Читаем Политики безопасности компании при работе в Интернет полностью

Политики безопасности компании при работе в Интернет

Владимир Анатольевич Курбатов , Сергей Александрович Петренко

Процедура поддержки политики безопасности. Заинтересованные стороны компании должны просматривать и обновлять политику не реже одного раза в год. Отдел информационных систем под руководством отдела информационной безопасности проводит аудит сети на регулярной основе и документирует результаты проверок.

Процедура реализации. Директор по развитию сетей и телекоммуникаций должен определить точную сетевую топологию и сетевое оборудование компании, в рамках которых будет действовать настоящая политика безопасности.

Для проверки дееспособности политики безопасности проводится аудит после установки и подключения к сети нового сетевого оборудования и компьютеров.

Обучение сотрудников. Ознакомление с политикой осуществляется в ходе первичного инструктажа сотрудников. Сотрудники должны ежегодно перечитывать и подписывать политику допустимого использования как условие продолжения их работы.

Ознакомление сотрудников для предупреждения случаев социальной инженерии.

Сотрудники обязаны соблюдать осторожность при общении с людьми, не являющимися сотрудниками компании. Перед началом дискуссии следует определить границы того, что можно сообщить постороннему человеку.

Политика допустимого использования. Политика допустимого использования определяет права и порядок доступа к информационным активам компании, порядок использования разрешенных аппаратно-программных средств, а также права и обязанности сотрудников согласно накладываемым ограничениям со стороны федеральных, законодательных актов и требований руководящих документов.

Допустимое использование сети. Сотрудникам запрещается делать и распространять копии конфигурации сетевого оборудования или серверов, если они не являются системными администраторами.

Сотрудникам запрещается получать или пытаться получить административный доступ к сетевому оборудованию и серверам, если они не являются системными администраторами или если это не входит в их служебные обязанности.

Требования по соответствию. Сотрудники обязаны выполнять все требования этой политики и любых последующих ее версий. Доступ к инфраструктуре компании и ее данным является привилегией, не правом. То есть компания может изменить привилегии доступа сотрудника любым способом в любое время. К сотруднику, нарушившему эту политику, могут быть применены дисциплинарные и административные меры, вплоть до увольнения.

Политика идентификации и аутентификации.

Политика идентификации и аутентификации определяет процедурные и технические методы, используемые для идентификации и аутентификации.

Руководство по управлению паролями. Следующие принципы определяют правила выбора пароля:

• пароли, если возможно, должны использовать строчные и прописные буквы, знаки препинания и числа, должны иметь длину как минимум восемь символов;

• изменять пароли следует ежеквартально;

• нельзя записывать пароли;

• нельзя сообщать пароли кому бы то ни было.

Перейти на страницу: