Сергей Петренко - Политики безопасности компании при работе в Интернет

Изменение подключения и доступа. Все изменения в подключении и предоставлении доступа должны соответствовать бизнес-потребностям и являются объектом для оценки безопасности. Изменения осуществляются через корпоративную процедуру управления изменениями. Сторонняя организация должна немедленно уведомлять отдел экстранета и отдел информационной безопасности о любых изменениях в подключении или доступе.

Отключение. Сторонняя организация должна уведомить отдел экстранета компании, когда доступ становится не нужен, для прекращения подключения. Это может означать изменение существующих списков доступа или физический разрыв соединения. Отдел экстранета и группа, отвечающая за безопасность лабораторий, должны проводить ежегодный аудит для обеспечения гарантии, что все подключения все еще необходимы и уровень доступа не выше требуемого для выполнения задач. Подключения, не удовлетворяющие этим требованиям, должны быть немедленно разорваны. Отдел информационной безопасности и/или отдел экстранета должны уведомлять стороннюю организацию перед внесением изменений или прекращением подключения.

Ответственность

К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

18. Политика этики

Целью компании при написании этой политики является установление культуры открытости, доверия и целостности в деловой деятельности. Эффективная этика – командное усилие, включающее участие и поддержку каждого сотрудника компании. Все служащие должны быть ознакомлены с руководящими принципами этики.

Компания обязуется защищать сотрудников, партнеров, вендоров и собственный бизнес от злонамеренных умышленных и неумышленных действий. Если компания активно борется с проблемами и правильно использует законодательство, это помогает ей в борьбе с конкурентами.

Компания должна быстро использовать соответствующие меры и средства для решения проблемы при нарушении кодекса этики. Любые нарушения данного кодекса недопустимы.

Цель Цель публикации этого кодекса этики состоит в том, чтобы подчеркнуть ожидания сотрудников и потребителей в практике деловых отношений. Эта политика будет служить основой делового поведения, гарантируемого этическими нормами.

Область действия Данная политика применима ко всем сотрудникам, контрактникам, консультантам, временным сотрудникам и другим работающим в компании, включая весь персонал сторонних организаций-партнеров.

Суть политики

Обязанности руководства по следованию кодексу этики:

• высшее руководство должно быть первым и главным примером в следовании кодексу этики. В любой деловой практике честность и целостность должны быть главным приоритетом для руководства;

• высшее руководство должно следовать политике открытых дверей и приветствовать предложения и замечания, исходящие от сотрудников. Это позволит сотрудникам комфортно обсуждать любые проблемы и будет напоминать руководству о необходимости заботиться о своей рабочей силе;

• руководство должно разрешать любой конфликт в соответствии с интересами сотрудников компании.

Обязанности сотрудников по следованию кодексу этики:

• сотрудники компании будут рассматривать интересы каждого справедливо, соблюдая взаимное уважение, способствуя работе в команде и предупреждая намерения и проявления неэтичного поведения;

• каждый сотрудник должен прилагать интеллектуальные усилия для поддержания этических ценностей;

• сотрудники должны разрешать любые конфликты интересов в соответствии с их позицией в компании;

• сотрудники обязаны помогать компании в повышении степени удовлетворенности клиентов и поставщиков компании посредством своевременного и качественного обслуживания.

Осведомленность компании:

• содействие этическому поведению в межличностных отношениях должно вознаграждаться;

• компания должна создавать атмосферу доверия и честности для укрепления этики в компании.

Поддержка этической практики:

• компания обязана укреплять важность целостности сообщений, и тон в этом должно задавать руководство. Каждый сотрудник, менеджер и директор должны следовать принципам этического поведения;

• сотрудники компании должны поощрять принципы открытого диалога, получение честных ответов и рассматривать интересы каждого человека справедливо, честно и объективно;

• компании следует создать комитет лучших практик для получения уверенности в том, что кодекс этики доступен всем сотрудникам. Сотрудники могут обращаться в этот комитет по любым вопросам, связанным с кодексом этики.

Неэтичное поведение:

• компания должна предупреждать намерения и проявления неэтичного поведения и действий;

• компания не должна принимать участие в преследовании и дискриминации;

• неавторизованное использование торговых и маркетинговых секретов компании, операционной, персональной, финансовой, технической информации и исходного кода компании, обеспечивающих ее конкурентное преимущество, недопустимо;

• компания всегда должна действовать этично, в соответствии с законодательством;

• сотрудникам компании запрещено использовать корпоративные активы и деловые отношения для собственных целей или выгоды.

Ответственность

Любые нарушения этого кодекса этики недопустимы, и компания будет действовать быстро для исправления ситуации.

К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

19. Политика лаборатории антивирусной защиты

Цель

Установление требований, которым должны отвечать все компьютеры, подключенные к сети лаборатории компании, для гарантии их защиты от заражения вирусами.

Область действия Эта политика обязательна для всех компьютеров лаборатории компании.

Суть политики Все компьютеры лаборатории должны иметь стандартное, рекомендованное к использованию в компании антивирусное программное обеспечение. Антивирусное программное обеспечение должно иметь самую свежую базу обновлений. Компьютеры, зараженные вирусом, необходимо немедленно удалять из сети до тех пор, пока они не будут вылечены. Менеджеры и администраторы лаборатории ответственны за создание процедур, гарантирующих, что антивирусное программное обеспечение выполняет периодическую проверку компьютеров и имеет самые свежие базы обновлений. Запрещена, в соответствии с политикой допустимого использования, любая деятельность по созданию/распространению вирусов, «червей», почтовых «бомб», программ типа «Троянский конь».

...

Примечание: политика охватывает только компьютеры с операционной системой Windows.

Ответственность

К любому сотруднику, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Приложение 5 ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ЗАТРАТ НА ЗАЩИТУ ИНФОРМАЦИИ

1. Оценка затрат на защиту информации

Сегодня в отечественных компаниях и на предприятиях с повышенными требованиями в области информационной безопасности (банковские системы, биллинговые системы, ответственные производства и т. д.) затраты на обеспечение режима информационной безопасности составляют до 30 % всех затрат на информационную систему, и владельцы информационных ресурсов со всей серьезностью рассматривают экономические аспекты обеспечения их безопасности. Однако даже там, где уровень информационной безопасности явно недостаточен, у технических специалистов зачастую возникают проблемы обоснования для руководства необходимости затрат на повышение этого уровня. Как определить экономически оправданные затраты на защиту информации? Какие методы существуют и жизнеспособны на практике? Давайте рассмотрим эти вопросы.

Обзор существующих методов

Первоначально определимся с целями, которые мы преследуем при выборе метода оценки целесообразности затрат на систему информационной безопасности. Во-первых, метод должен обеспечивать количественную оценку затрат на безопасность, используя качественные показатели оценки вероятностей событий и их последствий. Во-вторых, метод должен быть прозрачен с точки зрения пользователя и давать возможность вводить собственные эмпирические данные. В-третьих, метод должен быть универсален, то есть одинаково применим к оценке затрат на приобретение аппаратных средств, специализированного и универсального программного обеспечения, затрат на услуги, затрат на перемещение персонала и обучение конечных пользователей и т. д. В-четвертых, выбранный метод должен позволять моделировать ситуацию, при которой существует несколько контрмер, направленных на предотвращение определенной угрозы, в разной степени влияющих на сокращение вероятности происшествия. Какие же методы оценки затрат и ценности инвестиций существуют и что можно использовать на практике?