Политики безопасности компании при работе в Интернет
вернуться

Петренко Сергей Александрович
Шрифт:

• конфигурировать Web-серверы так, чтобы пользователи не могли устанавливать CGI-скрипты;

• отключить все неутвержденные сетевые приложения за исключением ННТР;

• с помощью IP-адресов разрешить доступ к Web-серверам только авторизованным системам;

• по умолчанию всегда менять пароли пользователей;

• контролировать сетевой трафик на предмет выявления неавторизованных Web-серверов;

• выявлять и наказывать нарушителей системной политики безопасности сети;

• тестировать все доступные Web-сайты на предмет корректности ссылок;

• запретить использование средств удаленного управления Web-серверами;

• запретить вход в систему с удаленного терминала с правами суперпользователя;

• проводить все исправления программ Web-серверов и ОС, рекомендованные производителями ПО;

• сканировать входящий трафик HTTP на предмет появления неавторизованных Web-серверов;

• осуществлять аудит всех Web-сайтов;

• протоколировать деятельность всех пользователей, некорректно использующих Интернет;

• контролировать разработку и использование CGI-скриптов.

Администратор Web-cepeepa сети обязан следить за исправным функционированием Web-серверов, выполнять все распоряжения и указания руководителя группы, оказывать ему помощь в поддержании интернет/интранет-технологий в работоспособном состоянии; оставаясь за старшего группы, выполнять его обязанности. Инструкция для пользователя интернет/интранет-технологий сети

Пользователь интернет/интранет-технологий сети компании X назначается приказом по подразделению.

Он отвечает за корректное использование интернет/интранет-технологий сети в служебных целях, поддержание в работоспособном состоянии программного обеспечения серверов и клиентов, а также за выполнение принятой политики безопасности сети.

Пользователь интернет/интранет-технологий сети подчиняется начальнику подразделения и его заместителю, а в порядке работы в сети – сотрудникам-администраторам группы интернет-технологий.

Пользователь интернет/интранет-технологий сети обязан:

• использовать интернет только в служебных целях;

• осуществлять выход в Интернет через шлюзы сети, используя рекомендованное ПО;

• не пытаться обойти брандмауэр с помощью модемов или программ сетевого туннелирования;

• при разрешенном удаленном доступе к сети использовать усиленную аутентификацию (одноразовые пароли, информационные подписи, асимметричные ключи);

• не пытаться подключиться к объявленным сайтам, запрещенным для доступа;

• использовать программы поиска WWW, FTP и другие только в служебных целях;

• работать на Web-браузерах, разрешенных администратором безопасности сети;

• проверять все загружаемые файлы WWW на наличие вирусов;

• не обрабатывать на своих Web-браузерах программы Java, JavaScript и ActiveX, не утвержденные начальником ИТ-службы;

• проверять каждый загружаемый файл на наличие вирусов и закладок;

• предоставлять информацию для опубликования на Web-cepeepe только в служебных целях;

• не устанавливать и не запускать Web-серверы;

• соблюдать порядок и правила утверждения официальных документов, установленные в сети;

• при участии в проектах использовать только специальные Web-страницы;

• не использовать электронную почту в личных целях, в ущерб деятельности и политики безопасности сети компании;

• помнить, что все электронные письма, создаваемые и хранимые на компьютерах, являются собственностью компании и не считаются персональными;

• получить личный адрес и пароль у администратора электронной почты сети;

• для отправления электронной почты регистрироваться путем ввода своего имени и пароля на своем браузере по адресу: http://*******;

• не использовать адреса в письмах-«пирамидах»;

• использовать только утвержденные почтовые службы;

• не использовать анонимные адреса;

• не разрешать никому от своего имени посылать письма;

• при отправлении утвержденной конфиденциальной информации использовать доступные механизмы шифрования, аутентификации и сертификации.

Пользователь интернет/интранет-технологий сети обязан помнить, что в соответствии с приказом директора компании X, лица участвующие в передаче по Интернету информации, составляющей коммерческую тайну, несут персональную ответственность.

Рекомендуемая политика безопасности компьютерной сети компании X Таблица П6.1. Регламент доступа компьютерной сети предприятия к Интернету

Таблица П6.2. Рекомендуемая политика безопасности сети

Окончание табл. П6.2

Приложение 7 ПЕРЕЧЕНЬ ЗАКОНОДАТЕЛЬНЫХ АКТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Нормативно-правовые акты

• Конституция Российской Федерации, 1993 г.

