Чтение онлайн

Запрещается! Список, представленный ниже, не является исчерпывающим, но здесь сделана попытка определить действия, которые попадают в категорию запрещенных:

в сфере действий в корпоративной сети

• нарушения прав любого человека или компании, защищенных авторским правом, законами о торговых секретах, патентами или другим законом о защите интеллектуальной собственности, включая установку или распространение «пиратского» или другого программного обеспечения, которые не лицензировано для использования в компании;

• неправомочное копирование защищенного авторским правом материала, включая преобразование в цифровую форму и распространение фотографий из журналов, книг или других защищенных авторским правом источников, музыки и установка любого защищенного авторским правом программного обеспечения, для которого компания или данный сотрудник не имеют действующей лицензии;

• экспорт программного обеспечения, технической информации, программного обеспечения по шифрованию данных или технологии в нарушение международных или региональных экспортных законов. Перед экспортированием любого материала руководство должно проконсультироваться с соответствующими органами;

• запуск злонамеренных программ в сети или на компьютере (например, вирусов, «червей», «Троянских коней», почтовых «бомб», и т. д.);

• разглашение ваших паролей другим сотрудникам или разрешение пользоваться кому-либо вашей учетной записью или паролями. Сюда относятся и члены семьи, если работа выполняется дома;

• использование корпоративных ресурсов для создания, передачи или хранения материалов сексуального, религиозного и другого характера, не относящихся к выполнению служебных обязанностей;

• мошеннические предложения изделий, продуктов или услуг с использованием учетной записи пользователя компании;

• создание заявления о гарантиях, явных или подразумеваемых, если

это не является частью обязанностей при выполнении работы;

• нарушение безопасности корпоративной сети: получение доступа к данным, к которым сотрудник не должен его иметь; регистрация на ресурсах, к которым сотруднику явно не разрешен доступ; прослушивание сетевого трафика; выполнение различных атак на ресурсы компании и т. д.;

• сканирование портов или поиск уязвимостей, если на это не получено разрешение от отдела информационной безопасности;

• выполнение любой формы мониторинга сети с перехватом данных, не направленных на компьютер сотрудника, если эта деятельность не является частью его обязанностей;

• попытки обхода систем установления подлинности или безопасности приложений, операционных систем и оборудования;

• попытки ограничения доступа сотрудников к корпоративным ресурсам, за исключением компьютера сотрудника;

• использование программ/скриптов/команд или отправки сообщений любого вида с намерением ограничить доступ или разорвать сессию другого сотрудника;

• разглашение списка сотрудников компании сторонним организациям или лицам;

в сфере, связанной с передачей информации в электронном виде

• посылка сообщений электронной почты с незапрашиваемой получателем информацией (junk-mail) или рекламного материала кому-либо без его просьбы (спам электронной почты);

• любая форма преследования через электронную почту, телефон или пейджер;

• неправомерное использование или подделывание заголовков почтовых сообщений;

• подслушивание сообщений электронной почты других сотрудников;

• создание или отправление «цепочек писем» или других писем по схеме типа «пирамида»;

• использование электронной почты других поставщиков интернет-услуг для рекламирования услуг и продуктов своей компании;

• отправка не относящихся к бизнесу сообщений большому количеству участников новостных групп (спам новостных групп).

Ни при каких обстоятельствах сотрудник компании не должен участвовать в любой деятельности, которая является незаконной по местным, федеральным или международным законам с использованием средств и ресурсов компании.

Ответственность К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Термины и определения

Спам – неразрешенные и/или незапрашиваемые массовые отправки электронных почтовых сообщений.

