Меню

Инструкция пользователя по соблюдению режима информационной безопасности

Инструкции по информационной безопасности

Защита данных
на базе системы

О беспечение защищенности информационной системы – одна из главных задач, стоящих перед руководителями предприятий любой формы собственности.

Разберемся, какова роль установленных правил в минимизации ущерба, вызванного утечкой конфиденциальных сведений, а также в эффективности предотвращения несанкционированного и непреднамеренного воздействия на ИС.

Значимость локальных требований и регламентов ИБ

Достигнуть достаточного уровня защиты информации на стадии ее создания, обработки или при передаче можно при комплексном применении организационных и технических мер.

Начать нужно с анализа рисков, принимая во внимание сферу деятельности компании, объективные и субъективные угрозы утечки ценных сведений, шпионажа, выхода из строя оборудования. Затем с опорой на требования законодательства и методические рекомендации следует разработать локальные документы по информационной безопасности.

Порядок и методы выполнения отдельных или взаимосвязанных действий, обязанности и ответственность лиц, допущенных к конфиденциальным сведениям, обработке персональных данных, определяют в специальных инструкциях.

Информационная система представляет собой совокупность документов на бумажных и электронных носителях и технологий для их создания, обработки и передачи.

Поэтому в инструкциях должны быть определены:

  • правила эксплуатации и содержания средств информатизации;
  • общие требования по обеспечению защиты конфиденциальных сведений, установленные законодательством Российской Федерации, документами внутреннего пользования;
  • порядок доступа к информации и использования имеющихся средств защиты;
  • обязанности лиц, ответственных за обеспечение и контроль безопасности системы;
  • алгоритм действий в случае выявления нарушений требований безопасности в информационной системе;
  • ответственность пользователей, допущенных к обработке персональных данных, электронным носителям информации.

Содержание типовых инструкций

При приеме на работу новые сотрудники проходят вводный инструктаж, получая общее представление о:

  • режиме работы компании;
  • правилах безопасности;
  • порядке оповещения руководства о чрезвычайных ситуациях, угрозе ущерба.

С учетом специфики деятельности, доступа к информационным ресурсам для предотвращения возможных инцидентов перед допуском к самостоятельному выполнению трудовых обязанностей на рабочем месте сотрудников знакомят с инструкциями, устанавливающими их права и обязанности. При этом обращают внимание на нюансы, возможные риски, учитывая должность работника.

Требования к сотрудникам с доступом к конфиденциальным данным

Сотрудники, имеющие доступ к сведениям, представляющим коммерческую, государственную, иную тайну, должны соблюдать правила информационной безопасности.

Помимо общих положений, их внимание акцентируют:

  • на основных обязанностях по соблюдению правил, исключающих утечку сведений при работе с секретными данными;
  • на принимаемых мерах защиты автоматизированных рабочих мест от несанкционированного доступа посторонних;
  • на установлении пароля для доступа к данным на персональном компьютере, электронных носителях;
  • на необходимых мерах защиты от вредоносных программ;
  • на алгоритме действий при возникновении внештатных ситуаций.

Требования к администратору, отвечающему за защиту локальной вычислительной сети

Должностные лица, ответственные за проведение работ по технической защите информации локальных сетевых ресурсов, в процессе эксплуатации и модернизации, руководствуются:

  • положениями федеральных законов;
  • нормативными актами Российской Федерации;
  • распорядительными документами Гостехкомиссии России (ФСТЭК), ФАПСИ (ФСО, ФСБ), Госстандарта России;
  • локальными правовыми актами внутреннего пользования.

Администратора под роспись знакомят с установленными правами и обязанностями. Например, он может отключать от доступа к сети пользователей, нарушающих требования по безопасности информации, запрещать установку нештатного программного обеспечения.

Основные обязанности администратора фиксируют документально. Они включают:

  • участие в испытаниях и контроле уровня защищенности локальной сети;
  • анализ данных, вносимых в журнал учета работы ЛВС для своевременного выявления нарушений требований защиты и оценки возможных последствий;
  • обеспечение доступа к информационной системе пользователям при наличии разрешения;
  • блокировку попыток внесения изменений в программно-аппаратное обеспечение без согласования;
  • немедленное оповещение службы безопасности о попытках несанкционированного доступа, нарушениях защиты.

