Приложение А (справочное). Пример политики использования объединенной сети. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27033-3-2014 "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 09.09.2014 N 1029-ст)

Приложение А
(справочное)

Пример политики использования объединенной сети

А.1 Общий обзор

Намерения lnfoSec*(1) в отношении публикации "Политики приемлемого использования" - не налагать ограничений, которые являются несоответствующими для <Наименование компании>*(2) с устойчивой культурой открытости, доверия и целостности. InfoSec выполняет обязательства по защите сотрудников, партнеров <Наименование компании> и самой компании от незаконных или вредных действий отдельных лиц, выполняемых осознанно или неосознанно.

Связанные с Интернет/Интранет/Экстранет системы, включающие компьютерное оборудование, программное обеспечение, операционные системы, хранящуюся информацию, сетевые ресурсы, обеспечивающие электронную почту, просмотр страниц Интернет и FTP, но не ограничивающиеся этим, являются достоянием <Наименование компании>. Эти системы должны быть использованы для коммерческих целей, должны служить интересам компании, клиентов и заказчиков в процессе обычной работы. Для получения более подробной информации, пожалуйста, рассмотрите "Кадровые политики".

Эффективная безопасность является результатом совместных усилий при участии и поддержке каждого сотрудника <Наименование компании> и филиалов, имеющего дело с информацией и (или) информационными системами. В обязанность каждого пользователя компьютера входит знание этих рекомендаций, и осуществление своей деятельности в соответствии с ними.

А.2 Цель

Цель политики заключается в определении приемлемого использования компьютерной техники в <Наименование компании>. Этот перечень правил выпускается, чтобы защитить работника и <Наименование компании>. Нецелевое использование компьютерной техники подвергает <Наименование компании> рискам, включающим риски вирусных атак, риски компрометации сетевых систем и услуг, и риски юридических проблем.

А.3 Область применения

Настоящая политика распространяется на сотрудников, подрядчиков, консультантов, временных и других работников <Наименование компании>, в том числе на персонал, связанный с третьими сторонами. Эта политика распространяется на все оборудование, которое находится в собственности или арендуется <Наименование компании>.

А.4 Политика

А.4.1 Общее использование и собственность

1) Хотя администрация сети <Наименование компании> желает обеспечить приемлемый уровень непрозрачности, пользователи должны быть осведомлены о том, что данные, которые они создают на корпоративных системах, являются собственностью <Наименование компании>. В связи с необходимостью защиты сети <Наименование компании> менеджмент не может гарантировать конфиденциальности информации, хранящейся на любых сетевых устройствах, принадлежащих <Наименование компании>.

2) Сотрудники несут ответственность за осуществление правильного решения, касающегося обоснованности персонального использования. Отдельные подразделения несут ответственность за создание рекомендаций, касающихся персонального использования систем Интернет/Интранет/Экстранет. При отсутствии политик, сотрудники должны руководствоваться ведомственными политиками в личных целях, и если возникают какие-либо неопределенности, сотрудники должны проконсультироваться со своим руководителем или менеджером.

3) InfoSec рекомендует, чтобы любая информация, которую пользователи считают чувствительной или уязвимой, была зашифрована. Для получения руководящих указаний, касающихся классификации информации, см. "Политику чувствительной информации", разработанную InfoSec. Для получения руководящих указаний по шифрованию электронной почты и документов обратитесь к "Инициативе осведомленности", разработанной InfoSec.

4) В целях безопасности и технического обслуживания сетей, уполномоченные лица в пределах <Наименование компании> могут контролировать оборудование, системы и сетевой трафик в любое время согласно "Политике аудита", разработанной InfoSec.

5) <Наименование компании> сохраняет за собой право на проведение аудита сетей и систем на регулярной основе в целях обеспечения соблюдения этой политики.

А.4.2 Безопасность и служебная информация

1) Интерфейс пользователя для информации, содержащейся в системах, связанных с Интер- нет/Интранет/Экстранет, которая должна быть классифицирована в качестве конфиденциальной или не конфиденциальной, как определено в рекомендациях по корпоративной конфиденциальности, более подробные сведения о которой можно найти в "Кадровой политике". Примеры конфиденциальной информации включают, но не ограничиваются: секреты компании, корпоративные стратегии, чувствительную информацию о конкурентах, торговые секреты, спецификации, списки клиентов и данные исследований. Сотрудники должны принять все необходимые меры для предотвращения несанкционированного доступа к этой информации.

2) Хранить пароли в секрете и не разделять учетные записи. Авторизованные пользователи несут ответственность за сохранность своих паролей и учетных записей. Пароли системного уровня должны изменяться ежеквартально, пароли уровня пользователя следует изменять каждые шесть месяцев.