3. Руководство по антивирусной защите

Для предупреждения вирусного заражения рекомендуется:

• использовать на своих компьютерах рекомендованное в качестве стандарта для компании антивирусное программное обеспечение. Базы вирусных сигнатур должны обновляться регулярно;

• никогда не открывать файлы и не выполнять макросы, полученные в почтовых сообщениях от неизвестного или подозрительного отправителя. Удалять подозрительные вложения, не открывая их, и очищать корзину, где хранятся удаленные сообщения;

• удалять спам, рекламу и другие бесполезные сообщения, как описано в политике допустимого использования;

• никогда не загружать файлы и программное обеспечение из подозрительных или неизвестных источников;

• не допускать предоставления дисков в совместное использование на чтение/запись, если только это не абсолютно необходимо;

• всегда проверять дискеты на наличие вирусов;

• периодически резервировать важные данные и системную конфигурацию, хранить резервные копии в безопасном месте;

• если при тестировании в лаборатории происходит конфликт с антивирусным программным обеспечением, то можно его отключить, провести тестирование и сразу включить обратно. При отключенном антивирусном программном обеспечении не выполнять никаких приложений, которые могут привести к распространению вируса (например, почтовые программы);

• периодически проверять политику лаборатории антивирусной защиты и данное руководство на предмет обновлений, так как новые вирусы появляются почти каждый день.

4. Политика хранения электронной почты

Цель

Политика хранения электронной почты предназначена для помощи сотрудникам в определении, какая информация, посланная или полученная по электронной почте, должна быть сохранена и на какой срок.

По вопросам надлежащей классификации информации следует обращаться к вашему менеджеру. По вопросам, связанным с этой политикой, нужно обращаться в отдел информационной безопасности.

Вся информация, содержащаяся в сообщениях электронной почты, разделена на четыре основные категории, определяющие время хранения:

• административная корреспонденция – 4 года;

• финансовая корреспонденция – 4 года;

• общая корреспонденция – 1 год;

• недолговечная корреспонденция (хранят, пока не прочитают, потом уничтожают).

Суть политики

Административная корреспонденция. Административная корреспонденция компании включает (но не ограничена этим) информацию об отпусках, поведении на рабочем месте и о любых юридических проблемах, например о нарушении интеллектуальной собственности. Вся электронная почта с пометкой «Для руководства» будет рассматриваться как административная корреспонденция. Для гарантии сохранения административной корреспонденции создан почтовый ящик admin@CompanyName. при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.

Финансовая корреспонденция. Финансовая корреспонденция – вся информация, связанная с доходами и расходами компании. Для гарантии сохранения финансовой корреспонденции создан почтовый ящик fiscal@CompanyName. при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.

Общая корреспонденция. К общей корреспонденции относится информация, которая имеет отношение к взаимодействию с клиентами. Каждый сотрудник ответственен за хранение электронной почты такого типа.

Недолговечная корреспонденция. Недолговечная корреспонденция, безусловно, наиболее объемная категория, включающая личную электронную почту, запросы или рассылки, электронную почту, связанную с разработкой продуктов и услуг и т. д.

Службы мгновенного обмена сообщениями. Общая корреспонденция, проходящая через службы мгновенного обмена сообщениями, может быть сохранена с использованием функции журналирования службы или путем копирования в файл. Сообщения, проходящие через службу мгновенного обмена сообщениями, которые являются административными или финансовыми, должны быть скопированы и отправлены по электронной почте на соответствующий адрес для хранения.

Шифрование сообщений. Шифрование сообщений должно соответствовать политике обработки и хранения информации, но, вообще, информация должна храниться в незашифрованном виде.

Восстановление удаленных почтовых сообщений с использованием резервных копий. Отдел информационных технологий отвечает за поддержание резервных копий в актуальном состоянии с хранением копий за пределами компании.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Разрешенная электронная почта – все почтовые системы, поддерживаемые отделом информационных технологий. Если в связи с выполнением служебных обязанностей необходимо использовать адрес электронной почты вне компании, следует обратиться в отдел информационных технологий.

Разрешенное шифрование электронной почты и файлов – методы шифрования, включающие использование DES и PGP. Шифрование DES доступно во многих бесплатных программах на всех платформах. Для использования PGP в компании необходимо приобрести лицензию. За помощью в приобретении нужно обратиться в отдел информационных технологий.

Разрешенное средство мгновенного обмена сообщениями – Jabber Secure IM Client – является единственным средством мгновенного обмена сообщениями, разрешенным для использования на компьютерах компании.

Средства контроля доступа – методы электронной защиты файлов от получения к ним доступа неавторизованными сотрудниками, кроме тех, кому это разрешено владельцем ресурса.

Незащищенные каналы – все каналы связи, которые не находятся под контролем компании.

