Политики безопасности компании при работе в Интернет
Шрифт:
Администратор Web-cepeepa сети обязан следить за исправным функционированием Web-серверов, выполнять все распоряжения и указания руководителя группы, оказывать ему помощь в поддержании интернет/интранет-технологий в работоспособном состоянии; оставаясь за старшего группы, выполнять его обязанности. Инструкция для пользователя интернет/интранет-технологий сети
Пользователь интернет/интранет-технологий сети компании X назначается приказом по подразделению.
Он отвечает за корректное использование интернет/интранет-технологий сети в служебных целях, поддержание в работоспособном состоянии программного обеспечения серверов и клиентов, а также за выполнение принятой политики безопасности сети.
Пользователь интернет/интранет-технологий сети подчиняется начальнику подразделения и его заместителю, а в порядке работы в сети – сотрудникам-администраторам группы интернет-технологий.
Пользователь интернет/интранет-технологий сети обязан:
• использовать интернет только в служебных целях;
• осуществлять выход в Интернет через шлюзы сети, используя рекомендованное ПО;
• не пытаться обойти брандмауэр с помощью модемов или программ сетевого туннелирования;
• при разрешенном удаленном доступе к сети использовать усиленную аутентификацию (одноразовые пароли, информационные подписи, асимметричные ключи);
• не пытаться подключиться к объявленным сайтам, запрещенным для доступа;
• использовать программы поиска WWW, FTP
• работать на Web-браузерах, разрешенных администратором безопасности сети;
• проверять все загружаемые файлы WWW на наличие вирусов;
• не обрабатывать на своих Web-браузерах программы Java, JavaScript и ActiveX, не утвержденные начальником ИТ-службы;
• проверять каждый загружаемый файл на наличие вирусов и закладок;
• предоставлять информацию для опубликования на Web-cepeepe только в служебных целях;
• не устанавливать и не запускать Web-серверы;
• соблюдать порядок и правила утверждения официальных документов, установленные в сети;
• при участии в проектах использовать только специальные Web-страницы;
• не использовать электронную почту в личных целях, в ущерб деятельности и политики безопасности сети компании;
• помнить, что все электронные письма, создаваемые и хранимые на компьютерах, являются собственностью компании и не считаются персональными;
• получить личный адрес и пароль у администратора электронной почты сети;
• для отправления электронной почты регистрироваться путем ввода своего имени и пароля на своем браузере по адресу: http://*******;
• не использовать адреса в письмах-«пирамидах»;
• использовать только утвержденные почтовые службы;
• не использовать анонимные адреса;
• не разрешать никому от своего имени посылать письма;
• при отправлении утвержденной конфиденциальной информации использовать доступные механизмы шифрования, аутентификации и сертификации.
Пользователь интернет/интранет-технологий сети обязан помнить, что в соответствии с приказом директора компании X, лица участвующие в передаче по Интернету информации, составляющей коммерческую тайну, несут персональную ответственность.Рекомендуемая политика безопасности компьютерной сети компании X Таблица П6.1. Регламент доступа компьютерной сети предприятия к Интернету
Окончание табл. П6.2
Приложение 7 ПЕРЕЧЕНЬ ЗАКОНОДАТЕЛЬНЫХ АКТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Нормативно-правовые акты
• Конституция Российской Федерации, 1993 г.
• Гражданский кодекс Российской Федерации, часть I, 1994 г.
• Гражданский кодекс Российской Федерации, часть II, 1995 г.
• Уголовный кодекс Российской Федерации, 1996 г.
• Постановление Пленума Верховного Суда РФ и Высшего Арбитражного Суда РФ «О некоторых вопросах, связанных с применением части I ГК РФ», № 6/8, 1996 г.
• Концепция национальной безопасности Российской Федерации, утверждена Президентом РФ № Пр-1300, 1997 г.
• Доктрина информационной безопасности Российской Федерации, утверждена Президентом РФ № Пр-1895, 2000 г.
• Уголовно-Процессуальный кодекс Российской Федерации, 2001 г.
