- •Самостійна робота
- •1.1. Короткий опис підприємства
- •1.2. Системи життєзабезпечення підприємства
- •1.3. Опис приміщень підприємства
- •1.4. Функції, права та обов’язки персоналу
- •1.5. Бізнес-процес підприємства
- •1.6. Ідентифікація інформаційних активів
- •2.1. Методика оцінювання ризиків
- •2.2. Класифікація джерел загроз
- •2.3. Ранжування джерел загроз
- •Для антропогенних джерел
- •Для техногенних джерел
- •Для стихійних лих
- •Для антропогенних джерел
- •Для техногенних джерел та стихійних лих
- •3.1. Встановлення критерію прийняття ризику
- •4.1. Загальні положення
- •4.1.1. Мета і призначення
- •4.1.2. Область застосування
- •4.1.3. Відповідальність
- •4.2. Вимоги і рекомендації
- •4.2.2. Контроль доступу до інформаційних систем
- •4.2.3. Захист обладнання
- •4.2.4. Повідомлення про інциденти інформаційної безпеки, реагування і звітність
- •4.2.5. Управління мережею
- •4.2.6. Використання паролів
- •4.2.7. Розробка систем і управління внесенням змін
- •5.1. Опрацювання ризиків
4.1.3. Відповідальність
За виконання вимог Політики, поширення інформації серед співробітників, проведення консультацій з питань інформаційної безпеки несе відповідальність системний адміністратор.
За порушення вимог Політики співробітниками в залежності тяжкості наслідків застосовуються заходи від дисциплінарних до звільнення з відшкодуванням матеріальної шкоди.
4.2. Вимоги і рекомендації
4.2.1. Відповідальність за інформаційні активи
Відносно усіх власних інформаційних активів, активів, що знаходяться під контролем Підприємства, має бути визначена відповідальність певного співробітника Підприємства.
Інформація про зміну власників активів, їх розподіл, зміни в конфігурації і використанні за межами Підприємства повинна повідомлятися системному адміністратору Підприємства.
4.2.2. Контроль доступу до інформаційних систем
4.2.2.1. Загальні стани
Усі роботи в межах офісів Підприємства виконуються відповідно до офіційних посадових обов’язків тільки на комп’ютерах, дозволених до використання на Підприємстві.
Внесення до будівлі і приміщення Підприємств особистих портативних комп’ютерів і зовнішніх носіїв інформації (диски, флеш-пам’ять і т. п.), а також винесення їх за межі Підприємства відбувається тільки при узгодженні з системним адміністратором Підприємства
Усі дані, що становлять комерційну таємницю Компанії і зберігаються на жорстких дисках комп’ютерів, мають бути зашифровані. Усі комп’ютери Підприємства мають бути оснащені програмним забезпеченням для шифрування жорсткого диска.
Системний адміністратор повинен періодично переглядати права доступу співробітників та інших користувачів до відповідних інформаційних ресурсів.
З метою забезпечення санкціонованого доступу до інформаційного ресурсу, будь-який вхід в систему повинен здійснюватися з використанням унікального імені користувача та пароля.
Користувачі повинні керуватися рекомендаціями для захисту свого пароля на етапі його вибору і подальшого використання. Забороняється повідомляти свій пароль іншим особам або надавати свій обліковий запис іншим, у тому числі членам своєї сім’ї і близьким, якщо робота виконується удома.
В процесі своєї роботи співробітники зобов’язані постійно використати режим “Екранної заставки” з парольним захистом. Рекомендується встановлювати максимальний час простою комп’ютера до появи екранної заставки не довше 15 хвилин.
4.2.2.2. Доступ третіх осіб до систем Підприємства
Кожен співробітник зобов’язаний негайно повідомити системного адміністратора про усі випадки надання доступу третім особам до ресурсів мережі чи інформаційних систем Підприємства.
Доступ третіх осіб до інформаційних систем Підприємства має бути обумовлений виробничою необхідністю. У зв’язку з цим, порядок доступу до інформаційних ресурсів Компанії має бути чітко визначений, контрольований і захищений.
4.2.2.3. Доступ до мережі Інтернет
Доступ до мережі Інтернет забезпечується тільки у виробничих цілях і не може використовуватися для незаконної діяльності. Доступ надається лише системному адміністратору та менеджеру відділу постачання.
Рекомендовані правила:
– дозволяється використати мережу Інтернет тільки в службових цілях;
– забороняється відвідування будь-якого сайту в мережі Інтернет, який вважається образливим для громадської думки або містить інформацію сексуального характеру, пропаганду расової ненависті, матеріали з образливими висловами з приводу;
– перед відкриттям або поширенням файлів, отриманих через мережу Інтернет, необхідно проводити перевірку на наявність шкідливого ПЗ;
Системний адміністратор має право контролювати зміст усього потоку інформації, що проходить через канал зв’язку до мережі Інтернет в обох напрямах.