Шифрование – важная информация защищается в соответствии с политикой допустимого шифрования. Международные законы по использованию средств шифрования неоднозначны. Следуйте корпоративным руководящим документам по использованию средств криптографии и консультируйтесь с вашим менеджером и/или корпоративными юридическими службами.

5. Политика

использования электронной почты компании

Цель

Недопущение нанесения ущерба имиджу компании, поскольку электронная почта, отправляемая с электронного почтового адреса компании, рассматривается сторонними лицами и организациями как официальное утверждение от имени компании.

Эта политика описывает порядок использования электронной почты, посылаемой с почтовых адресов компании, и должна выполняться всеми служащими, продавцами и агентами, работающими от имени компании.

Суть политики

Запрещается! Система электронной почты компании не должна использоваться для создания или распространения любых материалов, не связанных с деятельностью компании, включая материалы националистического, сексуального, порнографического, религиозного и политического характера. Сотрудник, получивший электронное письмо такого содержания от любого работающего в компании, должен немедленно сообщить об этом своему руководителю.

Использование в личных целях. Использование ресурсов компании в личных целях приемлемо в разумных пределах, но такие электронные письма должны храниться в отдельной папке.

Отправка рекламных писем или развлекательных почтовых сообщений от имени компании запрещена. Отправка предупреждений о вирусах и любых других предупреждений, массовые отправки почтовых сообщений от имени компании должны быть одобрены руководством компании перед посылкой. Эти ограничения относятся также к переадресации почты, полученной служащим.

Мониторинг. Сотрудникам компании не следует ожидать соблюдения конфиденциальности почтовых сообщений при хранении, отсылке или приеме почты в системе электронной почты компании. Компания может контролировать почтовые сообщения без уведомления сотрудника.

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Электронная почта – передача информации через почтовый протокол типа SMTP или IMAP. Почтовыми клиентами могут быть, например, Eudora или Microsoft Outlook.

Переадресация почты – электронная почта, полученная на почтовый адрес компании и перенаправленная на почтовый адрес, не принадлежащий компании.

Важная информация – информация, разглашение которой может повредить компании или репутации ее клиентов, или положению на рынке.

Предупреждение о вирусе – предупреждение о возможном заражении вирусом. Подавляющее большинство таких электронных сообщений является обманом и содержит информацию для запугивания или введения в заблуждение сотрудников.

Разглашение информации – намеренное или неумышленное раскрытие ограниченной для распространения информации людям, которые не должны ее знать.

6. Политика использования паролей Пароли – важный аспект компьютерной безопасности. Они являются первой линией защиты учетных записей сотрудников. Неправильно выбранный пароль может привести к проникновению злоумышленника в корпоративную сеть компании. Все сотрудники компании (включая подрядчиков и продавцов, имеющих доступ к информационным системам компании) ответственны за правильный выбор и хранение паролей (в соответствии с приведенными ниже рекомендациями).

Цель Цель этой политики состоит в том, чтобы установить стандарты по созданию устойчивых к взлому паролей, по защите этих паролей и определению частоты изменения паролей.

Область действия Все, кто имеет доступ или ответственен за предоставление доступа к любой информационной системе компании.

Суть политики

Общие вопросы:

• все пароли уровня системы (например, для root в системах UNIX, для enable в оборудовании Cisco, для administrator в системах Windows, администраторские пароли в приложениях и т. д.) должны меняться по крайней мере один раз в квартал;

• все пароли на критичные элементы инфраструктуры (серверы, приложения, активное сетевое оборудование) должны храниться в отделе информационной безопасности;

• все пользовательские пароли (например, пароли для доступа к электронной почте, сети, персональному компьютеру, и т. д.) должны меняться по крайней мере один раз в шесть месяцев. Рекомендованный интервал – четыре месяца;

• учетные записи сотрудников, которым предоставили доступ к административным учетным записям на системах через членство в группах или посредством программ типа sudo, должны иметь пароль, отличный от всех других паролей данного пользователя;

• запрещается отправлять пароли в сообщениях электронной почты или с помощью других форм электронного обмена информацией;

• при использовании SNMP community strings не должны быть значениями по умолчанию и должны отличаться от паролей, используемых для аутентификации в интерактивном режиме. Обязательно использование хешей паролей (например, SNMPv2), если это возможно;

• все пароли должны соответствовать стандартам, приведенным ниже.

