Политики безопасности компании при работе в Интернет
Шрифт:
18) политика экстранета,
19) политика этики,
20) политика лаборатории антивирусной защиты.
1. Политика допустимого шифрования
Цель
Основной задачей этой политики является определение разрешенных к использованию алгоритмов шифрования. Политика обеспечивает гарантии соблюдения федеральных законов и юридического разрешения для распространения и использования технологий шифрования за пределами США.
Область действия Политика обязательна для всех сотрудников компании.
Суть политики
Для шифрования должны быть использованы испытанные стандартные алгоритмы типа DES, Blowfish, RSA, RC5 и IDEA. Эти алгоритмы могут быть использованы в приложениях, разрешенных к применению в компании. Например, PGP производства NAI применяет комбинацию IDEA и RSA или Diffie-Hellman, в то время как SSL – шифрование RSA. Ключи для симметричного шифрования должны иметь длину как минимум 56 бит. Ключи для асимметричного шифрования должны иметь длину, соответствующую аналогичной стойкости. Требования к длине ключей должны пересматриваться в компании ежегодно.
Использование других алгоритмов шифрования разрешено, если это рекомендовано квалифицированной группой экспертов и получено разрешение отдела информационной безопасности. Экспорт технологий шифрования за пределы США ограничен экспортными законами. Резиденты за пределами США,Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Симметричное шифрование – метод шифрования, при котором один и тот же ключ используется и для шифрования, и для дешифрования.
Асимметричное шифрование – метод шифрования, при котором один ключ используется для шифрования, а другой – для дешифрования.
2. Политика допустимого использования Основной задачей издания этой политики отделом информационной безопасности является не наложение ограничений на установленную в компании культуру открытости, доверия и целостности, а защита сотрудников и партнеров компании от преднамеренных и непреднамеренных противоправных действий со стороны других людей. Системы компании, связанные с Интернетом/интранетом/экстранетом, включая компьютерное оборудование, программное обеспечение, операционные системы, системы хранения данных, учетные записи для доступа к электронной почте, к Web-pecypcaм, являются собственностью компании. Эти системы должны использоваться только с деловой целью в интересах компании и ее клиентов.Цель Цель этой политики состоит в определении допустимого использования компьютерного оборудования в компании. Эти правила предназначены для защиты компании и ее сотрудников, чтобы не подвергать их рискам, включая вирусные атаки, взлом систем, и не допускать возникновения юридических проблем.
Область действия Политика обязательна для всех сотрудников, подрядчиков, консультантов, временных сотрудников и других работающих в компании, включая весь персонал сторонних компаний, пользующихся информационными системами или оборудованием компании. Положения этой политики относятся и ко всему оборудованию, которое является собственностью компании или взято ею в аренду.
Суть политики
Общие вопросы использования и владения:
• администраторы корпоративной сети стремятся обеспечить разумный уровень конфиденциальности передаваемых сотрудниками данных, а сотрудники должны знать, что данные, которые они создают в корпоративных системах, являются собственностью компании. Из-за необходимости обеспечения безопасности корпоративной сети компании, руководство не может гарантировать конфиденциальность информации, хранимой на любом устройстве сети, принадлежащем компании;
• сотрудники ответственны за использование ресурсов компании в личных целях. Отделы ответственны за создание руководящих документов по использованию ресурсов компании в личных целях. При отсутствии таких политик сотрудникам следует руководствоваться требованиями и положениями политик более высокого уровня, в случае возникновения вопросов необходимо обращаться к своему непосредственному начальнику;
• отдел информационной безопасности рекомендует, чтобы любая информация, которую сотрудники считают важной, была зашифрована. В качестве руководства по классификации информации и ее защите используйте политику по защите информации отдела информационной безопасности. По вопросам шифрования сообщений электронной почты и документов используйте ознакомительные программы, разработанные отделом информационной безопасности;
• в соответствии с политикой аудита уязвимостей, определен список людей, имеющих право мониторинга оборудования, информационных систем и сетевого трафика в любое время;
• компания имеет право периодически проводить аудит корпоративной сети и информационных систем для проверки выполнения этой политики.Безопасность и конфиденциальная информация компании:
• пользовательские интерфейсы для доступа к корпоративной информации должны быть классифицированы как конфиденциальные или неконфиденциальные в соответствии с руководящими документами по вопросам конфиденциальности, которые находятся в отделе кадров. Конфиденциальной информацией могут быть списки клиентов, планы стратегического развития, торговые секреты и т. д. Сотрудники должны принять все необходимые меры, чтобы предотвратить неправомочный доступ к этой информации;
• сотрудники компании ответственны за безопасность их паролей и учетных записей. Пароли системного уровня должны изменяться один раз в квартал, пароли учетных записей сотрудников должны изменяться раз в шесть месяцев;
