====== Политика управления доступом к ИС ======
===== 1. Цель =====
Настоящая политика определяет правила и методы защиты информационной системы "**ВАШЕЙ КОМПАНИИ**" от несанкционированного доступа. Эта практика поможет снизить возможность попадания информации в руки злоумышленников. Угрозы могут включать утрату чувствительной или конфиденциальной информации компании, интеллектуальной собственности, ущерб репутации, повреждение критических внутренних систем "**ВАШЕЙ КОМПАНИИ**" и т.д.
===== 2. Обучение персонала =====

Одним из наиболее важных и часто упускаемых элементов обеспечения информационной безопасности является обучение сотрудников в целях повышения уровня безопасности "**ВАШЕЙ КОМПАНИИ**". Сотрудники должны понимать важность и ценность информации, которую они ежедневно обрабатывают. Обучение вопросам информационной безопасности должно предусматривать необходимость сохранения конфиденциальности всей информации, циркулирующей в информационной системе. Сотрудники должны быть проинформированы о том, что запрещено раскрывать любую информацию до тех пор, пока запрашивающая сторона не определена ими как имеющая право доступа.

Одной из важных последующих мер является написание политики информационной безопасности, в которой объясняется философия безопасности и ее место в бизнесе. С этой политикой должны быть ознакомлены все новые сотрудники.

Как знания сотрудников в области информационной безопасности помогут защитить вашу организацию? Злоумышленники, просто используя навыки в области "социальной инженерии", могут попытаться убедить сотрудников, что они имеют законное право получать информацию о "**ВАШЕЙ КОМПАНИИ**". Например, злоумышленник может позвонить в ваш отдел информационных услуг, утверждая что он является представителем вендора и просто запросить имя вашей системы, и какую операционную систему вы используете. Затем он может запросить имена ключевых сотрудников "**ВАШЕЙ КОМПАНИИ**". Вооружившись базовой информацией, этот нежелательный посетитель теперь знает, как определить вашу систему, какие "дыры" операционной системы он может использовать, и какие учетные записи могут использовать пользователи для доступа к системам.

===== 3. Посетители =====

Временные работники, подрядчики и консультанты представляют собой угрозу безопасности, так как на них обычно не распространяются тот же контроль как на штатных сотрудников "**ВАШЕЙ КОМПАНИИ**", но им может быть предоставлен такой же высокий уровень доступа к системе. Кроме того, иногда они знают, приложения и операционные системы, работающие в вашей сети лучше, чем ваши собственные сотрудники.

Необходимо наблюдать за этой категорией сотрудников более внимательно, пока вы не знакомы с их квалификацией, объемом их работы и, самое главное, уровнем доверия, который им возможно предоставить.

Честность и компетентность этой категории сотрудников должны тщательно контролироваться для обеспечения того, чтобы их работа была обоснованной и что они действительно работают в интересах "**ВАШЕЙ КОМПАНИИ**". Вендоры, к примеру, могут намеренно и без злого умысла оставлять в вашей системе бэкдоры с целью защиты или изменения и обновления своих продуктов. Необходимо принять меры по недопущению подобных случаев.

===== 4. Политика =====

1. Рабочие станции должны блокироваться при любом оставлении сотрудником рабочего места и требовать нового логона для продолжения работы.

2. Учетная запись любого сотрудника, который не осуществлял доступ к системе в течении шести месяцев должна быть удалена, а для возобновления доступа данный сотрудник должен пройти процедуру получения прав доступа к системе вновь.

3. Использование учетной записи несколькими сотрудниками недопустимо.

4. Учетные записи уволенных сотрудников должны блокироваться, права и привилегии учетных записей сотрудников, которые были переведены в другие подразделения "**ВАША КОМПАНИИ**", должны приводиться в соответствие с требованиями вновь занимаемой должности.

5. На компьютерах должны быть установлены приложения, где это возможно, предоставляющие возможность ведения отчетов и журналов входа пользователя в систему, а так же блокирующие учетную запись пользователя после определенного периода простоя. Должен иметься механизм, который блокирует вход учетной записи пользователя после нескольких неудачных попыток войти в систему.

===== См. также =====



  * [[шаблоны:политика_использования_ис]]
  * [[шаблоны:политика_использования_емейл]]
  * [[шаблоны:антивирусная_политика]]
  * [[шаблоны:парольная_политика]]
  * [[шаблоны:политика_шифрования]]
  * [[англоязычные:непереведенные:уд_доступ]]
  * [[шаблоны:политика_использования_vpn]]
  * [[шаблоны:межсетевое_взаимодействие]]