Политика информационной безопасности. Глобальная политика

Вид материала

Документы

Содержание ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.Файловый обмен. Область действия ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.Эксплуатация портативных мобильных устройств. Область действия ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.Политика пользователя. Область применения Права и обязанности пользователя ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.Архивирование, резервное копирование и восстановление данных Область действия

Подобный материал:

• Политика информационной безопасности (финансовые организации), 860.58kb.
• Д. С. Кулябов > Стандарты информационной безопасности, 1244.5kb.
• Экзаменационные вопросы по курсу «политология», 36.79kb.
• Политика информационной безопасности в банке, 224.59kb.
• "Политика информационной безопасности деканата сфргуитп", 41.99kb.
• Виртуальное место администратора безопасности информации в автоматизированных системах, 130.69kb.
• 1 Политика и ее роль в жизни общества, 315.83kb.
• Европейская политика соседства Европейская политика соседства, 876.66kb.
• Инструментов маркетинга, 130.06kb.
• Программа вступительного испытания по предмету «Современная экономика и экономическая, 121.62kb.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Файловый обмен.

1. ВВЕДЕНИЕ
   

1. Неконтролируемый файловый обмен – это потенциальная опасная ситуация, которая может привести к потере или разглашению информации составляющей коммерческую тайну, дискредитации института, разглашению персональных данных сотрудников и т.д.
   
2. Цель данной политики – определение правил обмена файлами между пользователями.
   

2. ОБЛАСТЬ ДЕЙСТВИЯ
   

1. Область действия данной политики распространяется на всех пользователей института.
   

3. ПОЛИТИКА
   

1. Любая информация в электронном виде (в том числе файлы), обращающаяся в сети института, принадлежит ему.
   
2. Сотрудники института не могут ожидать конфиденциальности информации в электронном виде для института, включая, но не ограничиваясь, передаваемой по каналам связи принадлежащим институту, хранящейся на рабочих станциях, серверах.
   
3. Пользователям запрещается хранение информации развлекательного характера в своей папке пользователя. Любая подобная информация может быть удалена без дополнительного уведомления.
   
4. Полный доступ к документам пользователя имеет только сам пользователь.
   
5. Доступ к документам пользователя в режиме чтения имеет администратор файлового сервера и специалисты службы информационной безопасности. Данная политика не распространяется на доступ к документам, содержащую конфиденциальную информацию в соответствии с положением «О коммерческой тайне»
   
6. Пользователям запрещается самостоятельно организовывать файловые серверы в независимости от способа их реализации.
   
7. Пользователям запрещается самостоятельно открывать общий доступ к папкам на своем компьютере.
   
8. Для передачи файлов между собой внутри института пользователи должны использовать только свою папку пользователя, электронную почту.
   
9. Запрещается применять любые виды шифрования при передаче файлов, как внутри института, так и за его пределы, кроме лиц, имеющих на это право в соответствии с положением «О коммерческой тайне»
   
10. Допускается шифрование только внешних каналов связи.
    

4. КОНТРОЛЬ
   

1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института в лице заведующего отделом информационных технологий.
   

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Эксплуатация портативных мобильных устройств.

1. ТЕРМИНЫ И НОРМАТИВНЫЕ ССЫЛКИ
   

1. КПК – карманный персональный компьютер(Pocket HC)
   
2. Ноутбук – переносной персональный компьютер (Laptop)
   
3. Гаджет – портативное устройство с ограниченной функциональностью (USB накопители, MP3 плееры, ридеры и т.д.)
   
4. Коммуникатор – телефон с расширенной функциональностью карманного компьютера.
   
5. Мобильные портативные устройства – гаджеты различного типа, КПК, ноутбуки, коммуникаторы.
   

2. ВВЕДЕНИЕ
   

1. В информационной среде мобильные устройства сегодня являются одним из основных источников утечки информации.
   
2. Цель данной политики – определение правил эксплуатации и администрирования мобильных портативных устройств.
   

3. ОБЛАСТЬ ДЕЙСТВИЯ
   

1. Область действия данной политики безопасности распространяется на всех пользователей и на все мобильные портативные устройства, используемые в ИТ инфраструктуре института.
   