3) Все персональные компьютеры, ноутбуки и рабочие станции должны быть обеспечены защищенной паролем заставкой с автоматической активацией, установленной на 10 минут или меньше, или отключением регистрации (комбинация клавиш "control-alt-delete" для пользователей Win2K*(3)), когда хост будет необслуживаемым.

4) Использование шифрования информации в соответствии с "Политикой приемлемого использования шифрования", разработанной InfoSec.

5) Поскольку информация, содержащаяся на портативных компьютерах особенно уязвима, ей должно быть уделено особое внимание. Защита ноутбука осуществляется в соответствии с "Информацией по безопасности для ноутбука".

6) Почтовые сообщения сотрудников из адреса электронной почты <Наименование компании> для сетевых телеконференций должны содержать оговорку о том, что выражено строго индивидуальное мнение, и оно не обязательно совпадает с позицией <Наименование компании>, кроме почтовых сообщений, участвующих в процессе бизнеса.

7) Все хосты, используемые служащими для подключения к Интернет/Интранет/Экстранет <Наименование компании> и принадлежащие сотруднику или <Наименование компании>, должны непрерывно сканироваться антивирусной программой с действующей (актуальной) базой данных вирусов, если не переопределены ведомственные или групповые политики.

8) Сотрудники должны соблюдать осторожность при открытии вложений электронной почты, полученных от неизвестных отправителей, которые могут содержать вирусы, бомбы электронной почты, или код Троянского коня.

А.4.3 Недопустимое использование

Перечисленные ниже виды деятельности строго запрещены. Служащие могут быть освобождены от этих ограничений в ходе выполнения своих законных обязанностей (например, системам управления персоналом может потребоваться отключение сетевого доступа к хосту, если этот хост нарушает производство услуг).

Ни при каких обстоятельствах сотруднику <Наименование компании> не разрешается выполнение какой-либо деятельности, являющейся незаконной в соответствии с местным, государственным, федеральным или международным правом, пока используются ресурсы, принадлежащие <Наименование компании>.

Перечни ниже, не являются исчерпывающими, а пытаются обеспечить базу для деятельностей, которые попадают в категорию недопустимого использования.

А.4.3.1 Системная и сетевая деятельность

Следующие мероприятия, без исключений, являются строго запрещенными:

1) нарушения прав любого лица или компании, защищенных авторскими правами, коммерческой тайной, патентом или иной интеллектуальной собственностью, а также нарушения аналогичных законов или правил, включая, но не ограничиваясь, установки или распространения "пиратских" или других программных продуктов, которые не являются соответствующим образом лицензированными для использования <Наименование компании>;

2) строго запрещено несанкционированное копирование материалов, защищенных авторским правом, включая, но не ограничиваясь, оцифровку и распространение фотографий из журналов, книг или других источников, защищенных авторским правом, защищенной авторским правом музыки, а также установка любого программного средства защищенного авторским правом, на которое <Наименование компании> или конечный пользователь не имеет активной лицензии;

3) незаконным является экспорт программного обеспечения, технической информации, программного обеспечения или технологии шифрования в нарушение международных или региональных законов о контроле над экспортом. Соответствующим представителям менеджмента следует проконсультироваться перед экспортом какого-либо рассматриваемого материала;

4) внедрение вредоносных программ в сеть или на сервер (например, вирусов, "червей", "Троянских коней", "бомб" электронной почты, и т.д.);

5) раскрытие своего пароля учетной записи другим лицам или разрешение использовать свою учетную запись другими. Это касается членов семьи и других родственников, когда работа ведется на дому;

6) использование вычислительных активов <Наименование компании> для активного участия в приобретении или передаче материала, который нарушает законы о сексуальных домогательствах или о враждебном отношении на рабочем месте, находящиеся в местной юрисдикции пользователей;

7) оформление мошеннических предложений товаров, предметов или услуг, исходящих из какой-либо учетной записи <Наименование компании>;

8) оформление заявления о гарантии, прямой или косвенной, если это не является частью обычных рабочих обязанностей;

9) осуществление нарушений безопасности или сбоев в сетевой коммуникации. Нарушения безопасности включают, но не ограничиваются, доступ к данным служащего, который не является предполагаемым получателем, регистрацию на сервере или учетную запись, явно не разрешенную для доступа сотрудника, если эти обязанности не входят в рамки обычных обязанностей. Для целей настоящего раздела термин "нарушение" включает, но не ограничивается, сниффинг*(4) сети, переполнение пакетами "запрос отклика", пакетный спуффинг*(5), отказ в обслуживании, и ложная маршрутная информация в злонамеренных целях;

10) сканирование портов или сканирование безопасности категорически запрещается без предварительного уведомления InfoSec;

11) выполнение любых форм сетевого мониторинга, который будет перехватывать данные, не предназначенные для хоста служащего, если эта деятельность не является частью обычной работы сотрудника/его долгом;

12) обход аутентификации пользователей или защиты любого хоста, сети или учетной записи;

13) вмешательство в или отказ в услуге любому пользователю, за исключением вмешательства в работу хоста служащего (например, атака "отказ в обслуживании");

14) использование любой программы/скрипта/команды или отправка сообщения любого рода, с намерением помешать или отключить терминальный сеанс пользователя, с помощью любых средств, локально или через Интернет/Интранет/Экстранет;

15) предоставление информации о сотрудниках или списков сотрудников <Наименование компании> сторонам за пределами <Наименование компании>.