В инструкции обращают внимание на строгий запрет передавать третьим лицам учетные данные пользователей, пароли, идентификаторы, ключи на твердых носителях.

Защита информации от компьютерных вирусов

Рекомендации о методах выявления и борьбы с вирусами носят общий характер для пользователей персональными компьютерами и администраторов, ответственных за защиту информационных ресурсов.

Выделяют характерные проявления вирусных программ, нарушающих работу компьютера, способных разрушить хранящиеся в электронной форме сведения, передаваться по локальной сетевой связи. Создание перечня профилактических работ позволяет снизить риски, исключить появление и распространение вредоносных программ.

В документ включают:

  • ежедневную автоматическую проверку персональных компьютеров перед началом работы и регулярную комплексную проверку со стороны администратора;
  • резервирование программного обеспечения;
  • защиту данных путем настройки прав доступа, допускающих лишь чтение, что предотвратит внесение посторонних записей, проникновение вирусов.

Анализируя результаты проверок на наличие вирусов, администратор делает выводы о необходимости служебного расследования. Вирусы уничтожают стиранием поврежденных файлов и с помощью специальных программ.

Организация и управление парольной защитой информации

Пользователи должны быть под роспись проинструктированы:

  • о порядке генерации, смены и прекращения действия паролей, учетных записей;
  • о правилах ввода пароля для получения доступа в локальную информационную систему.

Личные пароли генерируются самостоятельно либо распределяются централизованно с учетом установленных требований, способствующих снижению рисков, исключению возможности подобрать код доступа посторонними.

Сотрудники отдела информационных технологий контролируют действия исполнителей и обслуживающего персонала.

Особые требования устанавливают для хранения паролей на бумажных носителях – в сейфе у ответственных за безопасность лиц в опечатанном конверте.

Также регламентируется порядок получения доступа к средствам вычислительной техники в случае производственной необходимости во время отсутствия штатного сотрудника, являющегося владельцем персонального компьютера.

Выбираемые парольные фразы должны соответствовать требованиям, указанным в документе.

Поскольку эта информация носит конфиденциальный характер, ответственность за разглашение, передачу сведений, лежит на владельце пароля.

Правила пользования электронной почтой

В целях обеспечения защиты секретных данных, снижения рисков утечки, уничтожения или заражения сетевых ресурсов вирусами, устанавливают перечень оснований, позволяющих блокировать исходящую и входящую в электронную почту.

Отдельно акцентируется внимание на запрете:

  • использования корпоративного адреса электронной почты в личных целях;
  • пользования бесплатными почтовыми сервисами для корпоративной переписки;
  • публикации корпоративного адреса электронной почты на общедоступных интернет-ресурсах.

Правила безопасной работы в информационной сети

Документально фиксируют регламент, режимы работы компьютерного оборудования, к которому относят не только персональные компьютеры, но и принтеры, серверы, сетевые коммутаторы.

К мерам обеспечения безопасности относят:

  • использование сертифицированного оборудования, соответствующего требованиям санитарно-эпидемиологических нормативов, ГОСТов (допустимый уровень шума, электромагнитная совместимость, устойчивость к электромагнитным помехам);
  • правильную подготовку оборудования к включению и эксплуатации;
  • соблюдение запретов, касающихся переключения разъемов кабелей, самостоятельного ремонта устройств, удаления с корпуса заводских и линейных номеров;
  • использование при печати на лазерном принтере специальной бумаги рекомендованной плотности;
  • недопустимость применения физических усилий для вытягивания бумаги во время печати из выходного отверстия принтера, что может привести к повреждению механизма печати;
  • корректное выключение компьютера после закрытия работающих программ, используя в меню «Пуск» команду «Завершение работы»;
  • порядок выдачи доступа к информационной сети организации.

Работники, ознакомленные с основными требованиями информационной безопасности, в том числе, касающимися выполнения профессиональных (должностных) обязанностей, несут ответственность за нарушения установленных правил в рамках трудового, в отдельных ситуациях уголовного законодательства.

