Информационная безопасность предприятия

Служебное расследование  проводиться в минимально короткий срок.

Одновременно с работой комиссии должны проводиться мероприятия по локализации нежелательных последствий из-за разглашения сведений составляющих коммерческую тайну.

Результаты работы комиссии письменно докладываются Генеральному директору организации.

V этап - Доступ сотрудников организации к сведениям, составляющим коммерческую тайну.

Допуск сотрудников  организации к сведениям ограниченного распространения осуществляется в соответствии с их должностными инструкциями, в рамках необходимых для выполнения служебных обязанностей на основании заявки подаваемой руководителем структурного подразделения и утверждаемой Генеральным директором.

Выделение прав и полномочий сотрудникам организации для работы со сведениями ограниченного распространения в системах электронного документооборота организации производят администраторы соответствующих информационных систем.

Лица, допущенные к работе со сведениями ограниченного распространения, обязаны:

• знать и строго выполнять требования настоящей Политики и других инструкций, регламентирующих мероприятия режима информационной безопасности;
• немедленно докладывать своему непосредственному начальнику о возможных причинах или фактах утечки конфиденциальной информации;
• знакомиться с конфиденциальными сведениями только в объемах своих служебных обязанностей;
• немедленно сообщать непосредственному начальнику об утрате или недостаче носителей конфиденциальных сведений;
• о попытке посторонних лиц получить доступ к конфиденциальной информации немедленно докладывать руководителю подразделения и начальнику Службы безопасности.

Сотрудникам организации, допущенным к работе с конфиденциальной информацией, запрещается:

• использовать конфиденциальные сведения в открытой переписке, публичных выступлениях;
• использовать конфиденциальные сведения в личных целях;
• вести обсуждение вопросов безопасности конфиденциального характера в общественных местах;
• выносить с территории организации носители конфиденциальных сведений без разрешения непосредственного начальника;

VI этап - Правила размещения элементов компьютерной сети.

Под элементами компьютерной сети следует понимать следующее  оборудование:

• Съемные машинные носители, на которых производится запись конфиденциальных сведений;
• Рабочие станции и сервера организации;
• Сетевое оборудование (маршрутизаторы, коммутаторы);
• Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования).

Условия размещения элементов  компьютерной сети должны обеспечивать:

• Сохранность элементов компьютерной сети;
• Исключение возможности несанкционированного доступа посторонних лиц.

 

• Помещения, в которых расположены элементы компьютерной сети, должны удовлетворять следующим требованиям:
• Входные двери должны быть оборудованы замками, гарантирующими надежное закрытие помещений в нерабочее время;
• Помещения должны быть оборудованы охранной и пожарной сигнализацией, с выводом сигнала тревоги на пульт охраны;
• Условия размещения оборудования должны соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

VII этап - Обеспечение режима информационной безопасности при работе с ресурсами Интернет и электронной почтой.

Подключение к  сети Интернет.

Подключение корпоративной  сети организации к сети Интернет должно осуществляться только через межсетевой экран.

Весь входящий и исходящий трафик Организации должен проходить через фильтры межсетевого экрана.

Межсетевой экран администрируется локально или удаленно с фиксированного адреса администратора.

В настройке межсетевого экрана должны быть закрыты все не используемые сервисы и протоколы. Необходимо постоянно обновляться программное обеспечение межсетевого экрана, устанавливать все дополнения и обновления. Для межсетевого экрана допускается только один пользователь - администратор, остальные пользователи должны быть удалены или заблокированы.

Серверы с размещенными на них Интернет сервисами должны размещаться в  демилитаризованной зоне, созданной  межсетевым экраном.

Доступ к FTP должен быть разрешен только изнутри наружу и только определенному  кругу пользователей. При необходимости  доступа снаружи внутрь должна использоваться усиленная аутентификация.

Доступ пользователей к сети Интернет должен осуществляться только через прокси сервер организации.

Межсетевой экран и прокси сервер должны вести детальные системные  журналы всех сеансов. Доступ к журналам должны иметь ограниченное число сотрудников организации.

На Межсетевом экране и/или прокси сервере должны вестись "Стоп листы" ресурсов Интернет сомнительного содержания.

Межсетевой экран или  прокси сервер должен разрешать загрузку только тех программ на ActiveX, Java, Javascript, которые разрешены.

Настройки межсетевого  экрана или прокси сервера должны запрещать загрузку программного обеспечения, кроме ограниченного круга пользователей.

Операционные системы  и программное обеспечение Интернет серверов организации должны содержать все исправления, рекомендованные производителем.

Интернет серверы организации, работающие под UNIX подобными операционными системами, не должны запускаться с правами суперпользователя.

Безопасность WWW сервера Организации.

Все общедоступные WWW-сервера  организации, подключенные к Интернету, должны находиться в демилитаризованной зоне либо вне зоны корпоративной сети. Сведения ограниченного распространения не должны размещаться на публичном WWW сервере организации.

Перед публикацией на WWW сервере организации информация, должна быть просмотрена и утверждена так же, как утверждаются официальные документы организации.

