системный администратор.

2. Мандатное управление доступом. В основе этой техники лежит назначение грифов доступа различным объектам, а также выдача субъектам разрешений на то, чтобы отправлять запросы к информации с грифами, благодаря чему защищаемые сведения не могут использоваться посторонними лицами. Этот подход основывается на принципах традиционного делопроизводства, в котором документы отправлялись в специальные папки, отмеченные как «Секретно», «Для служебного пользования» и подобным образом.

3. Ролевое управление доступом. Данная политика предусматривает модернизированную версию избирательной. Предусматривает группировку прав доступа нескольких субъектов, за счет чего появляются своеобразные роли, то есть определенная совокупность прав доступа. Благодаря этому значительно упрощается процедура назначения прав, выдаваемых сразу большому количеству пользователей, а также возможность их удобной корректировки по необходимости. Благодаря этому уполномоченные сотрудники компании могут в любой момент усовершенствовать текущую политику информационной безопасности компании.

На практике в большинстве современных организаций используется комбинация из перечисленных политик управления доступом.

Принципы управления политикой доступа

Настраивая права доступа, нужно отталкиваться от используемого принципа разграничения этих прав. Если права доступа будут настроены некорректно, в дальнейшем можно столкнуться с проблемами при попытке использования функционала программы.

Стандартные принципы разграничения выглядят следующим образом:

1. «Разрешить все». Пользователи могут управлять файлами в папке или директории как угодно вне зависимости от политики доступа. Все пользователи, подключенные к сети, могут без каких-либо ограничений пользоваться документами. Также им не требуется предварительная проверка для получения доступа.

Читайте также:  Виртуальность как способ изучения реального мира

2. «Запретить все». Запрещается выполнять какие-либо манипуляции в независимости от того, какая используется политика доступа. Устанавливая такое правило, администратор запрещает всем пользователям запускать функционал программы, работать в системе, и в дальнейшем выполнять любые манипуляции с ней сможет только он сам.

3. «Запретить, если не разрешено». Пользователь не может выполнять любые манипуляции, если на них предварительно ему не было выдано соответствующее разрешение.

4. «Разрешить, если не запрещено». Пользователь может выполнять любые манипуляции с данными, если на них не было установлено конкретных ограничений.

В первых двух случаях система даже не будет пытаться вычислять политику, так как вне зависимости от ее типа будет использоваться определенное разграничение прав, предусматривающие наложение запрета на всех или же, наоборот, выдачу разрешения на проведение любых манипуляций.

Два последних принципа предусматривают первоначальный отбор политик, которые могут применяться в указанном контексте. После чего проводятся вычисления и комбинируются ответы для того чтобы вынести окончательное решение касательно возможности реализации запроса пользователя в соответствии с политикой разграничения. Под вычислением политики в данном случае предусматривается вычисление всех ее комбинаций и правил, отталкиваясь от установленного алгоритма комбинации.

В результате вычисления тех или иных правил в итоге может быть вынесено одно из четырех решений:

  • разрешение;
  • запрет;
  • не определено (не относится ни к одному из вышеперечисленных);
  • неприменимо (не относится ни к одному из вышеперечисленных).

Комбинации правил

Для того чтобы упростить работу системы и дальнейшее управление ее работой, можно использовать специальные алгоритмы для построения комбинации правил.

Они могут быть следующими:

1. «Запретить, если все запретили». Использование этой политики предусматривает наложение запрета на реализацию запроса пользователя в том случае, если после вычисления всех правил было вынесено решение о запрете. В противном случае пользователь сможет получить доступ к данным.

2. «Разрешить, если все разрешили». Обратный вариант, при котором пользователю предоставляется доступ к информации только в том случае, если соответствующее решение будет вынесено при вычислении каждого из правил, а в противном случае ему откажут в доступе.

3. «Запретить, если не разрешено». В таком случае запрет на получение доступа к информации пользователю отправляется только в том случае, если ни одно из вычислений правил не дало результата «Разрешить». В противном случае он может получить данные.

4. «Разрешить, если не запрещено». Пользователь получает доступ к информации только в том случае, если ни одно из вычислений правил не дало результата «Запретить». В противном случае ему отравляется отказ.

5. «Запретить, если один запретил». Пользователю не дается возможности воспользоваться данными, если решение о запрете было вынесено при вычислении хотя бы одного из правил. В противном случае ему предоставляется доступ или устанавливается статус «Не определено» или «Неприменимо», если такой результат был получен при вычислении хотя бы одного или всех правил.

