Политика использования программного обеспечения
Назначение и область действия
Настоящая политика устанавливается для инсталляции, настройки и администрирования программного обеспечения в целях:
Обеспечения безопасности системных файлов;
Поддержания безопасности программ и информации в прикладных системах;
Снижения рисков использования технических уязвимостей;
Обеспечение защиты прав интеллектуальной собственности;
Предотвращение нецелевого использования средств обработки информации.
Политика распространяется на всех работников фирмы и третьих лиц, использующих информационные ресурсы фирмы, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Во всех информационных системах фирмы разрешается использовать только лицензионное программное обеспечение в соответствии с требованиями действующего законодательства и соответствующих лицензионных соглашений.
|
|
Инсталляция, настройка и администрирование программного обеспечения осуществляются в соответствии с установленными процедурами.
Пользователям запрещается самовольно устанавливать программное обеспечение на компьютеры и другие средства обработки информации.
Пользователям запрещается использовать установленное программное обеспечение, не предназначенное для исполнения ими функциональных обязанностей, в том числе системные утилиты и программы.
Защита операционных систем и прикладного программного обеспечения от известных технических уязвимостей должна поддерживаться своевременной установкой критических обновлений безопасности
При внесении изменений в операционные системы, в том числе после установки обновлений, должна быть проведена проверка корректности работы критичных приложений.
Ответственность
Ответственность за инсталляцию, настройку и администрирование возлагается на службу информационных технологий. Ответственность за соблюдение политики возлагается на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы. Контроль выполнения и пересмотр политики возлагается на службу безопасности информации. Провести анализ
Назначение и область действия
Настоящая политика устанавливается для работы с мобильными устройствами обработки информации в целях обеспечения информационной безопасности при их использовании.
Для целей настоящей политики мобильными устройствами обработки информации считаются:
Портативные компьютеры;
Коммуникаторы;
Смартфоны;
Цифровые диктофоны и проигрыватели звука;
|
|
Фото-, видеокамеры;
GPS-навигаторы;
Любые другие устройства, имеющие компактные размеры и пригодные для переноса, которых реализованы функции записи, хранения, и/или обработки информации в любом формате ее предоставления
Политика распространяется на всех работников фирмы и третьих лиц, использующих мобильные устройства обработки информации для работы с информационными ресурсами фирмы, является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Использование мобильных устройств для работы с информационными ресурсами фирмы должно быть санкционировано руководителем исполнителя и согласовано с владельцами информационных ресурсов и службой информационной безопасности
Использование мобильных устройств обработки информации в контролируемых зонах может быть ограничено нормативными или организационно-распорядительными документами фирмы.
Использование мобильных устройств обработки информации при проведении совещания должно быть согласовано с организаторами совещания.
Пользователи мобильных устройств обработки информации должны быть осведомлены о дополнительных рисках и угрозах информационной безопасности при их использовании до начала работы с ними.
При использовании мобильных устройств, содержащих информацию фирмы в общедоступных и незащищенных местах, пользователи должны предпринимать все разумные меры защиты от:
Кражи;
Несанкционированного подключения к мобильным устройствам, в том числе, беспроводного;
Несанкционированного ознакомления с отображаемой информацией;
Установки вредоносного программного обеспечения и т.д.
Запрещается передавать мобильные устройства обработки информации, содержащие конфиденциальную или внутреннюю информацию фирмы в пользование третьим лицам.
Критическая и конфиденциальная информация, хранящаяся на мобильных устройствах, должна регулярно резервироваться, а резервные копии должны соответствующим образом защищаться от кражи и потери информации.
Для защиты конфиденциальной информации на мобильных устройствах следует применять СКЗИ.
При подключении мобильных устройств к информационным ресурсам фирмы через общедоступные сети, должны применяться надежные методы идентификации и аутентификации в соответствии с политикой управления доступом и установленными процедурами.
В случае кражи или утери мобильных устройств, используемых для хранения и/или обработки информации фирмы, пользователи обязаны незамедлительно информировать службу информационной безопасности.
Предоставление, администрирование и блокирование доступа мобильных устройств к информационным ресурсам фирмы осуществляется в соответствии с установленными процедурами.
Ответственность
Ответственность за предоставление, администрирование и блокирование доступа мобильных устройств к корпоративным информационным ресурсамвозлагается на службу информационных технологий.
Ответственность за соблюдение политики возлагается на всех сотрудников фирмы и третьих лиц, использующих мобильные устройства для работы с информационными ресурсами фирмы.
Контроль выполнения и пересмотр политики возлагается на службу безопасности информации.
Провести анализ