Правила доступа и использования
данных локальной вычислительной сети на предприятиях АО «Компания».
Предприятие АО «Компания», далее «Предприятие» намерено придерживаться правил, изложенных ниже, и оставляет за собой право проверять их выполнение без предварительного уведомления.
- Политика аутентификации пользователей на «Предприятии».
- Пользователям выдаются идентификаторы и пароли для работы на компьютерах «Предприятия», чтобы защитить критическую информацию от неавторизованного использования или просмотра. Эти пароли не защищают от просмотра информацию руководством организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей.
- Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя.
- Пароли должны состоять как минимум из 8 символов. Пароли периодически тестируется на угадываемость. Легко угадываемые пароли пользователи должны немедленно изменить.
- Пароли должны держаться в тайне, т.е. не должны сообщаться другим людям, не должны вставляться в текст программ и не должны записываться на бумагу. В случае причинения ущерба «Предприятию», вся ответственность возлагается на владельца, под идентификатором которого был нанесен ущерб.
- Пароли меняются каждые 45 дней. Операционная система принудительно меняет пароли и запрещает использование этих же паролей вторично.
- Бюджеты пользователей замораживаются после 3 неудачных попыток входа в систему. Все неудачные попытки регистрируются системным журналом. Разблокирование происходит автоматически через 120 минут или администратором.
- Сотрудники отвечают за средства и устройства аутентификации, принадлежащих организации (например, ключевые дискеты). При утере или повреждении о случившимся должны немедленно сообщить службе безопасности.
- Сотрудники получают доступ к ресурсам вычислительной сети после ознакомления с документами, утвержденными стандартами предприятия, (согласно занимаемой должности), а именно: «Инструкцией по обеспечению безопасности информации в АО «Компания» , «Перечня сведений составляющих конфиденциальную информацию в АО «Компания» , «Правила доступа и использования данных локальной сети на предприятиях в АО «Компания» . Для получения идентификатора надо иметь документ, заверенный начальником отдела «Управление персоналом» или лицом его замещающим.
- Электронная почта предоставляется сотрудникам только для выполнения своих служебных обязанностей. Использование ее в личных целях запрещено.
- Могут использоваться только утвержденные почтовые программы. Запрещено использовать бесплатные почтовые сервера Internet.
- Конфиденциальная информация или информация, являющаяся собственностью «Предприятия» не может быть послана с помощью электронной почты.
- Все электронные письма, создаваемые и хранимые на компьютерах «Предприятия», являются собственностью «Предприятия» и не считаются персональными.
- Пользователи не должны позволять кому-либо посылать письма, используя их идентификаторы.
- «Предприятие» оставляет за собой право осуществлять наблюдение за почтовыми отправлениями сотрудников. Электронные письма могут быть прочитаны организацией, даже если они были удалены. Сообщения, имеющие конфиденциальную информацию и несогласованную с руководством «Предприятия» могут использоваться в качестве обоснования для применения административного наказания.
- Установка ПО на ПЭВМ производится с письменного разрешения администратора ЛВС и под наблюдением его помощника. Запрещается устанавливать неавторизованные программы на компьютеры. Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ.
- Программы должны устанавливаться только с разрешенных внутренних серверов для ограничения риска заражения. Категорически запрещается загружать программы из интернета на компьютеры.
- На все сервера должны быть установлены антивирусные пакеты для ограничения распространения вирусов в сети. Данные о вирусах должны ежемесячно обновляться.
- Все рабочие станции должны иметь резидентные антивирусные программы, сконфигурированные так, что все файлы проверяются на вирусы при загрузки на компьютер.
- Все данные, импортируемые на компьютер с дискет, из электронной почты, полученные из сети т.д., должны проверяться на вирусы.
- В случае необычного поведения компьютера, сотрудник должен немедленно доложить об этом системному администратору.
- При обнаружении заражения вирусом системный администратор должен информировать всех пользователей, которые имеют доступ к зараженным программам или файлам, что вирус, возможно, заразил их системы.
- Каждый сотрудник имеет свою личную папку на файловом сервере «Предприятия» (никто не имеет права доступа. В проводнике это папка отображается как H:\имя_пользователя. Рекомендуется для хранения личных документов.
- Сотрудникам запрещается переносить информацию не связанную с деятельностью «предприятия» с компьютера на компьютер.
- Для обмена информацией создаются общие папки по согласованию системным администратором.
- Сотрудникам запрещается переносить любые электронные данные с компьютера на компьютер с помощью сменных носителей информации.
- Сотрудникам запрещается пользоваться любым компьютерным оборудованием (компьютеры, сканнеры, принтеры, модемы и т.п.) в личных целях.
- Все пользователи, имеющие возможность доступа к компьютерам организации через модемы, должны периодически менять пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, не допускаются, а удаленный доступ разрешается только на машину в ДМЗ.
- Весь удаленный доступ к компьютерам организации должен использовать шифрование для обеспечения конфиденциальности сеанса. Для удаленного доступа должны использоваться только утвержденные в организации продукты, чтобы обеспечить гарантии взаимной работоспособности программ, реализующих технологии шифрования удаленного доступа к серверу.
- Информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, считается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации.
- Служащие пользуются программами для поиска информации в WWW только для лучшего выполнения ими своих должностных обязанностей.
- Все программы, используемые для доступа к WWW, должны быть утверждены сетевым администратором и на них должны быть установлены все доработки производителя (patch), связанные с безопасностью.
- Во всех браузерах должно быть запрещена обработка Java, JavaScript и ActiveX из-за небезопасности данных технологий.
- Могут использоваться или загружаться только версии браузеров, использование которых разрешено в организации.
- Все веб-браузеры должны быть сконфигурированы так, чтобы использовать прокси-сервер для WWW из состава брандмауэра.
- Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, могут быть запротоколированы, и использоваться для принятия решения о применении к нему санкций административного характера.
- Поступившая заявка на удаление пользователя из системы «Предприятия» передается системному администратору. В системе производится блокировка доступа с последующим полным удалением всех записей доступа к системе.
- По согласованию с администрацией компании почтовый адрес пользователя может быть переадресован. По окончании срока переадресации ( срок действия не больше 1 месяца) почтовый адрес удаляется из системы либо переводится на сотрудника компании.
- Контроль за исполнением правил доступа и использование локальной вычислительной сети осуществляет директор «информационно-аналитического центра путем ежемесячных и текущих проверок.
- При проведении проверки создается комиссия, которая комплектуется из опытных и квалифицированных работников, в составе не менее трех человек включая представителя «службы безопасности».
- Члены комисси имеют право знакомится со всеми документами, журналами и другими материалам, имеющими отношение к проверяемым вопросам, а так же проводить беседы, консультироваться со специалистами и исполнителями, входящими в компетенцию комиссии.
- При проверке присутствует руководитель проверяемого структурного подразделения или лицо его замещающее.
- По результатам проверок составляется акт с отражением в нем наличия документов с выявленными недостатками и предложения по их устранению. Акт утверждается директором «Предприятия».