- •Приложение практика 4 курс. Примеры рабочих документов Пример анализа электронной почты с позиций безопасности
- •Мероприятия, направленных на повышение эффективности системы информационной безопасности Компании Обеспечение целостности данных и отказоустойчивости информационной системы
- •Защита от несанкционированного доступа
- •Взаимодействие с другими подразделениями Компании
- •Пример регулярных мероприятий
- •Пример мероприятий с определенными сроками выполнения
- •Рекомендации по обеспечению информационной безопасности на уровне пользователя Рекомендации по организации защиты локальной сети
- •Рекомендации по организации работы пользователя в сети
- •Рекомендации по организации рабочего места пользователя
- •Пример технического паспорта существующей системы в разрезе информационной безопасности
- •1. Структурные схемы
- •2. Перечень компонентов подсистемы связи лвс Компании и Интернет
- •3. Список персонала, обслуживающего систему, и пользователей
- •Правила преобразования адресов и правила доступа из внутренней сети
- •Пример описания информационных потоков в квс Компании
- •Пример Положения о локальной вычислительной сети Компании
- •1. Основные понятия и сокращения
- •2. Назначение и задачи, решаемые лвс Компании
- •3. Состав и описание функционирования лвс
- •4. Обеспечение информационной безопасности лвс
- •5. Порядок доступа сотрудников к ресурсам локальной вычислительной сети
- •6. Порядок доступа сотрудников к ресурсам Интернета и электронной почты
- •7. Права и обязанности Администратора лвс
- •8. Обязанности пользователя лвс
- •Приложение 1
- •Заявка на регистрацию пользователя в лвс
- •Приложение 2
- •Заявка выполнена:
- •Приложение 3
- •Приложение 4
- •Приложение 5
- •Приложение 6
- •Приложение 7 Заявка об изменении сетевого ресурса
- •Приложение 8
- •Приложение 9
Заявка выполнена:
"___"____________ 200_ г. (________________)
Приложение 3
Общие требования, предъявляемые к пользователю ЛВС Компании, по обеспечению безопасности компьютерной Информации
Все сотрудники Компании, использующие в своей работе средства электронной вычислительной техники (ЭВТ), должны быть ознакомлены с настоящими требованиями и обязаны руководствоваться ими в своей работе.
Пользователем информации, хранимой и обрабатываемой в ЛВС Компании, может быть сотрудник Компании либо дочернего предприятия, выполняющий свои обязанности на постоянной основе.
В исключительных случаях возможно подключение к ЛВС сотрудников других организаций, которое осуществляется в порядке и на условиях, определенных «Положением о локальной вычислительной сети Компании».
Каждый пользователь при подключении к ЛВС получает свое сетевое имя, которое должен помнить, и пароль, который должен хранить в секрете.
Пользователь обязан работать в ЛВС, используя только свое сетевое имя.
Все средства ЭВТ, выданные пользователю Компании для работы (компьютер и все дополнительные устройства), являются частью ЛВС Компании вне зависимости от того, подключены они к ЛВС Компании или нет.
Каждый сотрудник должен обладать навыками работы с компьютером, знать состав и назначение программ, установленных на его компьютере, и быть ознакомлен с инструкцией пользователя для всех специализированных программ, которые будут им использоваться.
При изменении служебных обязанностей или переходе на работу в другое подразделение Компании пользователь проходит перерегистрацию в порядке, установленным «Положением о локальной вычислительной сети Компании».
Пользователи, допущенные к автоматизированной обработке любой служебной информации, обязаны строго соблюдать установленные правила работы на автоматизированных рабочих местах и несут персональную ответственность за обеспечение безопасности информации при ее обработке и хранении с использованием технических средств.
Пользователь не должен сообщать свой пароль никому, включая администратора ЛВС. Необходимо регулярно (не реже раза в 2 месяца) менять свой пароль.
При выборе или смене пароля в качестве нового пароля рекомендуется использовать легко запоминающееся, но трудно угадываемое слово или последовательность букв, цифр и знаков препинания и пунктуации, таких как < > " № ; , % : ? * ( ). При этом необходимо руководствоваться следующими правилами:
пароль не должен состоять из:
имени, отчества или фамилии пользователя или его близких родственников ни в каком виде (т.е. написанным в строчном, прописном, смешанном виде, в обратном порядке и т.д.);
сетевого имени пользователя (login name) ни в каком виде;
личных и служебных номеров телефонов, номера автомобиля, почтового адреса и другой личной информации;
только цифр либо одинаковых букв (например, 888888, 654321 или qqqqqq);
слов, которые можно найти в словаре (русских, иностранных слов) или в каком-либо списке слов;
менее чем пяти символов.
