1. Обзор
Данная политика не накладывает ограничений, противоречащих установившейся в Организации культуре открытости, доверия и целостности. Она защищает сотрудников, партнеров и саму Организацию от незаконных или разрушительных действий индивидуумов, случайных или намеренных.
Системы Интернета/интранета/экстранета, включая, но, не ограничиваясь, компьютерами, ПО, ОС, носителями данных, учетными записями для электронной почты, средствами работы с WWW и FTP, являются собственностью Организации. Эти системы при их обычном функционировании должны использоваться для целей бизнеса и служить интересам Организации, а также для ее клиентов и партнеров (ознакомьтесь, пожалуйста, с кадровой политикой Организации).
Действенная ИБ — это результат работы команды, предполагающий участие и поддержку каждого сотрудника и подразделения Организации, работающих с информацией и/или ИС. Каждый пользователь компьютера должен знать эти руководящие принципы и вести себя в соответствии с ними.
2. Цель политики
определить допустимое использование компьютеров Организации. Данные правила защищают сотрудников Организации. Недопустимое использование компьютеров создает для Организации угрозы заражения компьютерными вирусами и взлома интранета и его сетевых сервисов, а также проблемы юридического характера.
3. Область действия
Политика применяется ко всем сотрудникам, временным рабочим, консультантам, внештатным сотрудникам и другим работникам Организации, включая всех третьих лиц. Политика распространяется на все компьютеры, которыми владеет или получила в лизинг Организация.
4. Основные положения
Настоящий документ определяет:порядок предоставления сотрудникам доступа к компьютерам, входящим в интранет Организации;порядок отмены доступа;порядок изменения прав доступа;требования, предъявляемые к сотрудникам Организации в связи с предоставлением им доступа к компьютерам интранета;порядок осуществления контроля доступа;ответственность сотрудников Организации.
4.1 Общее использование и владение.
Поскольку администрация интранета Организации стремится обеспечить разумный уровень секретности, пользователи должны знать, что данные, которые они создают на ее компьютерах, являются собственностью Организации. Администрация интранета Организации вправе знакомиться с личной конфиденциальной информацией сотрудников, хранимой на любом компьютере, принадлежащем Организации.
Сотрудники должны исходить из здравого смысла при персональном использовании компьютеров интранета.
За разработку руководств по персональному использованию систем Интернета/интранета/экстранета ответственность несут отдельные департаменты. При отсутствии такой политики сотрудники должны руководствоваться ведомственной политикой персонального использования. Если сотрудники в чем-то не уверены, то они должны консультироваться со своим руководителем или администратором.
Любую информацию, которую пользователи считают конфиденциальной или уязвимой, рекомендуется шифровать. Руководство по классификации информации дано в политике работы с конфиденциальной информацией. Шифрование почтовых сообщений и документов регламентируется политикой шифрования
С целью обеспечения функционирования интранета и его защиты уполномоченные лица внутри Организации могут в любое время осуществлять мониторинг оборудования, систем и сетевого трафика (см. политику аудита ИБ).
С целью проверки на соответствие политике Организация оставляет за собой право проводить аудит ИБ интранета и систем на регулярной основе.
4.2 Безопасность и составляющая собственность информация
Пользовательские интерфейсы для доступа к информации, содержащейся в системах Интернета/интранета/экстранета, должны быть отнесены к классу либо конфиденциальному, либо открытому (как это определено в руководствах по конфиденциальности Организации). Некоторыми примерами конфиденциальной информации являются: частная собственность Организации, корпоративные стратегии, требующие защиты от конкурентов производственные секреты, спецификации, списки клиентов, исследовательские данные и т. п. Сотрудники должны делать все возможное, чтобы предотвратить НСД к этой информации.
Храните пароли должным образом и не используйте совместно одну учетную запись. Авторизированные пользователи несут ответственность за защиту своих паролей и учетных записей. Системные пароли должны меняться ежеквартально, пользовательские пароли — каждые полгода.
Все ПК, ноутбуки и рабочие станции должны быть защищены заставками с паролями, активизируемыми через 10 мин пассивности пользователя или менее, или средствами перезагрузки.
Шифруйте данные в соответствии с политикой шифрования. Поскольку информация на переносных компьютерах особо уязвима, нужно быть особо внимательными. Защищайте ноутбуки в соответствии с рекомендациями по их защите.
Посылка сообщений в группы новостей с электронных адресов Организации должна содержать приписку, что выраженное мнение является личным мнением отправителя, а не всей Организации, если такая отправка сообщений не входит в обязанности сотрудника.