6. «Разрешить, если один разрешил». Пользователь получает доступ к информации, если соответствующее решение будет вынесено в результате вычисления хотя бы одного из правил. В противном случае ему не предоставляется доступ или устанавливается статус «Не определено» или «Неприменимо», если такой результат был получен при вычислении хотя бы одного или всех правил.

7. «Первое применимое». Решение о предоставлении доступа или отказе в нем пользователю выносится на основании первого результата вычисления правила, который не будет относиться к «Неприменимо».

Организация контроля за доступом к данным является одной из важнейших задач любой развивающейся компании. Создание надежных политик и автоматизированный мониторинг работы персонала защищает организацию от потери информации.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ FILEAUDITOR»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Источник

Политика информационной безопасности

1. Общие положения

Информация является ценным и жизненно важным ресурсом. Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных.

Ответственность за соблюдение информационной безопасности несет каждый сотрудник, при этом первоочередной задачей является обеспечение безопасности всех активов. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив. Главные цели не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.

В настоящей Политике под термином «сотрудник» понимаются все сотрудники.

1.1. Цель и назначение настоящей Политики

Целями настоящей Политики являются:

  • сохранение конфиденциальности критичных информационных ресурсов;
  • обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;
  • защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;
  • повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;
  • определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности.

Руководители подразделений должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.

1.2. Область применения настоящей Политики

Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации. Соблюдение настоящей Политики обязательно для всех сотрудников.

Организации принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования организации, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала организации.

2. Требования и рекомендации

2.1. Ответственность за информационные активы

В отношении всех собственных информационных активов организации, активов, находящихся под контролем организации, а также активов, используемых для получения доступа к инфраструктуре организации, определена ответственность соответствующего сотрудника Компании.

2.2. Контроль доступа к информационным системам

2.2.1. Общие положения

Все работы в пределах офисов организации выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в организации.

Внос в здания и помещения организации личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы организации производится только при согласовании

Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну организации и хранящиеся на жестких дисках портативных компьютеров, зашифрованы. Все портативные компьютеры организации оснащены программным обеспечением по шифрованию жесткого диска.

Читайте также:  Способы защиты от веб атак

Руководители подразделений периодически пересматривают права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.

В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему осуществляется с использованием уникального имени пользователя и пароля.

Пользователи руководствоваются рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.

В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.

2.2.2. Доступ третьих лиц к системам Компании

Каждый сотрудник обязан немедленно уведомить руководителя обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.

Доступ третьих лиц к информационным системам Компании должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Компании должен быть четко определен, контролируем и защищен.

2.2.3. Удаленный доступ

Пользователи получают право удаленного доступа к информационным ресурсам организации с учетом их взаимоотношений с организации.

Сотрудникам, использующим в работе портативные компьютеры организации, может быть предоставлен удаленный доступ к сетевым ресурсам организации в соответствии с правами в корпоративной информационной системе.

Сотрудникам, работающим за пределами организации с использованием компьютера, не принадлежащего организации, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.

Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам организации, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети организации и к каким-либо другим сетям, не принадлежащим Компании.

Все компьютеры, подключаемые посредством удаленного доступа к информационной сети организации, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления.

2.2.4. Доступ к сети Интернет

Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.

  • сотрудникам организации разрешается использовать сеть Интернет только в служебных целях;
  • запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
  • сотрудники организации не должны использовать сеть Интернет для хранения корпоративных данных;
  • работа сотрудников организации с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации организации в сеть Интернет;
  • сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем организации;
  • сотрудники организации перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
  • запрещен доступ в Интернет через сеть организации для всех лиц, не являющихся сотрудниками организации, включая членов семьи сотрудников организации.

2.3. Защита оборудования

Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация организации.

2.3.1. Аппаратное обеспечение

Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы), для целей настоящей Политики вместе именуются «компьютерное оборудование». Компьютерное оборудование, предоставленное организации, является ее собственностью и предназначено для использования исключительно в производственных целях.

Пользователи портативных компьютеров, содержащих информацию, составляющую коммерческую тайну организации, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах, или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.

Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.

Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля в гостиничный номер.

Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.

При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.

Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.

