- использование расширенных систем аутентификации.

5.4. ТЕХНИЧЕСКАЯ ЗАЩИТА РЕСУРСОВ.

Техническая защита ресурсов проводиться под контролем представителей СБ и включает в себя защиту компьютеров, помещений и всех коммуникаций от устройств съема и передачи информации:

- использование технических средств пассивной защиты:

фильтры, ограничители и т. п. средства развязки электрических и электромагнитных сигналов, систем защиты сетей электроснабжения, радио- и часофикации и др.;

- экранирование средств канальной коммуникации;

- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы кон

Все изменения и дополнения настоящей Инструкции официально доводятся до всего персонала предприятия.

11. Инструкция по защите конфиденциальной информации пользователям ресурсов.

Пользователь лично отвечает за понимание и соблюдение правил безопасности. Если ему не понятны функции по защите информации, он обязан спросить администратора ИС.

Запрещаются любые действия, направленные на:

- получение доступа к информации о пользователях;

- вскрытие и использование чужих регистрационных имен и паролей;

- тестирование и разрушение служб сети;

- просмотр всех доступных для чтения файлов на сетевых устройствах, не принадлежащих пользователю;

- модификация файлов, которые не являются собственными, даже если они имеют право записи в них;

- вскрытие блоков и комплектующих, а также изменение физической конфигурации;

- использование одного и того же регистрационного имени и пароля;

- раскрывание и передача кому бы то ни было своего регистрационного имени и(или) пароля. При выборе пароля пользователь обязан:

- не использовать регистрационное имя в каком бы то ни было виде;

- не использовать имя, фамилию или отчество в каком бы то ни было виде, имена супруга или детей, а также другую информацию, которую легко получить (номер телефона, дату рождения, номер автомашины и пр.);

- не использовать пароль из одних цифр или их одних букв, а также короче шести символов;

- использовать пароль с буквами из разных регистров, с небуквенными символами;

- использовать пароль, который легко запомнить, чтобы не возникало желания записать его, а также который можно легко набрать на клавиатуре, не глядя на нее.

Пользователю при работе с конфиденциальной информацией запрещено, отлучаясь из помещения, оставлять свой терминал подключенным к ИС. Рабочие файлы и базы данных, содержащие конфиденциальную информацию, пользователь обязан хранить на сетевых, а не локальных дисках.

При работе с важной конфиденциальной информацией, утеря которой может нанести значительный ущерб предприятию, пользователь обязан делать резервные копии рабочих документов, делопроизводство по которым аналогично специальному делопроизводству по оригиналам.

В целях выявления незаконного использования регистрационного имени пользователь должен контролировать свое время входа и выхода в ИС и проверять последние команды и, если параметры отличаются, обязан немедленно сообщить об этом администратору системы.

Пользователь обязан немедленно сообщать о возникших проблемах и ошибках, которые не могут быть устранены путем перезагрузки компьютера после отключения от системных служб. Производить любые попытки восстановления работы компьютера при наличии соединения с системой категорически запрещается.

Использование ресурсов в личных целях допускается с разрешения руководителя подразделения по согласованию со старшим администратором ИС.

При использовании модемной и факс-модемной связи сотрудник обязан отсоединиться от системных служб.

Пользователь обязан перед работой с ресурсами изучить руководства и технические инструкции производителей применяемой операционной системы. Перед приобретением программного обеспечения (ПО) для инсталляции и работы на ресурсах Предприятия пользователь обязан проконсультироваться, перед установкой - протестировать в соответствующей службе. Запрещено использовать случайно полученное программное обеспечение. Перед запуском любого нового ПО необходимо сделать архивные копии файлов. Пользователь отвечает за запущенные им программы.

12. Ответственность за нарушение правил обращения конфиденциальной информации в ИС.

За умышленное невыполнение или халатное исполнение правил обращения конфиденциальной информации, изложенных в данной Инструкции, если это повлекло за собой нанесение материального ущерба, виновное лицо наказывается в дисциплинарном порядке. Размер и кратность возмещения ущерба определяется генеральным директором Предприятия после проведения внутреннего расследования. В отдельных случаях решением генерального директора организуется уголовное или гражданское судебное делопроизводство.

13. Контроль.

Контроль за выполнением правил сохранения и защиты конфиденциальной информации персоналом возлагается на руководителей подразделений и сотрудников сетевой службы. Общий контроль - на СБ или специально назначенного на Предприятии ответственного лица.

Раздел 11 Инструкции включает в себя общие функции пользователей информационной системы предприятия. Их, как и общие обязанности сотрудников по обеспечению сохранности информации, целесообразно включать в отдельные памятки, также вручаемые под роспись.

Глава 10

ОБУЧЕНИЕ ПЕРСОНАЛА МЕТОДАМ И ПРАВИЛАМ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Обучение персонала методам защиты информации состоит из доведения до сотрудников, имеющих доступ к конфиденциальной информации предприятия, определенных правил и инструкций по следующим тематикам:

- обеспечение неразглашения таких сведений;

- обращение с конфиденциальными документами;

- прогнозирование действий конкурентов;

- противодействие вербовочным подходам со стороны конкурентов и правоохранительных структур.

Защита интеллектуальной собственности также является очень важным элементом безопасности информации. С носителями таких сведений или авторских прав проводятся отдельные занятия. Всем остальным разъясняется понятие служебной информации и их права на результаты интеллектуальной деятельности.

Доведение должно быть активным, с разъяснением, а не простым истребованием росписи за ознакомление. Конкретная тематика по этому блоку определяется руководителем подразделения безопасности.

Качественная организация обучения по перечисленным блокам должна включать в себя, разумеется, и проверку соответствующих знаний в виде зачетов. Вопросы по темам занятий включаются в опросные листы при аттестации.

Прохождение обучения по наиболее важным тематикам документируется в специальных журналах, иногда с выдачей внутри

фирменных сертификатов и дипломов, что является одним из факторов мотивации при том, что обучение бесплатное.

Чтобы эффект от занятий был долгосрочным, должностные или процедурные инструкции, описания технологических процессов должны повторять правила и требования, озвучиваемые на внутрифирменных курсах.