1.94M
Категория: ИнформатикаИнформатика

Політики інформаціної безпеки

1.

Політики інформаційної безпеки
АВТОР ДОКУМЕНТА
Coordinator Training Team
ДЕПАРТАМЕНТ:
OPERATIONS DEPARTMENT
ДАТА:
13.04.2021
ВЕРСІЯ:
13.04.2021
Задати питання по викладеному матеріалу, дати зворотний зв'язок або повідомити про помилку ви можете, надіславши листа на адресу - [email protected]
MINDY
LMS

2.

ПЛАН КУРСУ
1. INFORMATION SECURITY POLICY || Політика інформаційної
безпеки
2. INCIDENT MANAGEMENT PROCEDURE || Процедура
управління інцидентами
3. CLEAR DESK AND CLEAR SCREEN POLICY || Політика
чистого столу та чистого екрану
4. PASSWORD POLICY || Політика паролів
5. ACCESS CONTROL POLICY || Політика контролю доступу
6. DISPOSAL AND DESTRUCTION POLICY || Політика утилізації
та знищення документів, обладнання та інформаційних
носіїв
MINDY
LMS

3.

INFORMATION SECURITY POLICY
(Політика інформаційної безпеки)
Метою цієї політики є визначення завдань, напрямів,
принципів і основних правил управління інформаційною
безпекою.
Система управління інформаційною безпекою (СУІБ) –
це частина загальних процесів управління, яка відповідає
за планування, впровадження, підтримку, перевірку та
вдосконалення інформаційної безпеки.
MINDY
LMS

4.

Вона застосовується до всієї системи управління інформаційною безпекою (далі - СУІБ), як це визначено в базовому
документі СУІБ. Користувачами цієї політики є колеги Компанії, а також відповідні сторонні організації, з якими Компанія вступає
в правовідносини. Основні терміни політик, пов'язаних з СУІБ:
• Конфіденційність – характеристика інформації, згідно з якою вона доступна тільки для уповноважених осіб або систем.
• Цілісність – характеристика інформації, згідно з якою зміни в неї можуть вноситися тільки уповноваженими особами або
системами певним способом.
• Доступність – характеристика інформації, згідно з якою в разі необхідності вона може бути доступною для уповноважених осіб.
• Інформаційна безпека – забезпечення конфіденційності, цілісності та доступності інформації.
За системою управління Інформаційною безпекою відповідає IT Security Manager, дана людина ж визначає рівні
конфіденційності, цілісності та доступності інформації. Спільними завданнями системи управління інформаційною безпекою є:
• Захист активів компанії від зовнішніх і внутрішніх загроз.
• Створення кращого ринкового іміджу і зменшення потенційної шкоди, викликаної можливими аварійними ситуаціями,
мінімізація ризиків витоку даних.
MINDY
LMS

5.

INCIDENT MANAGEMENT PROCEDURE
(Процедура управління інцидентами)
1. Кожен контрактер, постачальник послуг або інший, пов'язаний з
компанією договірними відносинами і має доступ до конфіденційної
інформації самої компанії або компанії замовника, повинен повідомляти на
пошту Security Team([email protected]) або ж у систему Redmine (
ГА мають можливість самостійно повідомити про інцидент, або звернутися
до свого ТЛ, а ТЛ в свою чергу повідомить Security Team) про всі можливі
інциденти, вразливості інформаційної системи безпеки або порушення
політик безпеки.
2. До інцидентів можна віднести недотримання політик безпеки використання не зашифрованих мобільних носіїв інформації, установку
неліцензійного програмного забезпечення, недотримання правил пароля,
пропуск сторонніх людей в коворкінг без використання пропуску СКД,
передача пропуску СКД іншим користувачам, пересилання конфіденційної
інформації стороннім особам і тд.
3. Всі інциденти, зафіксовані IT-фахівцями, розслідуються,
необхідності проводяться дисциплінарні роботи і фіксуються в журнал.
MINDY
LMS
при

6.

