Читайте также:
|
В ЗАО «Консультант Плюс» функционирует политика безопасности.
В компании действуют следующие нормативно-правовые документы в области защиты информации и информационной безопасности (ИБ):
- Положение о конфиденциальной информации
- Положение об использовании программного обеспечения
- Положение об использовании электронной почты
- Положение об использовании сети Интернет
- Положение об использовании мобильных устройств и носителей информации
- Правила внутреннего трудового распорядка
- Приказ о введении политики информационной безопасности
- Приказ о введении Правил внутреннего трудового распорядка
- Приказ о введении внутриобъектового пропускного режима
За исполнение этих нормативно-правовых документов отвечают начальник службы безопасности и начальник отдела системного администрирования.
В трудовых договорах сотрудников предприятия есть пункт, посвященный неразглашению конфиденциальной информации в течение срока действия договора, а также трех лет после его прекращения. Сотрудники обязаны выполнять все относящиеся к ним требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны и иной конфиденциальной информации Работодателя, соблюдению внутриобъектового и пропускного режимов.
При использовании сотрудниками электронной почты запрещено:
1) Использовать электронную почту в личных целях.
2) Передавать электронные сообщения, содержащие:
a. конфиденциальную информацию,
b. информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя.
c. информацию, защищенную авторскими или другим правами, без разрешения владельца.
d. Информацию, файлы или ПО, способные нарушить или ограничить функциональность программных и аппаратных средств корпоративной сети.
3) Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
4) По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
5) Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).
6) Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
7) Шифровать электронные сообщения без предварительного согласования с администраторами ИС.
При использовании сети Интернет запрещено:
1) Использовать предоставленный Организацией доступ в сеть Интернет в личных целях.
2) Использовать специализированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет.
3) Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Организации.
4) Публиковать, загружать и распространять материалы содержащие:
a) Конфиденциальную информацию,
b) Информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности.
5) Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
6) Вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности аппаратных и программных средств, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию.
7) Фальсифицировать свой IP-адрес, а также прочую служебную информацию.
В ЗАО «Консультант Плюс» разрешено применение ограниченного перечня коммерческого ПО (согласно Реестру разрешенного к использованию программного обеспечения) и бесплатного ПО (необходимого для выполнения производственных задач). Пользователям запрещается устанавливать на свои ПК прочее программное обеспечение.
В ИС ЗАО «Консультант Плюс» допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО.
На программном уровне предпринимается управление доступом на основе ролей в службе каталогов Microsoft Active Directory, а также при доступе к СУБД. Эта же служба осуществляет управление паролями пользователей: у каждого пароля есть срок действия, по истечении которого пользователь вынужден задать другой пароль; система не позволяет ввести слишком короткий или слишком простой пароль. Таким образом достигается защита от несанкционированного доступа к системе.
Для защиты ЛВС и компьютеров от внешних угроз используется пакет Kaspersky Enterprise Space Security, который выполняет следующие функции:
1) Защита от хакерских атак. Современные хакеры используют для атак кейлоггеры (клавиатурные шпионы) и руткиты — программы, которые позволяют получить несанкционированный доступ к данным и при этом избежать обнаружения. Антивирусное ядро эффективно нейтрализует эти угрозы, предотвращая несанкционированный доступ к компьютерам корпоративной сети.
2) Защита от фишинга. База URL-адресов фишинговых сайтов постоянно пополняется; с ее помощью распознаются и блокируются подозрительные ссылки, а также фильтруются фишинговые электронные сообщения, повышая уровень защиты ЛВС.
3) Сетевой экран. Сетевой экран нового поколения, а также встроенная в него система обнаружения и предотвращения вторжений, обеспечивают защиту пользователей при работе в сети.
4) Безопасная работа с электронной почтой. Весь поток почтовых сообщений сканируется на уровне протоколов передачи данных (POP3, IMAP, MAPI и NNTP для входящей почты и SMTP для исходящей), включая SSL-соединения. Сканируются в том числе файлы и ссылки, передаваемые через программы мгновенного обмена сообщениями (ICQ, MSN и др.). Проверка почтовых сообщений осуществляется в режиме реального времени. Зараженные объекты подвергаются лечению или удаляются.
5) Контроль использования съемных устройств. Вредоносные программы могут проникнуть на компьютеры корпоративной сети через USB-носители, а также внешние устройства ввода/вывода и хранения данных. Kaspersky Enterprise Space Security позволяет проводить антивирусную проверку таких устройств и контролировать их использование, предотвращая заражение сети.
6) Защита от массовых спам-рассылок. В приложении для защиты почты, входящем в состав Kaspersky Enterprise Space Security, реализованы передовые технологии эвристического и лингвистического анализа сообщений, а также эффективные методы выявления спама, поступающего в виде изображений. Kaspersky Enterprise Space Security также поддерживает работу с системой мгновенного обнаружения угроз (UDS), содержащей сведения о новейших угрозах, обновляемые в режиме реального времени. Это позволяет отфильтровывать более 99% нежелательных электронных сообщений.
1.3. Анализ существующих разработок и выбор стратегии автоматизации «КАК ДОЛЖНО БЫТЬ»
Дата добавления: 2015-09-06; просмотров: 421 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Обоснование необходимости использования вычислительной техники для решения задачи | | | Анализ существующих разработок для автоматизации задачи |