А.4.3.2 Деятельность, связанная с коммуникацией и электронной почтой

1) Отправка незатребованных сообщений электронной почты, включая отправку "ненужных сообщений" или других материалов рекламного характера лицам, которые специально не запрашивают такие материалы (спам электронной почты).

2) Любая форма преследования по электронной почте, телефону или пейджинговой связи, будь то язык, частота или размер сообщений.

3) Несанкционированное использование или фальсификация данных, содержащихся в заголовке сообщений электронной почты.

4) Навязывание услуг по электронной почте для любых адресов электронной почты, отличающихся от тех, что зарегистрированы в учетной записи отправителя, с намерением надоедать или для сбора ответных сообщений.

5) Создание или пересылка "писем счастья", "схем Понци" или иных схем "пирамид" любого типа.

6) Использование навязываемых почтой, исходящей из сетей <Наименование компании> от других поставщиков услуг Интернет/Интранет/Экстранет от ее имени или в рекламных целях, любых услуг, выполняемых хостом <Наименование компании> или подключенным через сеть <Наименование компании>.

7) Рассылка по почте одинаковых или аналогичных сообщений, не связанных с бизнесом, многочисленным тематическим телеконференциям, проводимым в пользовательских сетях (спам телеконференций).

А.4.4 Ведение блогов

1) Ведение блогов сотрудниками, как при использовании имущества и систем <Наименование компании>, так и персональных компьютеров, находится также в соответствии с условиями и ограничениями, изложенными в этой политике. Ограниченное и нерегулярное использование систем <Наименование компании> для участия в блогах является приемлемым, при условии, что это делается профессионально и ответственно, не нарушает политику <Наименование компании>, не наносит ущерба всем возможным интересам <Наименование компании>, и не мешает обычным трудовым обязанностям работника. Ведение блогов из систем <Наименование компании> является также предметом мониторинга.

2) Политика конфиденциальной информации <Наименование компании> также распространяется на блоги. Таким образом, сотрудники не имеют права раскрывать какую-либо конфиденциальную или служебную информацию <Наименование компании>, коммерческие тайны или любой другой материал, охваченный политикой конфиденциальной информации <Наименование компании>, который затрагивался при ведении блога.

3) При ведении блога сотрудники не должны затрагивать ту информацию, которая может повредить или запятнать имидж, репутацию и (или) "неосязаемый капитал" <Наименование компании> и (или) любого из ее сотрудников. Сотрудникам также запрещается делать какие-либо дискриминационные, пренебрежительные, дискредитирующие или связанные с преследованием комментарии при ведении блога или ином участии в ведении каких-либо дел, запрещенных политикой недопущения дискриминации и борьбы с преследованием <Наименование компании>.

4) Сотрудники не могут приписывать личные заявления, мнения или убеждения в отношении <Наименование компании>, когда они участвуют в блогах. Если сотрудник выражает собственные убеждения и (или) мнения в блогах, то он не может прямо или косвенно представлять себя в качестве сотрудника или представителя <Наименование компании>. Сотрудники несут ответственность за все риски, связанные с ведением блогов.

5) Наряду с соблюдением всех законов, касающихся обработки и раскрытия информации, защищенной авторским правом, или экспорта контролируемых материалов, торговые марки, логотипы <Наименование компании> и любая другая интеллектуальная собственность <Наименование компании> не может и не должна использоваться в связи с любыми действиями по ведению блогов.

А.5 Принуждение к выполнению

Любой сотрудник, признанный виновным в нарушении этой политики, может быть подвергнут дисциплинарному взысканию, вплоть до увольнения.

А.6 Определения

Термин	Определение
Ведение блога (blogging)	Записи в блоге. Блог (сокращенно от weblog) является персональным интернет-журналом, который часто обновляется и предназначен для информирования широкой общественности.
Спам (spam)	Несанкционированные и (или) нежелательные массовые рассылки по электронной почте.

A.7 Статистика изменений

________

*(1) Служба информационной безопасности.

*(2) Здесь должно указываться наименование конкретной компании, к которой применима рассматриваемая политика.

*(3) Win2K - Операционная система MS Windows 2000.

*(4) Сниффинг (SNIFFING) - Прослушивание сетевого трафика

*(5) Спуффинг (SPOOFING) - Подмена пакетов.