Назначение и область действия
Настоящая политика устанавливается для:
Управления доступом к информационным ресурсам в целях контроля доступа к информации;
Предотвращения неавторизованного доступа;
Обеспечения авторизованного доступа к информационным ресурсам, операционным системам и информации в системах приложений.
Политика распространяется на всех работников фирмы и третьих лиц, использующие информационные ресурсы, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Доступ сотрудника к информационным ресурсам должен быть санкционирован руководителем и владельцем соответствующих информационных ресурсов.
Управление доступом осуществляется в соответствии с установленными процедурами.
Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам осуществляется в процессе аудита информационной безопасности в соответствии с политикой аудита информационной безопасности и установленными процедурами.
|
|
Каждому пользователю информационных ресурсов присваивается уникальный идентификатор (имя пользователя). Предоставление доступа осуществляется на основе аутентификации.
В качестве методов аутентификации могут быть использованы пароли, физические носители кода, биометрические параметры и другие носители.
Пароль для первоначального входа в систему или физический носитель должен быть представлен пользователю способом, исключающим возможность его компрометации.
Для смены пароля пользователя в процессе работы должны использоваться интерактивные процедуры, обеспечивающие достаточное количество паролей.
Доступ пользователя к операционной системе должен контролироваться безопасным процессом регистрации.
Пользователь обязан регулярно менять свой пароль доступа к информационным ресурсам.
Передача пользователем своего пароля другому лицу запрещена.
При увольнении или смене места работы сотрудника или пользователя-контрагента, права его доступа к информационным ресурсам и средствам информации должны быть аннулированы или скорректированы.
Ответственность.
Ответственность за предоставление прав доступа к информационным ресурсамвозлагается на владельца информационного ресурса.
Ответственность за администрирование прав доступа к информационным ресурсам возлагается на службу информационных технологий.
Ответственность за соблюдение политики безопасности возлагается на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы.
|
|
Контроль выполнения и пересмотр политики возлагается на службу безопасности информации.
Провести анализ
Политика классификации информации
Назначение и область действия
Настоящая политика устанавливается для классификации информации в целях обеспечения адекватной защиты информационных ресурсов фирмы.
Политика распространяется на владельцев информационных ресурсов, а также на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы организации, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Для обеспечения адекватного потребностям бизнеса фирмы уровня защиты информационных ресурсов содержащаяся в них информация классифицируется в соответствии со степенью ее важности для фирмы.
Информация классифицируется по категориям:
Повышенные требования к обеспечению конфиденциальности, целостности и доступности.
Минимально достаточные требования.
Требования по защите не предъявляются.
К информации первой категории относятся:
Персональные данные;
Коммерческая тайна;
Другая информация, в отношении которой требования к обеспечению конфиденциальности, целостности и доступности, установлены действующим законодательством, условиями соглашений с контрагентами или решениями владельца такой информации.
К информации второй категории относится внутренняя информация, являющаяся собственностью фирмы и не отнесенная к первой и третьей категории, включая любые служебные документы.
К информации третьей категории относится общедоступная информация и информация, предназначенная для публикации.
Информационные ресурсы, содержащие классифицированную информацию, снабжаются соответствующей маркировкой.
Конфиденциальная информация не подлежит передаче по открытым каналам передачи данных и в открытой переписке, в личных и деловых переговорах по открытым каналам связи и средствах массовой информации.
Использование персональных данных в деятельности фирмы проводится только с согласия их владельца. Порядок использования определяется соответствующими внутренними документами фирмы.
Присвоенная информация классификационной категории подвергается периодическому пересмотру.
Ответственность.
Ответственность за проведение классификации информации возлагается а ее владельца.
Ответственность за соблюдение политики безопасности возлагается на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы.
Контроль выполнения и пересмотр политики возлагается на службу безопасности информации.
Провести анализ