• Кодекс Российской Федерации об административных правонарушениях, 2001 г.Федеральные законы
• Федеральный закон «О средствах массовой информации», № 2224-1,1991 г
• Закон «О безопасности», № 2446-1, 1992 г.
• Закон «О государственной тайне», № 5485-1, 1993 г.
• Федеральный закон «О статусе депутата СФ и статусе депутата ГД ФС РФ», № З-ФЗ, 1994 г.
• Федеральный закон «О связи», № 126-ФЗ, 2003 г.
• Федеральный закон «Об основах государственной службы», № 20-ФЗ, 1995 г.
• Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995 г.
• Федеральный закон «Об органах федеральной службы безопасности РФ», № 40-ФЗ, 1995 г.
• Федеральный закон «Об участии в международном информационном обмене», № 85-ФЗ, 1995 г.
• Федеральный закон «Об оперативно-розыскной деятельности», № 144-ФЗ, 1995 г.
• Федеральный закон «О прокуратуре Российской Федерации», № 168-ФЗ, 1995 г.
• Федеральный закон «О лицензировании отдельных видов деятельности» (с изменениями от 13.03.2002 г.), № 128-ФЗ, 2001 г.
• Федеральный закон «Об электронной цифровой подписи», № 1-ФЗ, 2002 г.
• Федеральный закон «О техническом регулировании», № 184-ФЗ, 2002 г.
• Федеральный закон «О коммерческой тайне», № 98-ФЗ, 2004 г.Указы Президента РФ
• Указ Президента РФ «Об основах государственной политики в сфере информатизации», № 170, 1994 г.
• Указ Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации», № 334, 1995 г.
• Указ Президента РФ «Об утверждении перечня сведений, отнесенных к государственной тайне», № 1203, 1995 г.
• Указ Президента РФ «Вопросы межведомственной комиссии по защите государственной тайны», № 71, 1996 г.
• Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера», № 188, 1997 г.
• Указ Президента РФ «Об утверждении концепции национальной безопасности РФ», № 1300, 1997 г.
• Указ Президента РФ «Вопросы государственной технической комиссии при Президенте РФ», № 212, 1999 г.
• Указ Президента РФ «О составе межведомственной комиссии по защите государственной тайны по должностям», № 1467, 1999 г.
• Распоряжение Президента РФ «Об утверждении Перечня лиц органов государственной власти Российской Федерации, наделенных полномочиями по отнесению сведений к государственной тайне», № 6, 2000 г.Постановления Правительства РФ
• Постановление Правительства РСФСФ «О перечне сведений, которые не могут составлять коммерческую тайну», № 35, 1991 г.
• Постановление Совета Министров – Правительства РФ «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», № 912-51, 1993 г.
• Постановление Правительства РФ «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», № 1233, 1994 г.
• Постановление Правительства РФ «Об утверждении Положения о сертификации средств защиты информации», № 608, 1995 г.
• Постановление Правительства РФ «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», № 333, 1995 г. (с изменениями от 29 июля 1998 г.).
• Постановление Правительства РФ «О лицензировании деятельности по международному техническому обмену», № 564, 1998 г.
• Постановление Правительства РФ «О лицензировании отдельных видов деятельности», № 135, 2002 г.
• Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации», № 290, 2002 г.
• Постановление Правительства РФ «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации», № 348, 2002 г.
• Постановление Правительства РФ «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами», № 691, 2002 г.ГОСТ и Руководящие документы Гостехкомиссии (ФСТЭК)
• ГОСТ ВД 21552-84. «СВТ. ОТТ, правила приемки, методы испытаний, маркировка, упаковка, транспортирование и хранение».
• ГОСТ ВД 16325-88. «Машины вычислительные электронные цифровые общего назначения. ОТТ».
• ГОСТ 34.201-89. «ИТ. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС».
• ГОСТ 34.602-89. «ИТ. Комплекс стандартов на АС. Техническое задание на создание АС».
• ГОСТ 34.003-90. «ИТ. Комплекс стандартов на АС. Термины и определения».
• ГОСТ 29339-92. «ИТ. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ. Общие технические требования».
• Положение по аттестации объектов информатизации по требованиям безопасности информации, Гостехкомиссия России, 1994 г.
