ГОСТ Р ИСО/МЭК 27033-3—2014
А.4.2 Безопасность и служебная информация
1) Интерфейс пользователя для информации, содержащейся в системах, связанных с Интвр-
нет/Интранет,’Экстранет, которая должна быть классифицирована в качестве конфиденциальной или не конфи
денциальной. как определено в рекомендациях по корпоративной конфиденциальности, более подробные све
дения о которой можно найти в «Кадровой политике». Примеры конфиденциальной информации включают, но не
ограничиваются: секреты компании, корпоративные стратегии, чувствительную информацию о конкурентах, тор
говые секреты, спецификации, списки клиентов и данные исследований. Сотрудники должны принять все необ
ходимые меры для предотвращения несанкционированного доступа к этой информации.
2) Хранить пароли в секрете и не разделять учетные записи. Авторизованные пользователи несут ответ
ственность за сохранность своих паролей и учетных записей. Пароли системного уровня должны изменяться
ежеквартально, пароли уровня пользователя следует изменять каждые шесть месяцев.
3) Все персональные компьютеры, ноутбуки и рабочие станции должны быть обеспечены защищенной па
ролем заставкой с автоматической активацией, установленной на 10 минут или меньше, или отключением реги
страции (комбинация клавиш econtrol-alt-delete» для пользователей Win2KM), когда хост будет необслуживае
мым.
4) Использование шифрования информации в соответствии с «Политикой приемлемого использования
шифрования», разработанной InfoSec.
5) Поскольку информация, содержащаяся на портативных компьютерах особенно уязвима, ей должно быть
уделено особое внимание. Защита ноутбука осуществляется в соответствии с «Информацией по безопасности
для ноутбука».
6) Почтовые сообщения сотрудников из адреса электронной почты «Наименование комлании> для сетевых
телеконференций должны содержать оговорку о том. что выражено строго индивидуальное мнение, и оно не
обязательно совпадает с позицией «Наименование комлании>. кроме почтовых сообщений, участвующих в про
цессе бизнеса.
7) Все хосты, используемые служащими для подключения к Интврнет/Интранет/Экстранет «Наименование
компании> и принадлежащие сотруднику или «Наименование компании», должны непрерывно сканироваться
антивирусной программой с действующей (актуальной) базой данных вирусов, если не переопределены ведом
ственные или групповые политики.
8) Сотрудники должны соблюдать осторожность при открытии вложений электронной почты, полученных от
неизвестных отправителей, которые могут содержать вирусы, бомбы электронной почты, или код Троянского
коня.
А.4.3 Недопустимое использование
Перечисленные ниже виды деятельности строго запрещены. Служащие могут быть освобождены от этих
ограничений в ходе выполнения своих законных обязанностей (например, системам управления персоналом
может потребоваться отключение сетевого доступа к хосту, если этот хост нарушает производство услуг).
Ни при каких обстоятельствах сотруднику «Наименование компании» не разрешается выполнение какой-
либо деятельности, являющейся незаконной в соответствии с местным, государственным, федеральным или
международным правом, пока используются ресурсы, принадлежащие «Наименование компании».
Перечни ниже, не являются исчерпывающими, а пытаются обеспечить базу для деятельностей, которые
попадают в категорию недопустимого использования.
А.4.3.1 Системная и сетевая деятельность
Следующие мероприятия, без исключений, являются строго запрещенными:
1) нарушения прав любого лица или компании, защищенных авторскими правами, коммерческой тайной,
патентом или иной интеллектуальной собственностью, а также нарушения аналогичных законов или правил,
включая, но не ограничиваясь, установки или распространения «пиратских» или других программных продуктов,
которые не являются соответствующим образом лицензированными для использования «Наименование компа
нии»;
2) строго запрещено несанкционированное копирование материалов, защищенных авторским правом,
включая, но не ограничиваясь, оцифровку и распространение фотографий из журналов, книг или других источни
ков. защищенных авторским правом, защищенной авторским правом музыки, а также установка любого про
граммного средства защищенного авторским правом, на которое «Наименование компании» или конечный поль
зователь не имеет активной лицензии:
3) незаконным является экспорт программного обеспечения, технической информации, программного
обеспечения или технологии шифрования в нарушение международных или региональных законов о контроле
над экспортом. Соответствующим представителям менеджмента следует проконсультироваться перед экспор том
какого-либо рассматриваемого материала:
4) внедрение вредоносных программ в сеть или на сервер (например, вирусов, «червей», «Троянских ко
ней». «бомб» электронной почты, и т. д.);
5) раскрытие своего пароля учетной записи другим лицам или разрешение использовать свою учетную за
пись другими. Это касается членов семьи и других родственников, когда работа ведется на дому;
’’ Win2K - Операционная система MS Windows 2000.
27