Предлагаю здесь размешать проекты приказов, инструкции и приложения, которые используются в ваших ИТ-отделах.
И само собой обсуждать их.
Принимаются предложения по именованию темы.
Вот мой рубль:
Цитата:
Цитата:
И само собой обсуждать их.
Принимаются предложения по именованию темы.
Вот мой рубль:
Цитата:
Приказ № (проект)
О реструктуризации системы информационной безопасности
В целях обеспечения конфиденциальности коммерческой, финансовой и технической информации Предприятия, для упорядочивания рабочего времени сотрудников и увеличения отказоустойчивости и эффективности работы всех технических и информационных систем Предприятия,
ПРИКАЗЫВАЮ:
1. Произвести инвентаризацию всех имеющихся информационных активов Предприятия, классифицировать информационные активы по степени важности, определить группы пользователей корпоративной сети, имеющие доступ к каждому конкретному классу информационных активов, явно определить способы доступа пользователей к информации (просмотр, изменение, удаление).
2. Исключить хранение служебной информации на локальных устройствах хранения информации клиентских компьютеров, всю необходимую информацию хранить на специально выделенных для этого разделах файловых серверов. Организовать ежедневное резервное копирование служебной информации в соответствии с утвержденной схемой.
3. Регламентировать доступ отдельных пользователей и групп пользователей к внешним по отношению к корпоративной сети ресурсам исключительно непосредственной служебной необходимостью. Минимизировать внешний по отношению к корпоративной сети трафик. Предоставлять доступ в Интернет только по письменной заявке руководителя подразделения (направления). Подачу заявки осуществлять согласно Приложению 1 к данному Приказу.
4. Не допускать использования внешних аппаратных устройств хранения информации (дискет, CD и DVD RW, USB-накопителей и аналогичных устройств), иначе как по представленной в ОИТ заявке руководителя подразделения с подробным техническим обоснованием необходимости использования. Подачу заявки осуществлять согласно Приложению 1 к данному Приказу.
5. Регламентировать установку и использование средств электронных коммуникаций (электронных почтовых ящиков, систем мгновенного обмена сообщениями). Не допускать использование на рабочих местах корпоративной сети почтовых ящиков, находящихся на бесплатных почтовых серверах, а также почтовых ящиков, не обслуживаемых почтовыми серверами Предприятия. Предусматривать установку и использование средств электронных коммуникаций только по письменной заявке руководителя подразделения, в котором будет использованы данные средства. Подачу заявки осуществлять согласно Приложению 1 к данному Приказу.
6. Регулярно контролировать объем внешнего трафика, потребляемый каждым сетевым устройством (персональными компьютерами, коммутаторами, серверами и аналогичным оборудованием). При выявлении фактов нецелевого использования доступа к внешним ресурсам осуществлять блокирование объекта, потребляющего трафик, и силами ОИТ проводить служебное расследование по фактам такого использования.
7. Взаимодействие серверов и пользовательских компьютеров с внешними по отношению к корпоративной сети Предприятия ресурсами осуществлять только через сконфигурированные специальным образом программно-аппаратные шлюзы. Производить анализ проходящего трафика на корректность и наличие злонамеренного программного обеспечения.
8. Для осуществления сетевого управления, хранения данных, работы со служебной информацией, удаленного администрирования пользователей, при равных функциональных возможностях рекомендовать к использованию преимущественно программное обеспечение с открытым кодом, распространяющееся по лицензиям GPL, либо программные продукты распространяющиеся бесплатно. Произвести аудит имеющегося программного обеспечения на предмет наличия необходимого количества лицензий.
9. На рабочих местах пользователей технически обеспечить возможность выполнения только безусловно необходимых для повседневной работы программ, выполнение остальных программ запретить. Предоставить начальникам отделов и руководителям подразделений (направлений) право изменять списки используемых программ по согласованию с ОИТ.
10. Осуществлять постоянную антивирусную проверку программного обеспечения, установленного на клиентских компьютерах, серверах и маршрутизаторах, своевременно обновлять базы вирусных сигнатур. В случае обнаружения вирусных программ на каких-либо объектах локальной вычислительной сети действовать в соответствии с политикой информационной безопасности.
11. При разработке собственного программного обеспечения силами соответствующих отделов Предприятия предусматривать обязательную персонифицированную аутентификацию пользователей перед использованием программ, а также подробное протоколирование действий пользователя.
12. Совместно с отделом кадров Предприятия разработать систему контроля приема на работу и увольнения сотрудников для своевременного создания и удаления данных для аутентификации и авторизации пользователя в технических и информационных системах Предприятия.
13. В обязательном порядке довести под роспись до всех сотрудников Предприятия, включая руководителей направлений всех рангов и исключая высшее руководство, должностную инструкцию по использованию информационных и технических систем Предприятия согласно Приложению 2 к данному Приказу.
