- Каждый случай уничтожения носителей конфиденциальной информации необходимо регистрировать.
Следующая информация на носителях перед списанием, ремонтом или утилизацией носителя должна быть надежно удалена:
- входная документация;
- выходные отчеты;
- информация на жёстких дисках;
- информация на магнитных лентах;
- информация на съемных дисках или кассетах;
- распечатки программ;
- тестовые данные;
- системная документация.
Необходимо также уничтожать копировальную бумагу и одноразовые ленты для принтеров, так как на них может находиться остаточная информация.
А.3 Правила парольной защиты
Пользователи должны следовать установленным в Компании процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения прав доступа пользователей к информационным системам.
Пользователь обязан:
- Не разглашать идентификационные данные.
- Использовать пароли, отвечающие критериям качественного пароля, принятым в Компании.
- Менять временный пароль при первом входе в информационную систему.
- Регулярно менять пароли.
- Не использовать автоматический вход в систему.
Политика паролей для пользовательских учетных записей
1) Длина пароля – не менее 8 символов.
2) Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
3) Максимальный срок действия пароля должен быть ограничен двумя месяцами.
4) Учетная запись пользователя, не сменившего вовремя пароль, должна автоматически блокироваться. Блокировка должна сниматься «вручную» системным администратором или специалистом службы технической поддержки с одновременной сменой пароля пользователя.
5) Новый пароль пользователя не должен совпадать как минимум с тремя предыдущими паролями.
6) Пароль не должен совпадать с именем учетной записи пользователя.
7) Для предотвращения попыток подбора пароля после 5 неудачных попыток авторизации учетная запись пользователя должна блокироваться на 30 минут, после чего блокировка должна автоматически сниматься. В журнал системных событий сервера должно заноситься сообщение о многократно неудавшихся попытках авторизации пользователя.
8) Рекомендуется, чтобы пароли пользователей на доступ к различным ресурсам корпоративной информационной системы (для учетных записей домена, электронной почты, базы данных) различались.
9) Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
Политика паролей для административных учетных записей
10) Длина пароля – не менее 16 символов.
11) Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
12) Максимальный срок действия пароля должен быть ограничен одним месяцем.
13) Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.
14) Пароль не должен совпадать с именем учетной записи пользователя.
15) В случае неудавшейся попытки авторизации в журнал системных событий сервера должно заноситься соответствующее сообщение. При многократных неудавшихся попытках авторизации должно генерироваться предупреждение системы обнаружения вторжений.
16) Пароли на доступ к различным ресурсам должны различаться, не допускается использование универсальных паролей для административных учетных записей.
17) Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
18) Криптографические ключи, используемые для аутентификации, должны быть защищены парольными фразами. Требования к стойкости парольных фраз криптографических ключей идентичны требованиям к паролям административных учетных записей.
А.4 Правила защиты от вредоносного программного обеспечения
На предприятии должны быть реализованы меры по обнаружению и предотвращению проникновения вредоносного программного обеспечения в систему и процедуры информирования пользователей об угрозах вредоносного программного обеспечения. При создании соответствующих мер для защиты от вредоносного программного обеспечения следует учесть:
- На предприятии должна быть определена формальная политика, требующая соблюдения условий лицензий на использование программного обеспечения и запрещающая использование несанкционированных программ.
- Антивирусные программные средства следует использовать следующим образом:
1) программные средства обнаружения конкретных вирусов (которые должны регулярно обновляться и использоваться в соответствии с инструкциями поставщика) следует применять для проверки компьютеров и носителей информации на наличие известных вирусов;
2) программные средства обнаружения изменений, внесенных в данные, должны быть по необходимости инсталлированы на компьютерах для выявления изменений в выполняемых программах;
3) программные средства нейтрализации вредоносного программного обеспечения следует использовать с осторожностью и только в тех случаях, когда характеристики вирусов полностью изучены, а последствия от их нейтрализации предсказуемы.
- Необходимо проводить регулярную проверку программ и данных в системах, поддерживающих критически важные производственные процессы. Наличие случайных файлов и несанкционированных исправлений должно быть расследовано с помощью формальных процедур.
- Дискеты неизвестного происхождения следует проверять на наличие вредоносного программного обеспечения до их использования.
- Необходимо определить процедуры уведомления о случаях поражения систем компьютерными вирусами и принятия мер по ликвидации последствий от их проникновения. Следует составить надлежащие планы обеспечения бесперебойной работы организации для случаев вирусного заражения, в том числе планы резервного копирования всех необходимых данных и программ и их восстановления.
Например, на предприятии должны выполняться следующие правила:
- В информационной системе предприятия должно быть установлено только лицензионное программное обеспечение (согласно Перечню программного обеспечения, разрешенного к использованию в ИС предприятия). Использование нелицензионного программного обеспечения недопустимо.
- На всех рабочих станциях и серверах должно быть установлено антивирусное программное обеспечение.
- Обновление антивирусных баз должно происходить ежедневно или по мере поступления обновлений от производителя антивирусного программного обеспечения.
- В информационной системе предприятия регулярно (не реже чем раз в три дня) должно проводиться полное сканирование всех файлов на предмет обнаружения вредоносного программного обеспечения.
- Все входящие файлы должны автоматически проверяться на вирусы.
- Системы, занимающиеся обработкой критичных данных, должны постоянно анализироваться на предмет обнаружения вредоносного кода.
- Если возникает ситуация, когда следует отключить антивирусное программное обеспечение (конфликт между установленным программным обеспечением и др.), то следует получить разрешение у специалиста службы информационной безопасности и сообщить об этом специалисту службы информационных технологий. После проведения процедур специалист службы информационных технологий обязан незамедлительно включить антивирусное программное обеспечение.
Сотрудникам предприятия строго запрещается:
- Выключать антивирусное программное обеспечение.
- Запускать какие-либо файлы, полученные по электронной почте, на исполнение.
- Загружать файлы с неизвестных ресурсов.
- Разрешать удалённый доступ на запись к папкам, если это не требуется для выполнения бизнес-функций.
На предприятии должна быть разработана политика удаленного доступа к информационной системе предприятия. Все пользователи должны быть ознакомлены с политикой под роспись. При создании правил осуществления удаленного доступа следует учесть:
- Средства защиты, которые должны быть установлены на ресурсе, с которого осуществляется доступ.
- Перечень сведений, к которым может осуществляться удаленный доступ.
- Группы пользователей, которые могут осуществлять удаленный доступ к ресурсам информационной системы предприятия.
- Вид доступа групп пользователей, которые могут осуществлять удаленный доступ к ресурсам информационной системы предприятия (матрица доступа).
- Каналы, по которым может осуществляться удаленный доступ.
- Правила работы в сети Интернет и использования электронной почты.
- Программное обеспечение, с помощью которого может осуществляться удаленный доступ к ресурсам информационной системы предприятия.
- Все пользователи осуществляют доступ только к выделенным им при поступлении на работу персональным компьютерам.
- Пользователи и администраторы должны, уходя со своего рабочего места, блокировать доступ к своему рабочему компьютеру.
- Обязательно корректно завершать сессии на серверах по их окончании (а не просто выключать компьютеры или терминалы).
- Пользователям и администраторам СТРОГО запрещается :
1) выключать антивирусные мониторы и персональные межсетевые экраны без разрешения специалиста службы информационной безопасности;
2) сообщать кому-либо свои идентификационные данные и передавать электронные ключи доступа к персональным компьютерам;
3) осуществлять доступ к персональным станциям других пользователей или к серверам;
4) пытаться осуществлять несанкционированный доступ к любым объектам корпоративной сети.
Назначение