Смекни!
smekni.com

Конфиденциальная информация (стр. 1 из 5)

СОДЕРЖАНИЕ

1. Инструкция по организации антивирусной защиты

2. Инструкция по организации парольной защиты

3. Порядок обращения с информацией подлежащей защите

4. План обеспечения непрерывной работы и восстановления

5. Соглашение о неразглашении конфиденциальной информации

Список литературы

ЛАБОРАТОРНАЯ РАБОТА 4

ИНСРУКЦИЯ ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ

Общие положения

1. Настоящая Политика определяет правила, которыми должны руководствоваться сотрудники при организации антивирусной защиты.

2. Целью защиты от вирусов и других вредоносных программ является предотвращение ущерба от действий, производимыми данными программами.

Область применения

Положения настоящей Политики распространяются на все работы, связанные с обеспечением антивирусной защиты, а так же на всех сотрудников, которым предоставлен доступ к информационным ресурсам.

Правила использования средств антивирусной защиты

1. К использованию допускаются только лицензионные антивирусные средства, закупленные у поставщиков указанных средств.

2. Установка и настройка параметров средств антивирусного контроля на рабочих станциях и серверах КВС осуществляется уполномоченными сотрудниками отдела обслуживания вычислительной техники.

3. Обновление антивирусных средств должно происходить в автоматическом режиме. Допускается работа антивируса с обновлениями не старше 72 часов.

4. Антивирусный контроль всех дисков и файлов рабочих станций должен проводиться еженедельно.

5. На каждой рабочей станции и сервере в резидентном режиме должен быть запущен антивирусный монитор.

6. Обязательному антивирусному контролю подлежит любая информация, получаемая по телекоммуникационным каналам связи и на съемных носителях.

7. Устанавливаемое программное обеспечение должно быть предварительно проверено на наличие вирусов.

8. Каждый пользователь КВС должен быть осведомлен об опасности заражения вирусами и обучен работе с антивирусным ПО. Обязанности по обучению пользователей по использованию антивирусного ПО возлагаются на администратора ЛВС.

Ответственность

Ответственность за организацию антивирусного контроля в подразделении возлагается на руководителя подразделения. Ответственность за проведение мероприятий антивирусного контроля в подразделении возлагается на ответственного за обеспечение безопасности информации в подразделении и всех сотрудников подразделения, являющихся пользователями АС. За нарушение положений данной Политики сотрудники могут быть отстранены от доступа к ресурсам КВС и несут ответственность в соответствии с законодательством РФ.

2. ИНСТРУКЦИЯ ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ

Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной сети ФГОУ ВПО Костромской ГСХА далее ЛС, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ЛС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников ИТЦ - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

¨ длина пароля должна быть не менее 8 символов;

¨ в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

¨ пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

¨ при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

¨ личный пароль пользователь не имеет права сообщать никому.

3. При наличии в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей).

4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 40 дней.

5. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться уполномоченными сотрудниками ИТЦ – администраторами соответствующих средств защиты немедленно после окончания последнего сеанса работы данного пользователя с системой.

6. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 5 настоящей Инструкции.

7. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory).

3. ПОРЯДОК ОБРАЩЕНИЯ С ИНФОРМАЦИЕЙ ПОДЛЕЖАЩЕЙ ЗАЩИТЕ

Настоящий Порядок разработан с целью соблюдения надлежащих правил обращения с не содержащими государственной тайны конфиденциальными и другими защищаемыми сведениями, а также защиты прав и интересов ОРГАНИЗАЦИИ, ее клиентов и корреспондентов в случае неправомерного обращения с защищаемой информацией.

ОРГАНИЗАЦИЯ, как собственник (владелец) информации, принимает меры по защите банковской тайны, персональных данных, служебной тайны, своей коммерческой тайны и другой информации в соответствии с предоставленными ему действующим законодательством правами и обязанностями.

К категориям конфиденциальных относятся сведения, удовлетворяющие следующим критериям:

¨ они не являются общеизвестными или общедоступными на законных основаниях;

¨ монопольное обладание этими сведениями даёт ОРГАНИЗАЦИИ коммерческие преимущества, экономическую и иную выгоду и разглашение или открытое использование которых может привести к нанесению ущерба (материального, морального, физического) ОРГАНИЗАЦИИ, его клиентам или корреспондентам (коммерческая тайна);

¨ в отношении которых ОРГАНИЗАЦИЯ обязана обеспечить реализацию необходимых мер защиты (банковская тайна, персональные данные, служебная тайна);

¨ эти сведения не защищены действующим законодательством (авторским, патентным правом и т.п.).

3. Под банковской тайной понимаются сведения об операциях, счетах и вкладах, а также сведения о клиентах и корреспондентах Банка, подлежащие обязательной защите согласно ст. 26 Закона РФ «О банках и банковских деятельности» и ст. 857 Гражданского кодекса.

Под служебной тайной понимаются сведения, не являющиеся банковской тайной, и подлежащие обязательной защите согласно «Перечня сведений ограниченного распространения в ОРГАНИЗАЦИИ», введенного Приказом № __ от __.__.__г.

Под коммерческой тайной ОРГАНИЗАЦИИ понимаются сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью ОРГАНИЗАЦИИ, разглашение (передача, утечка, открытое использование) которых может привести к нанесению ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.

Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни граждан, позволяющие идентифицировать их личность.

4. Перечень сведений (информационных ресурсов), составляющих банковскую тайну определяется в соответствии с Законом РФ «О банках и банковских деятельности».

5. Перечень сведений (информационных ресурсов), составляющих коммерческую тайну ОРГАНИЗАЦИИ, неправильное обращение с которыми может нанести ущерб их собственнику, владельцу или иному лицу, определяется руководством ОРГАНИЗАЦИИ на основании предоставленных действующим законодательством прав.

6. Указанные перечни оформляются в виде “Перечня информационных ресурсов, подлежащих защите” (Приложение 4 к Положению об определении требований к защите (категорировании) ресурсов).

Кроме конфиденциальной информации в данный «Перечень ...» включается информация, подлежащая защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может привести к нанесению ощутимого ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.

7. ОРГАНИЗАЦИЯ, как собственник (владелец) информации, составляющей коммерческую тайну ОРГАНИЗАЦИИ, имеет право передавать и продавать ее другим юридическим и физическим лицам в качестве товара при условии, что данная сделка не противоречит обязательствам ОРГАНИЗАЦИИ, не ущемляет права и не наносит вред самому ОРГАНИЗАЦИИ, его сотрудникам, клиентам или корреспондентам.

Раскрытие юридическим или физическим лицам коммерческой тайны ОРГАНИЗАЦИИ возможно в случае привлечения их к совместной хозяйственной, финансовой и иной деятельности, требующей передачи конфиденциальных сведений, и только в том объеме, который необходим для реализации целей и задач ОРГАНИЗАЦИИ, а также при условии принятия ими на себя обязательств по неразглашению и исключению неправомерного использования полученных сведений.