Политика информационной безопасности

Делопроизводство и работа с  документами, содержащими сведения, вошедшие в Перечень, является составной  частью режима информационной безопасности. К разработке таких документов на бумажных носителях следует прибегать лишь в случаях действительной необходимости, когда нет условий для осуществления личного общения, осуществления обмена электронными документами или когда существуют нормативные документы, предписывающие представление документа на бумажном носителе.

Работа сотрудников Организации с конфиденциальными документами должна производиться в служебных помещениях Организации.

По окончании рабочего дня каждый исполнитель обязан проверить наличие  находящихся у него конфиденциальных документов.

Конфиденциальные документы печатаются в строго ограниченном количестве экземпляров. Черновики и испорченные экземпляры таких документов, должны сразу уничтожаться.

Каждый экземпляр документа, содержащий сведения ограниченного распространения, оформляется следующим образом:

• на первом листе, в правом верхнем углу указывается гриф "Конфиденциально";
• на последнем листе в левом нижнем углу указывается, фамилия исполнителя и дата изготовления.

Отправка документов с грифом "Конфиденциально" производиться с разрешения начальников  структурных подразделений Организации.

Уничтожение документов с грифом "Конфиденциально" производится с разрешения начальника структурного подразделения Организации.

Контроль за ведением конфиденциального  делопроизводства в подразделениях Организации возлагается на Начальников структурных подразделений.

9. Правила размещения  элементов компьютерной сети.

Под элементами компьютерной сети следует  понимать следующее оборудование:

• Съемные машинные носители, на которых производится запись конфиденциальных сведений;
• Рабочие станции и сервера Организации;
• Сетевое оборудование (маршрутизаторы, коммутаторы);
• Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования).

Условия размещения элементов компьютерной сети должны обеспечивать:

• Сохранность элементов компьютерной сети;
• Исключение возможности несанкционированного доступа посторонних лиц.

Помещения, в которых расположены  элементы компьютерной сети, должны удовлетворять  следующим требованиям:

• Входные двери должны быть оборудованы замками, гарантирующими надежное закрытие помещений в нерабочее время;
• Помещения должны быть оборудованы охранной и пожарной сигнализацией, с выводом сигнала тревоги на пульт охраны;
• Условия размещения оборудования должны соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

9.10. Входная дверь серверной  оборудуется системой контроля  доступа и доводчиком двери.  Запасные ключи от серверной  хранятся в опечатанном пенале  в сейфе у начальника Службы безопасности.

10. Обеспечение режима информационной безопасности при работе с ресурсами Интернет и электронной почтой.

Подключение к сети Интернет.

Подключение корпоративной сети Организации к сети Интернет должно осуществляться только через межсетевой экран.

Весь входящий и исходящий трафик Организации должен проходить через фильтры межсетевого экрана.

Межсетевой экран администрируется локально или удаленно с фиксированного адреса администратора.

В настройке межсетевого экрана должны быть закрыты все не используемые сервисы и протоколы. Необходимо постоянно обновляться программное  обеспечение межсетевого экрана, устанавливать все дополнения и  обновления. Для межсетевого экрана допускается только один пользователь - администратор, остальные пользователи должны быть удалены или заблокированы.

Серверы с размещенными на них Интернет сервисами должны размещаться в  демилитаризованной зоне, созданной  межсетевым экраном.

Доступ к FTP должен быть разрешен только изнутри наружу и только определенному  кругу пользователей. При необходимости  доступа снаружи внутрь должна использоваться усиленная аутентификация.

Доступ пользователей к сети Интернет должен осуществляться только через прокси сервер Организации.

Межсетевой экран и прокси сервер должны вести детальные системные  журналы всех сеансов. Доступ к журналам должны иметь ограниченное число  сотрудников Организации.

На Межсетевом экране и/или прокси сервере должны вестись "Стоп листы" ресурсов Интернет сомнительного содержания.

Межсетевой экран или прокси сервер должен разрешать загрузку только тех программ на ActiveX, Java, Javascript, которые  разрешены.

Настройки межсетевого экрана или  прокси сервера должны запрещать  загрузку программного обеспечения, кроме  ограниченного круга пользователей.

Операционные системы и программное  обеспечение Интернет серверов Организации должны содержать все исправления, рекомендованные производителем.

Интернет серверы Организации, работающие под UNIX подобными операционными системами, не должны запускаться с правами суперпользователя.

Безопасность WWW сервера Организации.

Все общедоступные WWW-сервера Организации, подключенные к Интернету, должны находиться в демилитаризованной зоне либо вне зоны корпоративной сети. Сведения ограниченного распространения не должны размещаться на публичном WWW сервере Организации.

Перед публикацией на WWW сервере Организации информация, должна быть просмотрена и утверждена так же, как утверждаются официальные документы Организации.

Все публично доступные WWW сервера Организации должны регулярно тестироваться на предмет корректности ссылок.

Доступ пользователей в сеть Интернет.

Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись следующие  правила:

• доступ к Интернету должен осуществляться только через прокси сервер Организации;
• каждый загружаемый файл должен проверяться на вирусы и троянские программы;
• пользователям без особого разрешения запрещается устанавливать и использовать внешние почтовые сервера и внешние прокси сервера.

