Политика управления доступом к ИС

Настоящая политика определяет правила и методы защиты информационной системы «ВАШЕЙ КОМПАНИИ» от несанкционированного доступа. Эта практика поможет снизить возможность попадания информации в руки злоумышленников. Угрозы могут включать утрату чувствительной или конфиденциальной информации компании, интеллектуальной собственности, ущерб репутации, повреждение критических внутренних систем «ВАШЕЙ КОМПАНИИ» и т.д.

Одним из наиболее важных и часто упускаемых элементов обеспечения информационной безопасности является обучение сотрудников в целях повышения уровня безопасности «ВАШЕЙ КОМПАНИИ». Сотрудники должны понимать важность и ценность информации, которую они ежедневно обрабатывают. Обучение вопросам информационной безопасности должно предусматривать необходимость сохранения конфиденциальности всей информации, циркулирующей в информационной системе. Сотрудники должны быть проинформированы о том, что запрещено раскрывать любую информацию до тех пор, пока запрашивающая сторона не определена ими как имеющая право доступа.

Одной из важных последующих мер является написание политики информационной безопасности, в которой объясняется философия безопасности и ее место в бизнесе. С этой политикой должны быть ознакомлены все новые сотрудники.

Как знания сотрудников в области информационной безопасности помогут защитить вашу организацию? Злоумышленники, просто используя навыки в области «социальной инженерии», могут попытаться убедить сотрудников, что они имеют законное право получать информацию о «ВАШЕЙ КОМПАНИИ». Например, злоумышленник может позвонить в ваш отдел информационных услуг, утверждая что он является представителем вендора и просто запросить имя вашей системы, и какую операционную систему вы используете. Затем он может запросить имена ключевых сотрудников «ВАШЕЙ КОМПАНИИ». Вооружившись базовой информацией, этот нежелательный посетитель теперь знает, как определить вашу систему, какие «дыры» операционной системы он может использовать, и какие учетные записи могут использовать пользователи для доступа к системам.

Временные работники, подрядчики и консультанты представляют собой угрозу безопасности, так как на них обычно не распространяются тот же контроль как на штатных сотрудников «ВАШЕЙ КОМПАНИИ», но им может быть предоставлен такой же высокий уровень доступа к системе. Кроме того, иногда они знают, приложения и операционные системы, работающие в вашей сети лучше, чем ваши собственные сотрудники.

Необходимо наблюдать за этой категорией сотрудников более внимательно, пока вы не знакомы с их квалификацией, объемом их работы и, самое главное, уровнем доверия, который им возможно предоставить.

Честность и компетентность этой категории сотрудников должны тщательно контролироваться для обеспечения того, чтобы их работа была обоснованной и что они действительно работают в интересах «ВАШЕЙ КОМПАНИИ».

Вендоры, к примеру, могут намеренно и без злого умысла оставлять в вашей системе бэкдоры с целью защиты или изменения и обновления своих продуктов. Необходимо принять меры по недопущению подобных случаев.

1. Рабочие станции должны блокироваться при любом оставлении сотрудником рабочего места и требовать нового логона для продолжения работы.

2. Учетная запись любого сотрудника, который не осуществлял доступ к системе в течении шести месяцев должна быть удалена, а для возобновления доступа данный сотрудник должен пройти процедуру получения прав доступа к системе вновь.

3. Использование учетной записи несколькими сотрудниками недопустимо.

4. Учетные записи уволенных сотрудников должны блокироваться, права и привилегии учетных записей сотрудников, которые были переведены в другие подразделения «ВАША КОМПАНИИ», должны приводиться в соответствие с требованиями вновь занимаемой должности.

5. На компьютерах должны быть установлены приложения, где это возможно, предоставляющие возможность ведения отчетов и журналов входа пользователя в систему, а так же блокирующие учетную запись пользователя после определенного периода простоя. Должен иметься механизм, который блокирует вход учетной записи пользователя после нескольких неудачных попыток войти в систему.

• Политика допустимого использования ИС
• Политика использования электронной почты
• Антивирусная политика
• Парольная политика
• Политика шифрования
• Политика управления удаленным доступом к ИС
• Политика использования VPN
• Политика межсетевого взаимодействия