• при появлении у сотрудника необходимости оставить рабочее место без присмотра все серверы, портативные компьютеры и автоматизированные рабочие места должны быть защищены включением скринсейвера с паролем, активирующимся после 10 или менее минут бездействия, или путем выхода из системы (logging-off);
• шифрование используется в соответствии с политикой допустимого шифрования отдела информационной безопасности;
• поскольку информация, содержащаяся в портативных компьютерах, более уязвима, необходимо предпринимать усиленные меры безопасности;
• при использовании корпоративной электронной почты сотрудники должны указывать, что выраженные ими мнения являются только их собственными и не представляют собой точку зрения компании, кроме случаев, когда они выполняют при этом свои деловые обязанности;
• все компьютеры, используемые сотрудниками для доступа к ресурсам компании, независимо от того, являются они собственностью компании или принадлежат сотруднику, должны иметь утвержденное отделом безопасности информации антивирусное программное обеспечение с самой последней базой обновлений;
• сотрудники должны быть особенно внимательны при открытии вложений в сообщениях электронной почты, полученных от неизвестных отправителей, так как они могут содержать вирусы, почтовые «бомбы» или программы типа «Троянский конь».Запрещается! Список, представленный ниже, не является исчерпывающим, но здесь сделана попытка определить действия, которые попадают в категорию запрещенных:
в сфере действий в корпоративной сети
• нарушения прав любого человека или компании, защищенных авторским правом, законами о торговых секретах, патентами или другим законом о защите интеллектуальной собственности, включая установку или распространение «пиратского» или другого программного обеспечения, которые не лицензировано для использования в компании;
• неправомочное копирование защищенного авторским правом материала, включая преобразование в цифровую форму и распространение фотографий из журналов, книг или других защищенных авторским правом источников, музыки и установка любого защищенного авторским правом программного обеспечения, для которого компания или данный сотрудник не имеют действующей лицензии;
• экспорт программного обеспечения, технической информации, программного обеспечения по шифрованию данных или технологии в нарушение международных или региональных экспортных законов. Перед экспортированием любого материала руководство должно проконсультироваться с соответствующими органами;
• запуск злонамеренных программ в сети или на компьютере (например, вирусов, «червей», «Троянских коней», почтовых «бомб», и т. д.);
• разглашение ваших паролей другим сотрудникам или разрешение пользоваться кому-либо вашей учетной записью или паролями. Сюда относятся и члены семьи, если работа выполняется дома;
• использование корпоративных ресурсов для создания, передачи или хранения материалов сексуального, религиозного и другого характера, не относящихся к выполнению служебных обязанностей;
• мошеннические предложения изделий, продуктов или услуг с использованием учетной записи пользователя компании;
• создание заявления о гарантиях, явных или подразумеваемых, если это не является частью обязанностей при выполнении работы;
• нарушение безопасности корпоративной сети: получение доступа к данным, к которым сотрудник не должен его иметь; регистрация на ресурсах, к которым сотруднику явно не разрешен доступ; прослушивание сетевого трафика; выполнение различных атак на ресурсы компании и т. д.;
• сканирование портов или поиск уязвимостей, если на это не получено разрешение от отдела информационной безопасности;
• выполнение любой формы мониторинга сети с перехватом данных, не направленных на компьютер сотрудника, если эта деятельность не является частью его обязанностей;
• попытки обхода систем установления подлинности или безопасности приложений, операционных систем и оборудования;
• попытки ограничения доступа сотрудников к корпоративным ресурсам, за исключением компьютера сотрудника;
• использование программ/скриптов/команд или отправки сообщений любого вида с намерением ограничить доступ или разорвать сессию другого сотрудника;
• разглашение списка сотрудников компании сторонним организациям или лицам;в сфере, связанной с передачей информации в электронном виде
• посылка сообщений электронной почты с незапрашиваемой получателем информацией (junk-mail) или рекламного материала кому-либо без его просьбы (спам электронной почты);
• любая форма преследования через электронную почту, телефон или пейджер;
• неправомерное использование или подделывание заголовков почтовых сообщений;
• подслушивание сообщений электронной почты других сотрудников;
• создание или отправление «цепочек писем» или других писем по схеме типа «пирамида»;
• использование электронной почты других поставщиков интернет-услуг для рекламирования услуг и продуктов своей компании;
• отправка не относящихся к бизнесу сообщений большому количеству участников новостных групп (спам новостных групп).Ни при каких обстоятельствах сотрудник компании не должен участвовать в любой деятельности, которая является незаконной по местным, федеральным или международным законам с использованием средств и ресурсов компании.
Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.
Термины и определения
Спам – неразрешенные и/или незапрашиваемые массовые отправки электронных почтовых сообщений.
3. Руководство по антивирусной защитеДля предупреждения вирусного заражения рекомендуется:
• использовать на своих компьютерах рекомендованное в качестве стандарта для компании антивирусное программное обеспечение. Базы вирусных сигнатур должны обновляться регулярно;
• никогда не открывать файлы и не выполнять макросы, полученные в почтовых сообщениях от неизвестного или подозрительного отправителя. Удалять подозрительные вложения, не открывая их, и очищать корзину, где хранятся удаленные сообщения;
• удалять спам, рекламу и другие бесполезные сообщения, как описано в политике допустимого использования;
• никогда не загружать файлы и программное обеспечение из подозрительных или неизвестных источников;
• не допускать предоставления дисков в совместное использование на чтение/запись, если только это не абсолютно необходимо;
• всегда проверять дискеты на наличие вирусов;
• периодически резервировать важные данные и системную конфигурацию, хранить резервные копии в безопасном месте;
• если при тестировании в лаборатории происходит конфликт с антивирусным программным обеспечением, то можно его отключить, провести тестирование и сразу включить обратно. При отключенном антивирусном программном обеспечении не выполнять никаких приложений, которые могут привести к распространению вируса (например, почтовые программы);
• периодически проверять политику лаборатории антивирусной защиты и данное руководство на предмет обновлений, так как новые вирусы появляются почти каждый день.
4. Политика хранения электронной почтыЦель
Политика хранения электронной почты предназначена для помощи сотрудникам в определении, какая информация, посланная или полученная по электронной почте, должна быть сохранена и на какой срок.
По вопросам надлежащей классификации информации следует обращаться к вашему менеджеру. По вопросам, связанным с этой политикой, нужно обращаться в отдел информационной безопасности.
Вся информация, содержащаяся в сообщениях электронной почты, разделена на четыре основные категории, определяющие время хранения:
• административная корреспонденция – 4 года;
• финансовая корреспонденция – 4 года;
• общая корреспонденция – 1 год;
• недолговечная корреспонденция (хранят, пока не прочитают, потом уничтожают).Суть политики
Административная корреспонденция. Административная корреспонденция компании включает (но не ограничена этим) информацию об отпусках, поведении на рабочем месте и о любых юридических проблемах, например о нарушении интеллектуальной собственности. Вся электронная почта с пометкой «Для руководства» будет рассматриваться как административная корреспонденция. Для гарантии сохранения административной корреспонденции создан почтовый ящик admin@CompanyName. при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.
Финансовая корреспонденция. Финансовая корреспонденция – вся информация, связанная с доходами и расходами компании. Для гарантии сохранения финансовой корреспонденции создан почтовый ящик fiscal@CompanyName. при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.
Общая корреспонденция. К общей корреспонденции относится информация, которая имеет отношение к взаимодействию с клиентами. Каждый сотрудник ответственен за хранение электронной почты такого типа.
Недолговечная корреспонденция. Недолговечная корреспонденция, безусловно, наиболее объемная категория, включающая личную электронную почту, запросы или рассылки, электронную почту, связанную с разработкой продуктов и услуг и т. д.
Службы мгновенного обмена сообщениями. Общая корреспонденция, проходящая через службы мгновенного обмена сообщениями, может быть сохранена с использованием функции журналирования службы или путем копирования в файл. Сообщения, проходящие через службу мгновенного обмена сообщениями, которые являются административными или финансовыми, должны быть скопированы и отправлены по электронной почте на соответствующий адрес для хранения.
Шифрование сообщений. Шифрование сообщений должно соответствовать политике обработки и хранения информации, но, вообще, информация должна храниться в незашифрованном виде.
Восстановление удаленных почтовых сообщений с использованием резервных копий. Отдел информационных технологий отвечает за поддержание резервных копий в актуальном состоянии с хранением копий за пределами компании.