CLEAR DESK AND CLEAR SCREEN POLICY
(Політика чистого столу та чистого екрану)
1. Вся інформація, яка потрапляє під визначення «Для внутрішнього користування» або
«Конфіденційна» розглядається в рамках цієї політики, як службова з обмеженим доступом.
2. При роботі з документами протягом дня вони повинні бути перевернуті вниз стороною з
текстом. При відсутності у коворкінгу (за своїм місцем) відповідальний колега повинен прибирати
такі документи із загального доступу - не залишати на столі, в лотку принтера, щоб виключити
можливість несанкціонованого доступу до конфіденційної інформації. Такі документи зберігаються в
ящиках під ключем.
3. При виконанні завдань за станцією надання послуг, що містить службову інформацію, всі
файли повинні бути прибрані з столу, видалені з корзини і повинні зберігатися на зашифрованому
джерелі. Залишаючи робоче місце, необхідно заблокувати його за допомогою клавіш Windows+L для
Windows, control+shift+power для mac OS, Сtrl+Аlt+L для Linux.
4. Порушення перерахованих умов, може бути розцінене, як інцидент, про який необхідно
повідомляти Security Team.
MINDY
LMS

7.

PASSWORD POLICY (Політика паролів)
Правила безпечного пароля:
• Довжина не менше 8 символів.
• Наявність прописних і заголовних букв.
• Наявність мінімум однієї цифри.
• Використанням мінімум одного спеціального символу ($%! ^ & * () + | ~ - = \ `{}
[]:"; '<>?, /).
• Пароль не повинен бути словом (літературним, жаргонним, діалектичним і тд)
будь-якої мови, а також його анаграмою.
• Пароль не повинен складатися з простих шаблонів 123456, admin, password,
qwerty і тд.
• Пароль не повинен бути заснований на особистій інформації - дата
народження, ім'я і номер телефону свої або членів сім'ї.
• Останні 10 використаних паролів не можуть бути використані повторно.
MINDY
LMS

8.

Паролі не можна:
1. Розголошувати іншим людям, в тому числі керівництву компанії і системним адміністраторам.
2. Записувати на папір або зберігати на не зашифрованому файлі.
3. Пароль повинен бути негайно змінений, якщо є підозра на можливе порушення правил, коли пароль
або система можуть бути скомпрометовані.
4. Пароль змінюється при першому вході в систему, потім додатково кожні 90 днів оновлюється.
5. Не можна встановлювати однакові паролі для особистих облікових записів і комерційних.
6. Не можна передавати дані свого облікового запису і пароля іншим персонам, навіть в рамках
компанії.
7. Тимчасові паролі (для першого входу в систему) повідомляються тільки за допомогою
корпоративної пошти.
8. При виході в систему пароль повинен бути прихованим.
9. При неправильному введенні пароля після 10 спроби система блокує обліковий запис.
10. Паролі дозволено зберігати виключно в парольних менеджерах або захищених файлах.
11. Порушення перерахованих умов, може бути розцінене, як інцидент, про який необхідно повідомляти
Security Team.
MINDY
LMS

9.

ACCESS CONTROL POLICY
(Політика контролю доступу)
1. Доступи до всіх ресурсів компанії, що містять
конфіденційну інформацію про саму компанію або
компанії замовника, надаються тільки після подачі
запиту через систему тікетів Redmine.
2. Доступ надається тільки при підписанні відповідних
договорів та їх додаткових угод з компанією.
3. У разі припинення співпраці з компанією всі доступи
повинні бути негайно скасовані через запит менеджера у
систему тікетів Redmine.
4. Порушення перерахованих умов, може бути розцінене, як
інцидент, про який необхідно повідомляти Security Team.
MINDY
LMS

10.

DISPOSAL AND DESTRUCTION POLICY (Політика
утилізації та знищення документів, обладнання та
інформаційних носіїв)
1. Обладнання та інформаційні носії повинні очищатися
від інформації, що міститься на них, перед будь-яким
з видів виведення з роботи (утилізація, продаж,
пожертвування і тд).
2. Також при передачі від одного користувача іншому,
при передачі на технічне обслуговування і тд
інформація також повинна бути видалена з
обладнання та інформаційних носіїв.
3. Паперові документи, що містять інформацію про
компанію та замовника, знищуються за допомогою
шредера.
4. Порушення перерахованих умов, може бути
розцінене, як інцидент, про який необхідно
повідомляти Security Team.
MINDY
LMS

11.

ДЯКУЄМО ЗА
УВАГУ!
Всі питання, побажання і коментарі по матеріалах
ти можеш направити на адресу –
[email protected]
MINDY
LMS
English     Русский Правила