• Гражданский кодекс Российской Федерации, часть I, 1994 г.

• Гражданский кодекс Российской Федерации, часть II, 1995 г.

• Уголовный кодекс Российской Федерации, 1996 г.

• Постановление Пленума Верховного Суда РФ и Высшего Арбитражного Суда РФ «О некоторых вопросах, связанных с применением части I ГК РФ», № 6/8, 1996 г.

• Концепция национальной безопасности Российской Федерации, утверждена Президентом РФ № Пр-1300, 1997 г.

• Доктрина информационной безопасности Российской Федерации, утверждена Президентом РФ № Пр-1895, 2000 г.

• Уголовно-Процессуальный кодекс Российской Федерации, 2001 г.

• Кодекс Российской Федерации об административных правонарушениях, 2001 г.

Федеральные законы

• Федеральный закон «О средствах массовой информации», № 2224-1,1991 г

• Закон «О безопасности», № 2446-1, 1992 г.

• Закон «О государственной тайне», № 5485-1, 1993 г.

• Федеральный закон «О статусе депутата СФ и статусе депутата ГД ФС РФ», № З-ФЗ, 1994 г.

• Федеральный закон «О связи», № 126-ФЗ, 2003 г.

• Федеральный закон «Об основах государственной службы», № 20-ФЗ, 1995 г.

• Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995 г.

• Федеральный закон «Об органах федеральной службы безопасности РФ», № 40-ФЗ, 1995 г.

• Федеральный закон «Об участии в международном информационном обмене», № 85-ФЗ, 1995 г.

• Федеральный закон «Об оперативно-розыскной деятельности», № 144-ФЗ, 1995 г.

• Федеральный закон «О прокуратуре Российской Федерации», № 168-ФЗ, 1995 г.

• Федеральный закон «О лицензировании отдельных видов деятельности» (с изменениями от 13.03.2002 г.), № 128-ФЗ, 2001 г.

• Федеральный закон «Об электронной цифровой подписи», № 1-ФЗ, 2002 г.

• Федеральный закон «О техническом регулировании», № 184-ФЗ, 2002 г.

• Федеральный закон «О коммерческой тайне», № 98-ФЗ, 2004 г.

Указы Президента РФ

• Указ Президента РФ «Об основах государственной политики в сфере информатизации», № 170, 1994 г.

• Указ Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации», № 334, 1995 г.

• Указ Президента РФ «Об утверждении перечня сведений, отнесенных к государственной тайне», № 1203, 1995 г.

• Указ Президента РФ «Вопросы межведомственной комиссии по защите государственной тайны», № 71, 1996 г.

• Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера», № 188, 1997 г.

• Указ Президента РФ «Об утверждении концепции национальной безопасности РФ», № 1300, 1997 г.

• Указ Президента РФ «Вопросы государственной технической комиссии при Президенте РФ», № 212, 1999 г.

• Указ Президента РФ «О составе межведомственной комиссии по защите государственной тайны по должностям», № 1467, 1999 г.

• Распоряжение Президента РФ «Об утверждении Перечня лиц органов государственной власти Российской Федерации, наделенных полномочиями по отнесению сведений к государственной тайне», № 6, 2000 г.

Постановления Правительства РФ

• Постановление Правительства РСФСФ «О перечне сведений, которые не могут составлять коммерческую тайну», № 35, 1991 г.

• Постановление Совета Министров – Правительства РФ «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», № 912-51, 1993 г.

• Постановление Правительства РФ «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», № 1233, 1994 г.

• Постановление Правительства РФ «Об утверждении Положения о сертификации средств защиты информации», № 608, 1995 г.

• Постановление Правительства РФ «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», № 333, 1995 г. (с изменениями от 29 июля 1998 г.).

• Постановление Правительства РФ «О лицензировании деятельности по международному техническому обмену», № 564, 1998 г.

• Постановление Правительства РФ «О лицензировании отдельных видов деятельности», № 135, 2002 г.

• Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации», № 290, 2002 г.

• Постановление Правительства РФ «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации», № 348, 2002 г.

• Постановление Правительства РФ «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами», № 691, 2002 г.