- •Фаградян Эдуард 1гр.1 курс юристы Политика информационной безопасности
- •1. Общие положения.
- •2. Формирование Перечня сведений, составляющих коммерческую тайну Организации.
- •3. Анализ угроз информационной безопасности Организации и модель действия нарушителя.
- •3. Модель действия нарушителя информационной безопасности.
- •4. Требования к системе защиты информации.
- •6. Подбор персонала и ответственность за нарушение режима информационной безопасности.
- •7. Доступ сотрудников Организации к сведениям, составляющим Коммерческую тайну.
- •8. Работа с документами, содержащими Коммерческую тайну.
- •9. Правила размещения элементов компьютерной сети.
- •10. Обеспечение режима информационной безопасности при работе с ресурсами Интернет и электронной почтой.
- •11. Обеспечение режима информационной безопасности на рабочих станциях.
- •12. Применение парольной защиты.
- •13. Антивирусная безопасность.
- •14. Резервное копирование.
- •15. Обеспечение режима конфиденциальности при проведении совещаний.
9. Правила размещения элементов компьютерной сети.
Под элементами компьютерной сети следует понимать следующее оборудование:
Съемные машинные носители, на которых производится запись конфиденциальных сведений;
Рабочие станции и сервера Организации;
Сетевое оборудование (маршрутизаторы, коммутаторы);
Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования).
Условия размещения элементов компьютерной сети должны обеспечивать:
Сохранность элементов компьютерной сети;
Исключение возможности несанкционированного доступа посторонних лиц.
Помещения, в которых расположены элементы компьютерной сети, должны удовлетворять следующим требованиям:
Входные двери должны быть оборудованы замками, гарантирующими надежное закрытие помещений в нерабочее время;
Помещения должны быть оборудованы охранной и пожарной сигнализацией, с выводом сигнала тревоги на пульт охраны;
Условия размещения оборудования должны соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.
9.10. Входная дверь серверной оборудуется системой контроля доступа и доводчиком двери. Запасные ключи от серверной хранятся в опечатанном пенале в сейфе у начальника Службы безопасности.
10. Обеспечение режима информационной безопасности при работе с ресурсами Интернет и электронной почтой.
Подключение к сети Интернет.
Подключение корпоративной сети Организации к сети Интернет должно осуществляться только через межсетевой экран.
Весь входящий и исходящий трафик Организации должен проходить через фильтры межсетевого экрана.
Межсетевой экран администрируется локально или удаленно с фиксированного адреса администратора.
В настройке межсетевого экрана должны быть закрыты все не используемые сервисы и протоколы. Необходимо постоянно обновляться программное обеспечение межсетевого экрана, устанавливать все дополнения и обновления. Для межсетевого экрана допускается только один пользователь - администратор, остальные пользователи должны быть удалены или заблокированы.
Серверы с размещенными на них Интернет сервисами должны размещаться в демилитаризованной зоне, созданной межсетевым экраном.
Доступ к FTP должен быть разрешен только изнутри наружу и только определенному кругу пользователей. При необходимости доступа снаружи внутрь должна использоваться усиленная аутентификация.
Доступ пользователей к сети Интернет должен осуществляться только через прокси сервер Организации.
Межсетевой экран и прокси сервер должны вести детальные системные журналы всех сеансов. Доступ к журналам должны иметь ограниченное число сотрудников Организации.
На Межсетевом экране и/или прокси сервере должны вестись "Стоп листы" ресурсов Интернет сомнительного содержания.
Межсетевой экран или прокси сервер должен разрешать загрузку только тех программ на ActiveX, Java, Javascript, которые разрешены.
Настройки межсетевого экрана или прокси сервера должны запрещать загрузку программного обеспечения, кроме ограниченного круга пользователей.
Операционные системы и программное обеспечение Интернет серверов Организации должны содержать все исправления, рекомендованные производителем.
Интернет серверы Организации, работающие под UNIX подобными операционными системами, не должны запускаться с правами суперпользователя.
Безопасность WWW сервера Организации.
Все общедоступные WWW-сервера Организации, подключенные к Интернету, должны находиться в демилитаризованной зоне либо вне зоны корпоративной сети. Сведения ограниченного распространения не должны размещаться на публичном WWW сервере Организации.
Перед публикацией на WWW сервере Организации информация, должна быть просмотрена и утверждена так же, как утверждаются официальные документы Организации.
Все публично доступные WWW сервера Организации должны регулярно тестироваться на предмет корректности ссылок.
Доступ пользователей в сеть Интернет.
Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись следующие правила:
доступ к Интернету должен осуществляться только через прокси сервер Организации;
каждый загружаемый файл должен проверяться на вирусы и троянские программы;
пользователям без особого разрешения запрещается устанавливать и использовать внешние почтовые сервера и внешние прокси сервера.
Использование электронной почты.
Электронные документы, содержащие конфиденциальную информацию, не должны отправляться с помощью электронной почты, по открытым каналам в не зашифрованном виде.
Пользователи могут использоваться только разрешенные администратором сети почтовые программы.
Никто из посетителей Организации или временных сотрудников не имеет права использовать электронную почту Организации.
Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не домену Организации.
Связь с территориально удаленными подразделениями Организации должна осуществляться только по закрытым каналам связи с использованием средств криптографической защиты информации.
10.5. Контроль выполнения мероприятий по информационной безопасности при работе в сети Интернет и использованию электронной почты возлагается на администратора компьютерной сети.