- •Самостійна робота
- •1.1. Короткий опис підприємства
- •1.2. Системи життєзабезпечення підприємства
- •1.3. Опис приміщень підприємства
- •1.4. Функції, права та обов’язки персоналу
- •1.5. Бізнес-процес підприємства
- •1.6. Ідентифікація інформаційних активів
- •2.1. Методика оцінювання ризиків
- •2.2. Класифікація джерел загроз
- •2.3. Ранжування джерел загроз
- •Для антропогенних джерел
- •Для техногенних джерел
- •Для стихійних лих
- •Для антропогенних джерел
- •Для техногенних джерел та стихійних лих
- •3.1. Встановлення критерію прийняття ризику
- •4.1. Загальні положення
- •4.1.1. Мета і призначення
- •4.1.2. Область застосування
- •4.1.3. Відповідальність
- •4.2. Вимоги і рекомендації
- •4.2.2. Контроль доступу до інформаційних систем
- •4.2.3. Захист обладнання
- •4.2.4. Повідомлення про інциденти інформаційної безпеки, реагування і звітність
- •4.2.5. Управління мережею
- •4.2.6. Використання паролів
- •4.2.7. Розробка систем і управління внесенням змін
- •5.1. Опрацювання ризиків
4.2.3. Захист обладнання
Співробітники повинні постійно пам’ятати про необхідність забезпечення фізичної безпеки устаткування, на якому зберігаються інформація Підприємства.
Співробітникам заборонено самостійно змінювати конфігурацію апаратного і програмного забезпечення. Усі зміни робить системний адміністратор.
4.2.3.1. Апаратне забезпечення
Усе комп’ютерне обладнання, периферійне обладнання, аксесуари, комунікаційне обладнання для цілей Політики разом іменуються “комп’ютерне обладнання”.
Комп’ютерне обладнання, надане Підприємством, є його власністю і призначене для використання виключно у виробничих цілях.
Усі комп’ютери повинні захищатися паролем при завантаженні системи, активації гарячою клавішею і після виходу з режиму “Екранної заставки”. Для установки режимів захисту користувач повинен звернутися до системного адміністратора.
Перед утилізацією усі компоненти обладнання, до складу яких входять носії даних (включаючи жорсткі диски), необхідно перевіряти, щоб переконатися у відсутності на них конфіденційних даних і ліцензійних продуктів. Повинна виконуватися процедура форматування носіїв інформації, що виключає можливість відновлення даних.
Порти передавання даних, у тому числі USB, DVD в комп’ютерах співробітників Підприємства блокуються, за винятком тих випадків, коли співробітником отриманий дозвіл на запис інформації у системного адміністратора.
4.2.3.2. Програмне забезпечення
Усе програмне забезпечення, встановлене на наданому Компанією комп’ютерному обладнанні, є власністю Підприємства і повинне використовуватися виключно у виробничих цілях.
Співробітникам забороняється встановлювати на наданому в користування комп’ютерному устаткуванні нестандартне, неліцензійне програмне забезпечення або програмне забезпечення, що не має відношення до їхньої виробничої діяльності. Якщо в ході виконання технічного обслуговування буде виявлено недозволене до установки програмне забезпечення, воно видаляється.
На усіх комп’ютерах мають бути встановлені програми, необхідні для забезпечення захисту інформації:
– персональний міжмережевий екран;
– антивірусне програмне забезпечення;
– програмне забезпечення шифрування жорстких дисків;
Усі комп’ютери, підключені до корпоративної мережі, мають бути оснащені системою антивірусного захисту, затвердженого системним адміністратором.
Співробітникам Підприємства заборонено:
– блокувати антивірусне програмне забезпечення;
– встановлювати інше антивірусне програмне забезпечення;
– змінювати налаштування і конфігурацію антивірусного програмного забезпечення.
4.2.4. Повідомлення про інциденти інформаційної безпеки, реагування і звітність
Усі користувачі мають бути обізнані про свій обов’язок повідомляти про відомі або підозрювані ними порушення інформаційної безпеки, а також мають бути проінформовані про те, що ні за яких обставин вони не повинні намагатися використати слабкі сторони системи безпеки, які стали їм відомими.
У разі крадіжки переносного комп'ютера слід негайно повідомити про інцидент системному адміністратору.
Користувачі повинні знати способи інформування про відомі або передбачувані випадки порушення інформаційної безпеки з використанням телефонного зв’язку та інших методів. Необхідно забезпечити контроль і облік повідомлень про інциденти і вживання відповідних заходів.
Якщо є підозра або виявлена наявність вірусів або інших руйнівних комп’ютерних кодів, то відразу після їх виявлення співробітник зобов'язаний:
– проінформувати системного адміністратора;
– не користуватися і не вимикати заражений комп’ютер;
–не під’єднувати цей комп’ютер до комп’ютерної мережі Підприємства доти, поки на ньому не буде зроблено видалення виявленого вірусу і повне антивірусне сканування системним адміністратором.