Руководства:

 основные принципы выбора паролей;

Пароли используются для учетных записей сотрудников, для доступа к Web-сайтам, к электронной почте, в режим конфигурирования маршрутизатора. Так как очень небольшое число систем поддерживают использование одноразовых (one-time) паролей, каждый должен знать правила выбора защищенного от взлома пароля и неукоснительно следовать им.

Неправильно подобранные пароли имеют следующие особенности:

– содержат меньше восьми символов;

– являются словами, которые можно найти в словаре;

– представляют собой часто используемые слова: фамилии, клички домашних животных, имена друзей, сотрудников и т. д.; компьютерные термины, названия команд, сайтов, компаний, аппаратных средств, программного обеспечения, – дни рождения и другую личную информацию типа адресов и телефонных номеров; слова или числа типа aaabbb, набранные подряд несколько символов на клавиатуре, например qwerty, zyxwvuts, 123321 и т. д.; любой из вышеупомянутых паролей, записанный в обратном порядке; любой из вышеупомянутых паролей, в начале или в конце которого присутствует цифра (например, secret 1, 1 secret).

Устойчивые к взлому пароли имеют следующие особенности:

– содержат как прописные, так и строчные буквы (например, a-z,A-Z);

– имеют цифры и знаки пунктуации, например 0–9! *$ % А* * _ + | ~-= \

– их длина составляет по крайней мере восемь алфавитно-цифровых символов;

– не являются словами из какого-либо языка, сленга, диалекта, жаргона и т. д.;

– не основаны на личной информации (фамилии, имени);

– пароли нигде не записаны и не хранятся в компьютере. Для создания легко запоминаемого, устойчивого к взлому пароля можно использовать, например, первые буквы куплета песни или другой фразы. Например, берется фраза: «This May Be One Way To Remember», и пароль может быть таким: «TmBlw2R!» или «TmblW› г ~».

 руководство по защите пароля;

Не используйте один и тот же пароль для доступа к ресурсам компании и для доступа к внешним, по отношению к компании, ресурсам. Везде, где возможно, используйте разные пароли для доступа к ресурсам компании. Например, выберите один пароль для доступа к системе электронной почты и другой для своей учетной записи на компьютере. Никто, кроме вас, не должен знать ваши пароли. Все пароли являются конфиденциальной информацией.

Запрещается:

– сообщать кому-либо свой пароль по телефону;

– отправлять пароль в сообщении электронной почты;

– показывать пароль своему начальнику;

– называть пароль в присутствии других людей;

– намекать на формат пароля (например, «моя фамилия»);

– писать пароль в анкетных опросах;

– давать свой пароль членам семьи;

– давать пароль сотрудникам на время своего отпуска.

Если кто-то требует сообщить ему ваш пароль, покажите ему этот документ или сообщите сотрудникам отдела информационной безопасности. Не используйте возможность запоминания пароля приложениями (например, Eudora, Outlook, Netscape Communicator). He записывайте пароли на бумаге и не храните их в вашем офисе. Не храните пароли в файле на компьютерной системе (включая Palm Pilot или подобные устройства) без шифрования. Пароли должны меняться по крайней мере раз в шесть месяцев (кроме паролей уровня системы, которые должны меняться ежеквартально). Рекомендованный интервал – четыре месяца. Если учетная запись или пароль, как вы подозреваете, были скомпрометированы, сообщите об инциденте в отдел информационной безопасности и измените все пароли. Подбор паролей периодически выполняется отделом информационной безопасности. Если пароль будет взломан во время одной из таких проверок, то пользователь обязан поменять его.

 руководство по разработке приложений;

Разработчики приложений должны гарантировать, что их программы содержат следующие меры безопасности. Приложения:

– должны иметь возможность идентификации подлинности сотрудников, а не групп;

– не должны хранить пароли в незашифрованном виде или в любой другой форме, которая позволит получить к ним доступ;

– должны предусматривать управление ролями сотрудников так, чтобы один пользователь мог выполнять функции другого, не зная пароля этого пользователя;