• ГОСТ Р 50739-95. «СВТ. Защита от несанкционированного доступа к информации. Общие технические требования».
• ГОСТ Р 50752-95. «ИТ. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ. Методы испытаний».
• ГОСТ Р 50922-96. «ЗИ. Основные термины и определения».!!!!!!
• ОСТ 4.0029-97. «Защита информации от технических разведок. Волоконно-оптические системы передачи. Технические требования по защите используемых компонентов от побочных излучений».
• ОСТ 4.0030-97. «Защита информации от технических разведок. Волоконно-оптические системы передачи. Технические требования по защите от побочного излучения».
• Решение Гостехкомиссии России и ФАПСИ «Положение о государственном лицензировании деятельности в области защиты информации» (с дополнением), № 10, 1997 г.
• ГОСТ Р 51188-98. «ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство».
• Руководящий документ. «АС. Защита от НСД к информации. Классификация АС и требования по защите информации», Гостехкомиссия России, 1998 г.
• Руководящий документ. «Концепция защиты СВТ и АС от НСД к информации», Гостехкомиссия России, 1998 г.
• Руководящий документ. «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации», Гостехкомиссия России, 1998 г.
Руководящий документ. «СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации», Гостехкомиссия России, 1998 г.
• Руководящий документ. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации. Сборник руководящих документов по защите информации от несанкционированного доступа», Гостехкомиссия России, 1998 г.
• Руководящий документ. «Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, 1999 г.
• ГОСТ Р 51275-99. «ЗИ. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
• ГОСТ Р 51318.22–99 (СИСПР 2297). «Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационных технологий. Нормы и методы испытаний».
• ГОСТ Р ИСО 7498-1-99 «ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель».
• ГОСТ Р ИСО 7498-2-99 «ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации».
• ГОСТ Р 51583-00. ЗИ. «Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
• ГОСТ Р 51624-00. «ЗИ. Автоматизированные системы в защищенном исполнении. Общие требования».
• ГОСТ Р ИСО/МЭК 15408-1-2002. «ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
• ГОСТ Р ИСО/МЭК 15408-2-2002. «ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
• ГОСТ Р ИСО/МЭК 15408-3-2002. «ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, 2002 г. Руководящий документ. «Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности». Гостехкомиссия России, 2003 г.
• Руководящий документ. «Безопасность информационных технологий. Руководство по регистрации профилей защиты». Гостехкомиссия России, 2003 г.
• Руководящий документ. «Безопасность информационных технологий. Руководство по формированию семейств профилей защиты». Гостехкомиссия России, 2003 г.
• Руководящий документ. «Руководство по разработке профилей защиты и заданий по безопасности». Гостехкомиссия России, 2003 г.Примечания
1
ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»; ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».
2
Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995 г., ст. 2; Конституция Российской Федерации, ст. 23; Гражданский кодекс Российской Федерации, часть I, ст. 139, 128.
3
Международные стандарты безопасности ISO разработаны the International Organization for Stan– dartization (ISO) и the International Electrotechnical Commission (IEC). В России стандарты ISO пока не являются общепринятыми, за исключением ISO 15408, адаптированная версия которого была принята Госстандартом и Гостехкомиссией летом 2002 года. ISO не вступают в противоречие с действующими в РФ стандартами и рекомендациями Гостехкомиссии при Президенте РФ, ФАПСИ и рекомендуются к применению ведущими специалистами в области информационной безопасности. Тексты ISO можно найти по адресу: www.iso.org.
4
УК РФ, 1996 г., ст. 183, 272–274.
5
Румянцев О.Г., Додонов В.Н. Юридический энциклопедический словарь. М.: ИНФРА-М, 1997.
6
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»; Постановление Правительства РСФСР от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».
7
См. сноски 1, 2.
8
Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995, ст. 2.
9
Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995, ст. 2; Конституция Российской Федерации, ст. 23.
10
Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995, ст. 2; Конституция Российской Федерации, ст. 23., Гражданский кодекс РФ, часть I, ст. 139, 128.
11
Остальные шаблоны политик безопасности SANS см. в Приложении 4.
12
Полный текст нового стандарта см.: «Вестник Банка России». 2004. № 68 (792).