Использование электронной почты.

Электронные документы, содержащие конфиденциальную информацию, не должны отправляться с  помощью электронной почты, по открытым каналам в не зашифрованном виде.

Пользователи могут использоваться только разрешенные администратором  сети почтовые программы.

Никто из посетителей Организации или временных сотрудников не имеет права использовать электронную почту Организации.

Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не доменуОрганизации.

Связь с территориально удаленными подразделениями Организации должна осуществляться только по закрытым каналам связи с использованием средств криптографической защиты информации.

10.5. Контроль выполнения мероприятий  по информационной безопасности при работе в сети Интернет и использованию электронной почты возлагается на администратора компьютерной сети.

11. Обеспечение режима информационной безопасности на рабочих станциях.

На всех рабочих станциях обязателен антивирусный контроль с автоматическим периодическим обновлением антивирусных баз и автоматическим запуском антивирусного  монитора.

Использование на рабочих станциях дисковых ресурсов с общим доступом допускается только в исключительных случаях.

Использование на рабочих станциях накопителей со съемными машинными  носителями информации и портов USB допускается  в исключительных случаях.

Рабочие станции, на жестких дисках которых хранится конфиденциальная информация, защищаются программно-аппаратными  комплексами защиты информации от несанкционированного доступа с возможность криптографической  защиты хранящейся информации.

Пользователям запрещается:

• входить в компьютерную сеть Организации, используя чужие реквизиты доступа;
• оставлять без присмотра подключенное и не заблокированное рабочее место;
• самостоятельно изменять аппаратную или программную конфигурацию рабочих станций;
• самостоятельно устанавливать на рабочую станцию программное обеспечение;
• разрешать другим лицам работу на компьютере со своими правами доступа;
• запрещается загружать из сети Интернет программное обеспечение;
• запрещается отключать антивирусное программное обеспечение установленное на их рабочих станциях, и изменять его настройки.

Пользователь компьютерной сети Организации обязан:

• соблюдать требования регламентирующих документов;
• использовать персональный компьютер и ресурсы компьютерной сети Организации только для выполнения своих служебных обязанностей;
• сохранять рабочие материалы и документы в электронном виде на специально выделенном каталоге файлового сервера;
• блокировать рабочую станцию при необходимости покинуть рабочее место на непродолжительное время;
• выключать рабочую станцию при уходе с рабочего места на продолжительное время;

Контроль над действиями пользователей  компьютерной сети осуществляется по протоколам, формируемыми информационными  системами администратором компьютерной сети. Объем контрольных мероприятий  и их периодичность указывается  в должностных обязанностях соответствующих  специалистов и в контрольных  функциях соответствующих структурных  подразделениях.

12. Применение парольной  защиты.

Информация о паролях пользователей  является конфиденциальной информацией, предназначенной для идентификации  и допуска каждого конкретного  пользователя к выделенным ему информационным ресурсам.

Операционные системы рабочих  станций, включенных в компьютерную сеть Организации, должны иметь настройки, позволяющие исключить возможность просмотра вводимой парольной информации.

Операционные системы серверов должны быть настроена таким образом, чтобы исключить возможность  ознакомления с парольной информацией  любого из пользователей, включая Администратора.

Серверы должны быть защищены паролем  на загрузку операционной системы и  доступа к конфигурации BIOS.

Компьютеры рабочих станций  должны быть защищены паролем на доступ к конфигурации BIOS. Компьютеры рабочих  станций, на которых хранятся конфиденциальные сведения, должны быть защищены паролем  на загрузку операционной системы.

Операционные системы рабочих  станций должны быть настроены таким  образом, чтобы блокировать паузы  неактивности (хранитель экрана) с  функцией парольной защиты. Время  включения защиты не более 10 минут.

Операционные системы серверов должны блокировать вход в сеть после 3-х кратной ошибки в наборе пароля.

Настройка активного сетевого оборудования Организации (маршрутизаторы, коммутаторы) не должна давать возможности несанкционированной переконфигурации, в связи с чем каждое активное сетевое устройство должно быть защищено уникальным паролем Администратора компьютерной сети.

При уходе сотрудника Организации в отпуск системный администратор, на основании заявки руководителя структурного подразделения, производит блокировку имени пользователя в информационной системеОрганизации.

При увольнении сотрудника из Организации, системный администратор, на основании обходного листа, производит удаление пользовательского имени в информационной системе Организации.

Период действия паролей составляет 90 суток, после чего они подлежат замене на новые, ранее не применявшиеся.

Администраторам различных информационных систем запрещается использование  административного пароля при повседневной деятельности, не связанной с административными  функциями. Для этой цели Администраторам  должен выделяться пароль с правами  пользователя.

Пароли Администраторов и пароли BIOS серверов должны хранится в опечатанных  конвертах в сейфе начальника директора организации. Каждый пароль хранится в отдельном конверте.

Доступ в компьютерную сеть Организации, через общедоступные каналы связи обеспечивается только с применением смарт-карт либо их полнофункциональных аналогов USB брелков eToken.

Любые некорректные действия сотрудников, связанные с доступом компьютерную сеть, рассматриваются как нарушения  режима информационной безопасности и анализируются через процедуру служебного расследования.