4. ПОЛИТИКА
   

1. Все портативные мобильные устройства учтены в реестре аппаратного обеспечения. Данные о вновь приобретаемых мобильных устройствах должны обновляться ежемесячно. Неконтролируемое подключение портативных мобильных устройств к элементам ИТ инфраструктуры института запрещено.
   
2. Подключение собственных мобильных устройств к ИТ инфраструктуре предприятия запрещено, если они не внесены в реестр аппаратного обеспечения.
   
3. Подключение всех портативных устройств контролируется службой ответственной за поддержку инфраструктуры института посредством технических решений на основе данной политики безопасности.
   
4. Предоставление портативных мобильных устройств разрешено по производственной необходимости по заявке пользователя согласно общепринятому алгоритму получения средств вычислительной техники в институте.
   
5. Доступ к портативным мобильным устройствам осуществлять на основе пароля, если это предусмотрено функциональностью устройства. Беспарольная работа на мобильном устройстве при подключении к ИТ инфраструктуре запрещена.
   
6. Портативный персональный компьютер приравнивается к персональному компьютеру, и все требования безопасности, в том числе исправления по безопасности, антивирусное ПО и др., применяются в полной мере.
   
7. Администрирование портативных мобильных устройств осуществляется службой ответственной за поддержку ИТ инфраструктуры института. Ответственность за конфигурирование устройства требованиям информационной безопасности института несет служба, ответственная за поддержку ИТ инфраструктуры института. Ответственность за эксплуатацию устройства несет пользователь.
   

5. КОНТРОЛЬ
   

1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института в лице заведующего отделом информационных технологий.
   

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Политика пользователя.

1. Введение
   

1. Дана политика безопасности заключается:
   
   1. В определении основных правил работы пользователей с компьютерной техникой и корпоративной информационной системой для поддержания необходимого уровня информационной безопасности в институте.
      
   2. В информировании пользователя о том, что любые его действия в корпоративной информационной системе или работа на любом компьютере, входящем в его в ее состав, могут быть запротоколированы и использованы в дальнейшем для проведения служебных проверок.
      
   3. Данная политика является частью политик пользователя, определяющих его права и обязанности.
      

2. ОБЛАСТЬ ПРИМЕНЕНИЯ
   

1. Действие данной политики распространяется на всех работников института.
   

3. ПОЛИТИКА
   

1. Пользователю разрешается выполнять только те действия в корпоративной информационной системе, которые явно разрешены соответствующими политиками информационной безопасности.
   
2. Основные требования к управлению программным обеспечением определяются политикой безопасности «Управление программным обеспечением»
   
3. Всем сотрудникам запрещается создавать или использовать программное обеспечение, модули для программного обеспечения, включенного в перечень разрешенного ПО, в том числе составные части операционных систем, реализующие следующие функции:
   
   1. Нарушение работы серверов или рабочих станций, активного оборудования или отдельных элементов информационных систем
      
   2. Перехватывание/подмена сетевого трафика
      
   3. Получение несанкционированного доступа к серверам, рабочим станциям информационных систем, используя уязвимости или недокументированные функции
      
   4. Запрещается преодолевать любые системы защиты, направленные на разграничение прав доступа, защиты информации составляющей коммерческую тайну, содержащей персональные данные и т.д.
      
   5. Пользователь должен блокировать компьютер, в случае необходимости оставить без присмотра свое рабочее место, если компьютер не блокируется автоматически.
      
   6. Компьютер автоматически блокируется при простое более 10 минут.
      

4. Требования к аппаратному обеспечению:
   
   1. Изменение конфигурации аппаратного обеспечения рабочих станций производится по заявке пользователя, согласованной с начальником подразделения пользователя и ответственным за развитие ИТ инфраструктуры института в лице заведующего отделом информационных технологий.
      
   2. Внесение изменений в конфигурацию рабочих станций института осуществляют специалисты отдела информационных технологий, осуществляющие поддержку ИТ инфраструктуры института
      
   3. Несанкционированное изменение аппаратной конфигурации рабочих станций запрещено и виновное в нарушении лицо может быть привлечено к дисциплинарной ответственности.
      
5. Требования к предоставлению сервисов:
   
   1. Доступ к сервисам для сотрудников института осуществляется на основании согласованного с руководителем подразделения пользователя представления на подключение к ресурсам и услугам.
      
