11 июня 2021 г.

Трёхстраничная Политика ИБ для малого бизнеса

Общие положения

Настоящая Политика информационной безопасности (далее Политика ИБ) содержит рекомендации и правила, направленные на снижение рисков нанесения финансового ущерба организации и её репутации, умышленного или по неосторожности (халатности) разглашения информации, несанкционированное распространение которой запрещено законами Российской Федерации (далее - РФ) и внутренними нормативными документами организации (далее - защищаемая информация).

Работники организации несут ответственность за правонарушения с использованием систем автоматизированной обработки информации в соответствии с положениями статей 272, 273, 274 Уголовного кодекса РФ.

Защита информации

Компьютеры пользователей, подключенные к сети Интернет, являются основным вектором атак злоумышленников на организацию.

Для защиты информации организация использует стандартные в своей отрасли технические и организационные меры. Все корпоративные данные хранятся на контролируемых серверах с ограниченным доступом. Передача защищаемой информации деловым партнёрам и поставщикам организации оформляется надлежащими соглашениями о конфиденциальности (NDA).

Передача защищаемой информации через незащищенное соединение в сети Интернет осуществляется только при условии обеспечения защиты указанной информации от раскрытия и модификации.

Работники организации принимают все доступные им меры для обеспечения гарантии безопасности и конфиденциальности защищаемой информации, за которую они несут ответственность, и которая им стала известна.

В организации доступ к корпоративным ресурсам разрешён только для работников, прошедших установленную процедуру согласования доступа. Права предоставляются в соответствии со служебной необходимостью, определяемой руководством. Все полномочия по доступу являются персональными, указанными явно и проверенными ответственным лицом организации перед предоставлением доступа.

По запросу на доступ к корпоративным ресурсам предоставляются полномочия минимально необходимые для реализации данного запроса.  Принцип наименьших привилегий требует, чтобы в информационной системе, приложении или корпоративной сети пользователь имел возможность доступа только к той информации и ресурсам, которые необходимы для выполнения его служебных обязанностей.

Защита от вредоносного ПО

В организации используются средства для защиты от вредоносного ПО (антивирусы). Однако, только антивирусной защиты в случае использования сети Интернет, недостаточно, так как существуют угрозы, которые могут не обнаруживаться антивирусами. Поэтому очень важно помнить о том, что нельзя открывать вложения в электронных письмах или переходить по ссылкам, полученным от неизвестных отправителей, а также загружать файлы с подозрительных сайтов в сети Интернет.

С целью защиты от киберугроз, в организации применяются механизмы блокирования нежелательных веб-ресурсов.

Поведение в сети Интернет

Не посещайте сомнительные ресурсы в сети Интернет.

Не размещайте в сети Интернет информацию, которая может навредить интересам компании, где вы работаете, и(или) вам лично.

На всех платформах в сети Интернет, где у вас есть аккаунты и где позволяет соответствующий сервис, необходимо включать двухфакторную аутентификацию. Эта мера может помочь, если пароль для входа в аккаунт стал известен третьим лицам.

Не сообщайте в социальных сетях персональный адрес корпоративной электронной почты в неслужебных целях.

    Не подписывайтесь на рассылку информации неслужебного характера на персональный адрес корпоративной электронной почты.

Не обсуждайте в социальных сетях подробности вашей работы.

Используйте отдельную карту для покупок в сети Интернет и пополняйте эту карту денежной суммой, которую планируете потратить.

Пароли

Для получения доступа к корпоративной сети организации, к закрытым сервисам и программам требуется ввести имя пользователя (login) и пароль. Работник организации самостоятельно отвечает за сохранение в тайне сведений об его имени как пользователя и пароле.

Пароли пользователя организации должны удовлетворять следующим условиям:

-длина пароля должна составлять не менее восьми символов;

-в пароле должны присутствовать большие и маленькие буквы латинского алфавита, цифры и спецсимволы;

-время действия пароля должно составлять не более 90 дней;

-пароли от разных систем и сервисов не должны повторяться.

При подозрении на компрометацию своего пароля работник должен незамедлительно сообщить об этом своему руководителю.

Обновление программ

На рабочем компьютере настроено автоматическое обновление всех программ, включая операционную систему компьютера. Если обновления устанавливаются вручную, дистрибутивы скачиваются только с сайтов производителей.

Программное обеспечение организации необходимо дополнять инструментами, которые будут отслеживать наличие уязвимостей и отсутствие обновлений в программах и операционных системах, поскольку злоумышленники нередко используют уязвимости, чтобы проникнуть на рабочие станции пользователей, а затем в корпоративную сеть организации.

Мобильные устройства*

Использование личных мобильных устройств в рабочих целях, несёт дополнительные риски, связанные с защитой информации.

Не оставляйте мобильные устройства без присмотра в общественном месте и не передавайте их никому в пользование.

Не создавайте на мобильных устройствах (корпоративных и личных) дополнительные (нелегитимные) сети (например: Wi-Fi) с целью передачи/получения информации.

*Под мобильными устройствами в данном контексте подразумеваются любые переносимые устройства: ноутбуки, смартфоны, планшеты и прочее.

Шифрование

Если на ваших устройствах хранится защищаемая информация, их следует шифровать, чтобы никто не смог ими воспользоваться в случае потери или кражи устройства.

Для защиты электронных сообщений от доступа к ним посторонних лиц при передаче по незащищенным каналам связи применяется шифрование.

Электронная почта

Не открывайте электронные сообщения от незнакомых отравителей.

Корпоративная электронная почта используется только для деловой переписки между работниками и контрагентами. Для организации совместной работы на основе электронной почты применяется программное обеспечение "Microsoft Office Outlook".

Работа с носителями информации

Каждый работник несет персональную ответственность за использование носителей информации и обязан обеспечить их безопасное хранение. Категорически запрещается снимать несанкционированные копии с носителей с защищаемой информацией, знакомить с содержанием указанной информации лиц, не допущенных к работе с этой информацией, выносить оборудование, носители информации (в том числе бумажные) и программы за пределы организации без письменного разрешения руководства (в том числе для технического обслуживания, ремонта или утилизации).

Всегда принудительно проверяйте с помощью средств антивирусной защиты съёмные носители информации после использования их вне офиса.

Используйте только разрешенные к применению носители информации.

Защита данных на рабочих станциях пользователей и серверах

Объекты информационной инфраструктуры (в том числе, рабочие станции), прикладное программное обеспечение, технологии обработки защищаемой информации являются собственностью организации и могут быть использованы только в служебных целях.

Покидая рабочее место, не забывайте блокировать компьютер нажатием комбинации клавиш CTRL-ALT-DEL.

Не оставляйте гостей на территории организации без сопровождения. Не забывайте закрывать двери в помещение, в которую посторонним вход воспрещен.

Измельчайте все бумажные документы, содержащие защищаемую информацию. Не забывайте распечатанные документы в принтере.


Лист ознакомления работниками организации с Политикой ИБ прилагается.

1 комментарий:

  1. Я бы назвал её скорее политика безопасного использования ИТ,
    но всё равно спасибо

    ОтветитьУдалить