(примеры пароля, соответствующего требованиям безопасности: “?sasha65&$”, “_keti45”).
В случае если пользователь забыл свой пароль, он должен сообщить об этом администратору ЛВС и попросить изменить пароль. В этом случае администратор ЛВС имеет право потребовать, чтобы пользователь лично явился к нему и предъявил пропуск Компании.
Пользователь ЛВС обязан хранить файлы и данные, с которыми он работает, только на сетевом диске. Эта мера гарантирует сохранность данных.
В случае необходимости регулярного доступа к некоторым файлам со стороны нескольких пользователей, возможно выделение отдельной сетевой папки. Для этого оформляется заявка на регистрацию сетевой папки (в соответствии с п.5.1. «Положения об ЛВС Компании»), в которой указывается имя сетевой папки и перечень пользователей ЛВС, которые имеют к ней доступ с указанием его вида (полный, чтение и запись, только чтение и т.п.)».
В целях обеспечения антивирусной защиты ЛВС пользователям запрещается приостанавливать или прекращать работу штатного антивирусного средства.
Каждый сотрудник Компании, участвующий в процессе обработки информации и имеющий доступ к аппаратному и/или программному обеспечению и данным в рамках своих функциональных обязанностей, несет персональную ответственность за свои действия.
Обработка электронных документов и баз данных должна производиться только теми программами, которые для этого предназначены.
Каждый пользователь должен защитить свой персональный компьютер от несанкционированного доступа.
Пользователи не должны позволять работу в сети со своим сетевым именем других пользователей (не сообщать никому свой пароль доступа в сеть). В частности, запрещается оставлять без присмотра компьютер, зарегистрированный в сети (например, на обеденный перерыв). Обязательно использование экранных заставок с паролем, которые не позволяют нелегальному пользователю получить доступ к компьютеру в отсутствие владельца.
Расположение рабочего места пользователей, работающих с информацией конфиденциального характера, должно исключать просмотр со стороны посторонних лиц документов на столе и информации на мониторах компьютерной техники.
При отправке по электронной почте Интернет информации, содержащей коммерческую тайну Компании, необходимо использовать шифрование передаваемых файлов.
Установку системы шифрования на персональном компьютере пользователя и смену ключей шифрования осуществляют сотрудники Службы безопасности.
Все компоненты программного и аппаратного обеспечения системы, включая электронную почту и службы доступа к сети Интернет, должны использоваться персоналом Компании только для выполнения служебных обязанностей. Использование их в других целях (для компьютерных игр, неслужебной переписки по электронной почте) запрещено.
Пользователям ЛВС категорически запрещается:
самовольно изменять конфигурацию аппаратно-программных средств (в частности, сетевые настройки) или устанавливать дополнительно любые программные и аппаратные средства;
самостоятельно вскрывать средства ЭВТ;
использовать ресурсы вычислительной системы в неслужебных целях, в том числе хранить на локальных и сетевых дисках информацию, не относящуюся к служебной;
осуществлять действия, направленные на уничтожение либо фальсификацию служебных данных и программ (в том числе и данных других пользователей);
осуществлять умышленные действия, направленные на чрезмерную загрузку ресурсов ЛВС (в частности, загрузку каналов связи ЛВС, каналов связи с Интернет), которые могут привести к материальному ущербу Компании либо затруднить работу других пользователей ЛВС;
вести любую другую деятельность, нарушающую действующее законодательство.
О случаях обнаружения непредусмотренных отводов кабелей и проводов, изменений алгоритмов функционирования технических и программных средств ПЭВМ, нарушениях нормальной работы средств защиты, которые могут свидетельствовать о возможных попытках или фактах несанкционированного доступа к информации, пользователь обязан немедленно поставить в известность руководителя подразделения и Службу безопасности.
Мера ответственности персонала за выполнение действий, нарушающих политику информационной безопасности, определяется нанесенным ущербом, наличием умысла, а также соответствующими нормативными документами Компании и действующим законодательством.