   2. Удаленное подключение к корпоративной сети осуществляется по согласованию с ответственным за информационную безопасность при наличии обоснования необходимости подключения.
      
6. Требования по использованию электронной почты определены в политике безопасности «Политика информационной безопасности. Электронная почта»
   
7. Требования по использованию сети Интернет определены в политике безопасности «Политика информационной безопасности. Интернет»
   
8. Требования по использованию антивирусной защиты определены в политике безопасности «Политика информационной безопасности. Антивирусная защита»
   
9. Требования к файловому обмену данными определены в политике безопасности «Политика информационной безопасности. Файловый обмен»
   
10. Требования к учетным записям в домене и правилам регистрации в домене определены в политике безопасности «Политика информационной безопасности. Управление доменом»
    
11. Требования по эксплуатации портативных мобильных устройств определены в политике безопасности «Политика информационной безопасности. Политика эксплуатации портативных мобильных устройств»
    
12. Пользователи, имеющие привилегию удаленного доступа, должны гарантировать, что их компьютеры, которые удаленно подключены к сети института, не подключены в то же самое время ни в какую другую сеть.
    
13. Пользователи, обладающие удаленным доступом к вычислительной сети института, несут такую же ответственность, как и в случае локального подключения к сети института.
    
14. Пользователь должен знать и выполнять требования всех политик безопасности.
    

4. ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ
   

1. Пользователь имеет право:
   
   1. Требовать постоянной работоспособности рабочей станции
      
   2. Требовать изменения конфигурации рабочей станции в установленном порядке
      
   3. Требовать предоставления ИТ сервиса для выполнения своих должностных обязанностей в установленном порядке согласно п.3.4. данной политики
      
   4. В случае конфликтных ситуаций обращаться к руководству администраторов всех уровней, а также непосредственно к лицу ответственному за информационную безопасность.
      
   5. Пользователь обязан выполнять все пункты данной политики безопасности института, имеющие отношение к их служебной деятельности, определенной должностными инструкциями подразделений.
      

5. КОНТРОЛЬ
   

1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института в лице заведующего отделом информационных технологий.
   

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Архивирование, резервное копирование
и восстановление данных

1. Термины и нормативные ссылки
   

1. Операционное резервное копирование и восстановление данных представляет процесс резервного копирования, создания копии данных на случай потери в результате выхода из строя оборудования, ошибки оператора и т.п.
   
2. Архивирование – это процесс создания копии файла или набора файлов на специально выделенном накопителе, предназначенном для длительного хранения.
   
3. Восстановление после катастроф включает все действия по организации, управлению и автоматизации процесса восстановления после потери (разрушения) информационной инфраструктуры и данных. Это включает процессы перемещения данных в специально отведенные безопасные места, процессы восстановления информационной инфраструктуры и процессы восстановления данных в установленные сроки
   

2. ВВЕДЕНИЕ
   

1. Сегодня, когда бизнес полагается на информационные технологии, данные становятся одним из наиболее важных активов института и определяют его конкурентоспособность. Архивирование данных, разработка планов восстановления является важной частью поддержки ИТ инфраструктуры в целях обеспечения непрерывности бизнеса.
   
2. Цель данной политики – определение правил архивирования, резервного копирования и восстановления данных.
   

3. ОБЛАСТЬ ДЕЙСТВИЯ
   

1. Область действия данной политики распространяется на все критически важные для бизнеса данные сервисов, служб и приложений.
   

4. ПОЛИТИКА
   

1. Требования к архивированию, резервному копированию и восстановлению данных определяется уровнем риска сервиса, требованием к доступности сервиса и устанавливаются следующие:
   
   1. Режим работы сервиса Интернет круглосуточный, время восстановления 2 часа (не по вине провайдера, предоставляющего доступ к сети)
      
   2. Режим работы электронной почты круглосуточный, время восстановления 4 часа (не по вине провайдера, предоставляющего доступ к сети)
      
   3. Режим работы файлового архива круглосуточный, время восстановления 4 часа.
      
   4. Режим работы системы по управлению предприятием круглосуточный, время восстановления 4 часа. Полное ежедневное копирование базы данных и хранение в течение 30 дней. 2 раза в год полное копирование и хранение в течение 5 лет.
      

5. КОНТРОЛЬ
   

1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института в лице заведующего отделом информационных технологий.