Все используемые сотрудниками компьютеры, соединенные с Ин- тернстом/интранетом/экстранетом Организации и являющиеся собственностью сотрудника или Организации, должны постоянно сканироваться антивирусным ПО с актуальной энциклопедией обнаруживаемых вирусов, если это не нарушает ведомственную или групповую политику.
Сотрудники должны проявлять особую бдительность при открытии прикреплений к почтовым сообщениям, полученным от незнакомых отправителей, поскольку там могут находиться вирусы, почтовые бомбы или троянские программы.
4.3 Недопустимое использование
В общем случае запрещены перечисленные ниже действия. Приведенный список не является исчерпывающим, но он может служить основой для определения действий, которые попадают в категорию недопустимого использования.
Сотрудники могут быть освобождены от этих ограничений при выполнении своих законных рабочих обязанностей (например, системным администраторам может потребоваться отключить доступ компьютера к сети, если он мешает работе сервисов).
Ни при каких обстоятельствах сотрудникам Организации не разрешается участвовать в каких-либо действиях по использованию компьютеров Организации, являющихся незаконными в соответствии с местным, федеральным, государственным или международным законодательством.
Работа с системами и сетями. Строго запрещаются следующие действия, все без исключения:
- нарушение прав любого человека или компании, защищенных авторским правом, торговым секретом, патентом, или другой интеллектуальной собственностью, или другими законами или актами, включая (но не ограничиваясь) установку или распространение «украденных» или других программных продуктов, на использование которых Организация не имеет соответствующих лицензий;
- несанкционированное копирование авторского материала, включая (но не ограничиваясь) оцифровку и распространение фотографий из журналов, книг или других авторских источников, авторской музыки и установку любого авторского ПО, на которые Организация или конечный пользователь не имеет действующей лицензии;
- экспорт ПО, технической информации, технологий и ПО для шифрования, предусмотренных международными или региональными экспортными законами (при сомнениях требуется консультация со специалистами);
- внедрение разрушающих программ в Интернет/интранет/экстранет (например, вирусов, червей, троянских коней, почтовых бомб и т. п.);
- передача пароля своей учетной записи или разрешение использовать эту учетную запись другим лицам (например, членам семьи при работе в домашних условиях);
- использование компьютеров Организации в личных целях;
- мошеннические предложения продукции, изделий или услуг, исходящие с любой учетной записи Организации;
- заверения о гарантиях, явно или неявно, если это не является частью обычных рабочих обязанностей;
- осуществление нарушений ИБ или разрушение связей интранета («нарушение ИБ» включает (но не ограничивается) доступом к данным, входом на сервер или учетную запись, к которым сотруднику доступ не предусмотрен, если это не входит в круг его обычных рабочих обязанностей; «разрушение» включает (но не ограничивается) перехват трафика, наводнение ping-запросами, подмену пакетов, «отказ в обслуживании» и подделку информации о маршрутизации с конкретными целями);
- сканирование портов или защиты;
- выполнение любых форм мониторинга интранета, позволяющее перехватить данные, не предназначенные для компьютеров сотрудников, если это не является частью их обычных рабочих обязанностей;
- обход аутентификации пользователя или защиты любого компьютера, сегмента интранета или учетной записи;
- вмешательство в работу или блокирование сервиса для любого пользователя. отличного от компьютера сотрудника (например, реализация «отказа в обслуживании»);
- использование любой программы/сценария/команды или посылка любых сообщений с целью вмешательства или отключения пользовательских терминальных сессий, применяя любые средства, локально или через Интернет/интранет/экстранет;
- передача информации о сотруднике(ах) Организации лицами вне Организации.
Работа с электронной почтой и средствами связи. Строго запрещаются все без исключения следующие действия:
- посылка незапрашиваемых электронных сообщений, включая материалы рекламного характера, пользователям, которые не просили об этом (спам);
- любые формы преследования по электронной почте или телефону, независимо от языка, частоты или размера сообщений;
- несанкционированное использование или подделка заголовков почтовых сообщений;
- запрос адреса с любого другого почтового адреса, отличного от указанного в качестве отправителя, с целью беспокоить или собирать ответы;
- создание или пересылка сообщений, использующих схему пирамиды;
- использование незапрашиваемых сообщений, приходящих в интранет Организации из Интернета/интранета/экстранета других сервис- провайдеров, от имени или с целью рекламы любых сервисов, предоставляемых Организацией или соединение с которыми происходит через интранет Организации;
- посылка одинаковых или похожих не относящиеся к бизнесу сообщений в большое число групп новостей.
- Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
- Определение. Спам — несанкционированная и/или незапрашиваемая массовая рассылка почтовых сообщений.
- История пересмотра политики (например, в виде таблицы с датами внесенных изменений и их содержанием).