Сергей Петренко - Политики безопасности компании при работе в Интернет
Цель
Политика хранения электронной почты предназначена для помощи сотрудникам в определении, какая информация, посланная или полученная по электронной почте, должна быть сохранена и на какой срок.
По вопросам надлежащей классификации информации следует обращаться к вашему менеджеру. По вопросам, связанным с этой политикой, нужно обращаться в отдел информационной безопасности.
Вся информация, содержащаяся в сообщениях электронной почты, разделена на четыре основные категории, определяющие время хранения:
• административная корреспонденция – 4 года;
• финансовая корреспонденция – 4 года;
• общая корреспонденция – 1 год;
• недолговечная корреспонденция (хранят, пока не прочитают, потом уничтожают).Суть политики
Административная корреспонденция. Административная корреспонденция компании включает (но не ограничена этим) информацию об отпусках, поведении на рабочем месте и о любых юридических проблемах, например о нарушении интеллектуальной собственности. Вся электронная почта с пометкой «Для руководства» будет рассматриваться как административная корреспонденция. Для гарантии сохранения административной корреспонденции создан почтовый ящик [email protected] при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.
Финансовая корреспонденция. Финансовая корреспонденция – вся информация, связанная с доходами и расходами компании. Для гарантии сохранения финансовой корреспонденции создан почтовый ящик [email protected] при копировании сообщения на этот адрес ответственность за его хранение будет нести отдел информационных технологий.
Общая корреспонденция. К общей корреспонденции относится информация, которая имеет отношение к взаимодействию с клиентами. Каждый сотрудник ответственен за хранение электронной почты такого типа.
Недолговечная корреспонденция. Недолговечная корреспонденция, безусловно, наиболее объемная категория, включающая личную электронную почту, запросы или рассылки, электронную почту, связанную с разработкой продуктов и услуг и т. д.
Службы мгновенного обмена сообщениями. Общая корреспонденция, проходящая через службы мгновенного обмена сообщениями, может быть сохранена с использованием функции журналирования службы или путем копирования в файл. Сообщения, проходящие через службу мгновенного обмена сообщениями, которые являются административными или финансовыми, должны быть скопированы и отправлены по электронной почте на соответствующий адрес для хранения.
Шифрование сообщений. Шифрование сообщений должно соответствовать политике обработки и хранения информации, но, вообще, информация должна храниться в незашифрованном виде.
Восстановление удаленных почтовых сообщений с использованием резервных копий. Отдел информационных технологий отвечает за поддержание резервных копий в актуальном состоянии с хранением копий за пределами компании.Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Разрешенная электронная почта – все почтовые системы, поддерживаемые отделом информационных технологий. Если в связи с выполнением служебных обязанностей необходимо использовать адрес электронной почты вне компании, следует обратиться в отдел информационных технологий.
Разрешенное шифрование электронной почты и файлов – методы шифрования, включающие использование DES и PGP. Шифрование DES доступно во многих бесплатных программах на всех платформах. Для использования PGP в компании необходимо приобрести лицензию. За помощью в приобретении нужно обратиться в отдел информационных технологий.
Разрешенное средство мгновенного обмена сообщениями – Jabber Secure IM Client – является единственным средством мгновенного обмена сообщениями, разрешенным для использования на компьютерах компании.
Средства контроля доступа – методы электронной защиты файлов от получения к ним доступа неавторизованными сотрудниками, кроме тех, кому это разрешено владельцем ресурса.
Незащищенные каналы – все каналы связи, которые не находятся под контролем компании.
Шифрование – важная информация защищается в соответствии с политикой допустимого шифрования. Международные законы по использованию средств шифрования неоднозначны. Следуйте корпоративным руководящим документам по использованию средств криптографии и консультируйтесь с вашим менеджером и/или корпоративными юридическими службами.
5. Политика использования электронной почты компанииЦель
Недопущение нанесения ущерба имиджу компании, поскольку электронная почта, отправляемая с электронного почтового адреса компании, рассматривается сторонними лицами и организациями как официальное утверждение от имени компании.
Эта политика описывает порядок использования электронной почты, посылаемой с почтовых адресов компании, и должна выполняться всеми служащими, продавцами и агентами, работающими от имени компании.Суть политики
Запрещается! Система электронной почты компании не должна использоваться для создания или распространения любых материалов, не связанных с деятельностью компании, включая материалы националистического, сексуального, порнографического, религиозного и политического характера. Сотрудник, получивший электронное письмо такого содержания от любого работающего в компании, должен немедленно сообщить об этом своему руководителю.
Использование в личных целях. Использование ресурсов компании в личных целях приемлемо в разумных пределах, но такие электронные письма должны храниться в отдельной папке.
Отправка рекламных писем или развлекательных почтовых сообщений от имени компании запрещена. Отправка предупреждений о вирусах и любых других предупреждений, массовые отправки почтовых сообщений от имени компании должны быть одобрены руководством компании перед посылкой. Эти ограничения относятся также к переадресации почты, полученной служащим.
Мониторинг. Сотрудникам компании не следует ожидать соблюдения конфиденциальности почтовых сообщений при хранении, отсылке или приеме почты в системе электронной почты компании. Компания может контролировать почтовые сообщения без уведомления сотрудника.Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.
Термины и определения
Электронная почта – передача информации через почтовый протокол типа SMTP или IMAP. Почтовыми клиентами могут быть, например, Eudora или Microsoft Outlook.
Переадресация почты – электронная почта, полученная на почтовый адрес компании и перенаправленная на почтовый адрес, не принадлежащий компании.
Важная информация – информация, разглашение которой может повредить компании или репутации ее клиентов, или положению на рынке.
Предупреждение о вирусе – предупреждение о возможном заражении вирусом. Подавляющее большинство таких электронных сообщений является обманом и содержит информацию для запугивания или введения в заблуждение сотрудников.
Разглашение информации – намеренное или неумышленное раскрытие ограниченной для распространения информации людям, которые не должны ее знать.
6. Политика использования паролей Пароли – важный аспект компьютерной безопасности. Они являются первой линией защиты учетных записей сотрудников. Неправильно выбранный пароль может привести к проникновению злоумышленника в корпоративную сеть компании. Все сотрудники компании (включая подрядчиков и продавцов, имеющих доступ к информационным системам компании) ответственны за правильный выбор и хранение паролей (в соответствии с приведенными ниже рекомендациями).Цель Цель этой политики состоит в том, чтобы установить стандарты по созданию устойчивых к взлому паролей, по защите этих паролей и определению частоты изменения паролей.
Область действия Все, кто имеет доступ или ответственен за предоставление доступа к любой информационной системе компании.
Суть политики
Общие вопросы:
• все пароли уровня системы (например, для root в системах UNIX, для enable в оборудовании Cisco, для administrator в системах Windows, администраторские пароли в приложениях и т. д.) должны меняться по крайней мере один раз в квартал;