Все публично доступные WWW сервера организации должны регулярно тестироваться на предмет корректности ссылок.

Доступ пользователей  в сеть Интернет.

 

Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись  следующие правила:

• доступ к Интернету должен осуществляться только через прокси сервер организации;
• каждый загружаемый файл должен проверяться на вирусы и троянские программы;
• пользователям без особого разрешения запрещается устанавливать и использовать внешние почтовые сервера и внешние прокси сервера.

Использование электронной почты.

Электронные документы, содержащие конфиденциальную информацию, не должны отправляться с помощью  электронной почты, по открытым каналам  в не зашифрованном виде.

Пользователи могут  использоваться только разрешенные  администратором сети почтовые программы.

Никто из посетителей организации или временных сотрудников не имеет права использовать электронную почту организации.

Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не домену организации.

Связь с территориально удаленными подразделениями организации должна осуществляться только по закрытым каналам связи с использованием средств криптографической защиты информации.

VIII этап - Применение парольной защиты.

Информация о паролях  пользователей является конфиденциальной информацией, предназначенной для идентификации и допуска каждого конкретного пользователя к выделенным ему информационным ресурсам.

Операционные системы  рабочих станций, включенных в компьютерную сеть организации, должны иметь настройки, позволяющие исключить возможность просмотра вводимой парольной информации.

Операционные системы  серверов должны быть настроена таким  образом, чтобы исключить возможность  ознакомления с парольной информацией  любого из пользователей, включая Администратора.

Серверы должны быть защищены паролем на загрузку операционной системы  и доступа к конфигурации BIOS.

Компьютеры рабочих  станций должны быть защищены паролем  на доступ к конфигурации BIOS. Компьютеры рабочих станций, на которых хранятся конфиденциальные сведения, должны быть защищены паролем на загрузку операционной системы.

Операционные системы  рабочих станций должны быть настроены  таким образом, чтобы блокировать  паузы неактивности (хранитель экрана) с функцией парольной защиты. Время  включения защиты не более 10 минут.

Операционные системы  серверов должны блокировать вход в  сеть после 3-х кратной ошибки в  наборе пароля.

Настройка активного  сетевого оборудования Организации (маршрутизаторы, коммутаторы) не должна давать возможности  несанкционированной переконфигурации, в связи с чем каждое активное сетевое устройство должно быть защищено уникальным паролем Администратора компьютерной сети.

При уходе сотрудника организации в отпуск системный администратор, на основании заявки руководителя структурного подразделения, производит блокировку имени пользователя в информационной системе организации.

При увольнении сотрудника из организации, системный администратор, на основании обходного листа, производит удаление пользовательского имени в информационной системе организации.

Период действия паролей  составляет 90 суток, после чего они  подлежат замене на новые, ранее не применявшиеся.

Администраторам различных  информационных систем запрещается  использование административного  пароля при повседневной деятельности, не связанной с административными функциями. Для этой цели Администраторам должен выделяться пароль с правами пользователя.

Пароли Администраторов  и пароли BIOS серверов должны хранится в опечатанных конвертах в  сейфе начальника директора организации. Каждый пароль хранится в отдельном конверте.

Доступ в компьютерную сеть Организации, через общедоступные  каналы связи обеспечивается только с применением смарт-карт либо их полнофункциональных аналогов USB брелков eToken.

Любые некорректные действия сотрудников, связанные с доступом компьютерную сеть, рассматриваются как нарушения режима информационной безопасности и анализируются через процедуру служебного расследования.

Ответственным за настройку  серверов и рабочих станций, в  соответствии с требованиями настоящей инструкции, является администратор компьютерной сети.

IX этап - Антивирусная безопасность.

Под компьютерными вирусами, троянскими программами следует  понимать программы, которые могут  заражать другие программы, изменяя  их посредством добавления своей, возможно модифицированной, копии, которая сохраняет способность к дальнейшему размножению (далее по тексту вредоносные программы).

Возможными путями проникновения  вредоносных программ в компьютерную сеть организации являются:

• через сеть Интернет, путем загрузки пользователями зараженного программного обеспечения;
• загрузка WWW страниц с активными приложениями, содержащими вредоносный код;
• заражение рабочих станций пользователей через электронную почту;
• распространение вредоносных программ через сеть Интернет и электронную почту посредством использования уязвимостей программного обеспечения;
• установка на рабочие станции и сервера организации зараженного программного обеспечения или электронных документов;

Возможные последствия  распространения вредоносных программ в компьютерной сети организации:

• модификация, потеря данных;
• утечка информации из компьютерной сети организации;
• нарушение технологических процессов в компьютерной сети организации.

Выполнение всеми сотрудниками организации мероприятий, направленных на предотвращение проникновения вредоносных программ в компьютерную сеть организации, является основой нормального функционирования сети и одним из важнейших условий информационной безопасности.

Весь входящий и исходящий трафик компьютерной сети организации должен проходить через условия фильтрации межсетевого экрана.