14. При обнаружении невыполнения сотрудниками Предприятия требований немедленно выполнять отключение персонального компьютера от корпоративной сети и ставить в известность непосредственное руководство данного сотрудника.
15. На основе данного приказа разработать политику информационной безопасности предприятия, руководствуясь существующими отраслевыми стандартами (ISO 17799). Разработку политики информационной безопасности возложить на администратора по информационной безопасности.
16. Администратору по информационной безопасности не реже одного раза в квартал представлять высшему руководству отчет о состоянии информационной безопасности сетей и систем Предприятия.
17. В случае возникновения связанных с информационной безопасностью инцидентов глобального характера обязать персонал ОИТ незамедлительно ставить высшее руководство в известность о данных инцидентах.
18. Предыдущую редакцию Приказа считать утратившей силу.
Цитата:
Приложение №2 к Приказу №
Должностная инструкция по использованию технических и информационных систем Предприятия
Как сотрудник Предприятия, использующий персональный компьютер, информационные и технические системы Предприятия в процессе работы, я, ____________________________________________________________________________ , ознакомлен(а) с порядком использования информационных и технических систем Предприятия и, за исключением случаев, когда есть вероятность причинения вреда здоровью сотрудников или порчи оборудования, обязуюсь соблюдать следующие правила:
1. Доступ в глобальную сеть Интернет, к почтовым, файловым и иным серверам и службам, к любым внешним и внутренним ресурсам организации для всех пользователей информационных систем и сетей Предприятия запрещен за исключением случаев, вызванных служебной необходимостью, по согласованию с руководителем подразделения (направления) и в соответствии с утвержденным списком.
2. Использование электронных почтовых ящиков, находящихся на бесплатных почтовых серверах или на коммерческих почтовых серверах, не принадлежащих Предприятию, запрещено. Использование служебных почтовых ящиков, находящихся на почтовых серверах Предприятия, предусмотрено при наличии служебной необходимости.
3. Самостоятельная установка, копирование, распространение и запуск любого программного обеспечения, кроме уже установленного на персональных компьютерах, запрещена.
4. Самостоятельная установка какого-либо аппаратного обеспечения (плат расширения, дополнительных модулей, дисководов, картриджей и т.п.) в персональные компьютеры, оргтехнику и иные устройства запрещена. Самостоятельное подключение к персональным компьютерам каких-либо внешних устройств (сотовых и мобильных телефонов, цифровых фотоаппаратов, адаптеров беспроводной связи и иных), запрещено.
5. Самостоятельное перемещение и вскрытие персональных компьютеров, оргтехники и иных аппаратных устройств запрещено. Удаление пломб и инвентарных номеров с персональных компьютеров, оргтехники и иных аппаратных устройств запрещено.
6. Пароли доступа к персональному компьютеру, к электронным почтовым ящикам, к биллинговым, расчетным и торговым программам, к бухгалтерским системам и к любым другим прикладным программам и файлам являются личным идентификатором пользователя в соответствующих информационных подсистемах, и не подлежат разглашению кому бы то ни было, за исключением сотрудников ОИТ и руководителей подразделений. Запись паролей на общедоступных носителях (приклеенных к монитору листах бумаги и т.п.) запрещена. Использование паролей других пользователей для доступа к информационным ресурсам категорически запрещено. В случае утраты пароля пользователь должен поставить в известность сотрудников ОИТ и обратиться к своему непосредственному руководителю.
7. Использование любых внешних и дополнительных внутренних накопителей (дискеты, электронные, оптические и магнитооптические диски), а также модемов и других устройств дистанционной связи, за исключением специально оговоренных случаев, запрещено.
8. Хранение на служебных информационных носителях (накопителях на жестких магнитных дисках, встроенных в персональный компьютер, дискетах, носителях CD/DVD-R/RW) личной информации, а также информации, не имеющей отношения к производственной деятельности (музыкальные файлы, фоновые изображения и прочее), запрещено.
9. Вся служебная информация должна храниться на выделенных для этого разделах файловых серверов.
10. Любые виды доступа, включая доступ в Интернет и к любым внешним и внутренним информационным ресурсам, предоставляются по письменной заявке, направляемой руководителем подразделения (направления) в ОИТ.
11. Каждый пользователь информационной системы Предприятия несет личную ответственность за соблюдение данных правил и требований. Руководители подразделений (направлений), кроме того, несут ответственность за соблюдение своими сотрудниками данных правил и требований. Несоблюдение данных правил и требований влечет за собой меры административного воздействия вплоть до увольнения.
Технический смысл всех вышеперечисленных правил мне разъяснен. Возражений не имею.
______________________________ ________________________
(число) (подпись)