Порты передачи данных, в том числе FD и CD дисководы в стационарных компьютерах сотрудников Компании блокируются, за исключением тех случаев, когда сотрудником получено разрешение.

2.3.2. Программное обеспечение

Все программное обеспечение, установленное на предоставленном организации компьютерном оборудовании, является собственностью организациии должно использоваться исключительно в производственных целях.

Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника.

На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:

  • персональный межсетевой экран;
  • антивирусное программное обеспечение;
  • программное обеспечение шифрования жестких дисков;
  • программное обеспечение шифрования почтовых сообщений.

Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем.

Сотрудники Компании не должны:

  • блокировать антивирусное программное обеспечение;
  • устанавливать другое антивирусное программное обеспечение;
  • изменять настройки и конфигурацию антивирусного программного обеспечения.

Компания предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со своим менеджером по бизнес информации, который проинформирует их о порядке приобретения и/или разработки программного обеспечения.

Читайте также:  Клетки апикальных меристем способ деления

2.4. Рекомендуемые правила пользования электронной почтой

Электронные сообщения (удаленные или не удаленные) могут быть доступны или получены государственными органами или конкурентами по бизнесу для их использования в качестве доказательств в процессе судебного разбирательства или при ведении бизнеса. Поэтому содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.

Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует бизнес деятельности.

Сотрудникам запрещается направлять партнерам конфиденциальную информацию Организации по электронной почте без использования систем шифрования. Строго конфиденциальная информация Организации, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.

Сотрудникам Организации запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.

Использование сотрудниками Организации публичных почтовых ящиков электронной почты осуществляется только при согласовании с Департаментом защиты информации при условии применения механизмов шифрования.

Сотрудники Организации для обмена документами с бизнес партнерами должны использовать только свой официальный адрес электронной почты.

Сообщения, пересылаемые по электронной почте, представляют собой постоянно используемый инструмент для электронных коммуникаций, имеющих тот же статус, что и письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.

В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю. Если полученная таким образом информация носит конфиденциальный характер, об этом следует незамедлительно проинформировать специалистов Департамента защиты информации.

Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.

Ниже перечислены недопустимые действия и случаи использования электронной почты:

  • рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;
  • групповая рассылка всем пользователям Организации сообщений/писем;
  • рассылка рекламных материалов, не связанных с деятельностью Организации;
  • подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;
  • поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
  • пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит корпоративным стандартам в области этики.

Ко всем исходящим сообщениям, направляемым внешним пользователям, пользователь может добавлять уведомление о конфиденциальности.

Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в Организации процедурами документооборота.

Пересылка значительных объемов данных в одном сообщении может отрицательно повлиять на общий уровень доступности сетевой инфраструктуры Организации для других пользователей. Объем вложений не должен превышать 2 Мбайт.

2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность

Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.

В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте директору Департамента защиты информации.

Пользователи должны знать способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.

Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:

  • проинформировать ответственных специалистов;
  • не пользоваться и не выключать зараженный компьютер;
  • не подсоединять этот компьютер к компьютерной сети Организации до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование специалистами Департамента информационных технологий.

2.6. Помещения с техническими средствами информационной безопасности

Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.

Перечень помещений с техническими средствами информационной безопасности утверждается Руководством Организации.

Участникам заседаний запрещается входить в помещения с записывающей аудио/видео аппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования.

Аудио/видео запись, фотографирование во время конфиденциальных заседаний может вести только сотрудник Организации, который отвечает за подготовку заседания, после получения письменного разрешения руководителя группы организации встречи.

Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.

2.7. Управление сетью

Уполномоченные сотрудники контролируют содержание всех потоков данных проходящих через сеть Организации.

Сотрудникам Организации запрещается:

  • нарушать информационную безопасность и работу сети Организации;
  • сканировать порты или систему безопасности;
  • контролировать работу сети с перехватом данных;
  • получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;
  • использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства;
  • передавать информацию о сотрудниках или списки сотрудников Организации посторонним лицам;
  • создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение.

2.7.1. Защита и сохранность данных

Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты Департамента информационных технологий обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.

Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения.

Только специалисты на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.

Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.

Все заявки на проведение технического обслуживания компьютеров должны направляться в Департамент информационных технологий.

2.8. Разработка систем и управление внесением изменений

Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителями.

Если вы нашли ошибку: выделите текст и нажмите Ctrl+Enter

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.