Политика информационной безопасности на предприятии

Определение прав пользователей к тем или иным компьютерным и коммуникационным источникам.

Цель процедуры

Контроль использования и защита информационных ресурсов компании.
Упорядочивание выноса любых информационных носителей с территории предприятия.

Проще всего, особенно при недостатке ресурсов на предприятии, пользоваться специальными системами защиты информации. В качестве примера -
dlp система по ссылке http://stakhanovets.ru/dlp/

Область применения процедур

Информационные системы.
Все сотрудники компании.
Любые внешние носители и ноутбуки.

На что обратить внимание

Информация – это ключ к активам компании, и ее соответственно нужно охранять.
Информационные носители – это электронные, магнитные или оптические устройства, или материалы для хранения данных, например, дискеты, компакт-диски, диски DVD, ленточные картриджи, накопители с интерфейсом USB, карты памяти, ноутбуки.

Обращение к информации в момент ее создания или приобретения должно соответствовать ее ценности и уязвимости к раскрытию по принципу – информация нужна мне для выполнения моих должностных обязанностей.

Обязанности пользователей

Все ПК, подключенные к локальной сети и операционные приложения, должны быть защищены паролями.
В обязанности каждого пользователя входит определение паролей, соответствующих следующим требованиям: он должен состоять как минимум из восьми знаков и обязательно содержать как буквы и цифры, так и прочие символы.

Пользователь должен менять свои пароли через каждые 30 дней.

Категорически запрещается использование чужих паролей, а также передача своих другим пользователям.
Все сотрудники, пользователи лично и коллективно отвечают за защиту информации и вычислительной среды.
Пользователи должны воплощать все разумные средства для физической защиты своих ноутбуков.
Работник компании, которому необходимо внести и вынести какой-либо носитель с предприятия по производственной необходимости, должен иметь с собой бланк разрешения, заполненный и подписанный им и его директором.

Пользователи компьютеров должны регулярно архивировать свои локальные файлы на сервер.
Использование электронной почты, интернета и внешних информационных носителей в целях, не связанных с выполнением своих должностных обязанностей не допускаются.

Информационные ресурсы должны использоваться работниками исключительно для исполнения служебных обязанностей.
Установка и использование только лицензионного программного обеспечения.

Коммерческая тайна

Запрещено распространение сведений:
О финансовых операциях.
О решениях руководства по производственным, финансовым, коммерческим, организационным вопросам.
О планах расширения.
О конструкторской и технологической документации.
О новых проектах.
О технологических процессах.

Фото и видеосъемка

Запрещается фото и видеосъемка в офисных и производственных помещениях, а также на территории предприятия без специального разрешения.

На что еще обратить внимание

Ответственность за распространение информации, имеющей отношение к коммерческой тайне.
Ответственность за съемку.
Ответственность за нарушение правил безопасности, несанкционированного проникновения в помещения ограниченного доступа: электростанции, котельные, системы вентиляции и т. д., а также в зоны повышенного уровня безопасности (серверные, инженерные и испытательные лаборатории, офисные помещения), в которых содержится конфиденциальная информация по маркетингу, закупкам, финансам и персоналу и т. п.

Источник: Власти.нет