Источник



Инструкция пользователя по соблюдению режима информационной безопасности

1. ОБЩИЕ ТРЕБОВАНИЯ

При работе с информационными ресурсами Компании каждый сотрудник обязан:

· обеспечивать, исходя из своих возможностей и специальных обязанностей по обеспечению безопасности информации, защиту от несанкционированного доступа к информации, к которой он имеет санкционированный доступ в силу своих служебных обязанностей;

· ни в какой форме не участвовать в процессах несанкционированного доступа к информации, принадлежащей другим сотрудникам и службам;

· ни в какой форме не использовать ставшую ему известной в силу исполнения своих функциональных обязанностей информацию не по прямому назначению;

· при нарушении установленных правил доступа другими сотрудниками сообщать об этом непосредственному начальнику, ответственным администраторам или в Службу безопасности.

Ремонтные и профилактические регламентные работы должны производиться только уполномоченными лицами эксплуатационной службы по согласованию с руководителем (ответственным лицом) подразделения, в котором установлено компьютерное оборудование. Порядок снятия, переноса, модификации аппаратной конфигурации устанавливается Регламентом проведения такого рода работ и осуществляется только уполномоченными лицами эксплуатационной службы.

2. РАБОТА В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ

При работе в автоматизированной информационной системе Компании пользователь обязан:

· сохранять в тайне пароли доступа к системе (системам);

· надежно хранить физические ключи (идентификаторы) доступа;

· периодически изменять личные пароли, если это предписано регламентом управления доступом;

· при случайном получении (сбой механизмов защиты, аварии, небрежность персонала и др.) доступа к чужой конфиденциальной информации прекратить какие-либо действия в системе и незамедлительно сообщить в Службу безопасности и администратору системы;

· сообщать в службу безопасности и администратору системы об известных каналах утечки, способах и средствах обхода или разрушения механизмов защиты.

При работе в автоматизированной информационной системе Компании пользователю запрещается (кроме особо оговорённых случаев):

· записывать в любом доступном виде или произносить вслух известные пользователю пароли;

· регистрироваться и работать в системе под чужим идентификатором и паролем;

· передавать идентификаторы и пароли кому бы то ни было;

· оставлять без контроля рабочее место в течение сеанса работы;

· позволять производить любые действия с закреплённым за пользователем комплектом программно-аппаратных средств другим лицам;

· несанкционированно изменять или уничтожать данные или программы в сети или на внешних (отчуждаемых) носителях;

· оставлять без контроля носители критичной информации;

· использовать компьютерную технику в нерабочее время не по прямому назначению;

· заниматься исследованием вычислительной сети;

· игнорировать системные сообщения и предупреждения об ошибках;

Читайте также:  Описание препарата ИБУФЕН ФОРТЕ IBUFEN FORTE

· несанкционированно устанавливать на автоматизированные рабочие места любые дополнительные программные и аппаратные компоненты и устройства;

· копировать на съёмные носители любое программное обеспечение и файлы данных;

· использовать для передачи информации ограниченного доступа не предназначенные для этого средства и каналы связи.

Источник

Как защитить информацию внутри компании: на бумаге или в электронных документах

Как защитить информацию внутри компании: на бумаге или в электронных документах

  • Договоры
  • Разбор юриста

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Режим конфиденциальности может сработать и в более мирных условиях.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

  • О переговорах — п. 4 ст. 434.1 ГК
  • О НИОКР — ст. 771 ГК
  • О договоре подряда — ст. 727 ГК
  • О корпоративном договоре — п. 4 ст. 67.2 ГК

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Читайте также:  Завершение работы и монтаж плинтусов

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Источник

Правила техники безопасности при работе с компьютером

Нормативная база

Сейчас, когда значительная часть задач выполняется сотрудниками с использованием персональных компьютеров, защита их здоровья от воздействия вредоносных факторов, обусловленных применением этой техники, имеет особое значение. Для минимизации воздействия на государственном уровне разрабатываются нормативные документы, устанавливающие правила техники безопасности при работе с компьютером для сотрудников. К таким документам относятся:

  • Трудовой кодекс;
  • санитарно-гигиенические правила и нормативы СанПиН 2.2.2/2.4.1340-03, утвержденные постановлением Главного государственного санврача от 13 июня 2003 года N 118;
  • межгосударственный стандарт ГОСТ 12.0.003-2015, определяющий и классифицирующий основные вредные и опасные производственные факторы;
  • ТОИ Р-45-084-01;
  • другие нормативные документы.

Необходимость учета положений всех перечисленных нормативных документов при организации мер, нацеленных на достижение нужного уровня техники безопасности у работников, обусловлена тем, что они связаны с разными аспектами их труда.

Основные вредные факторы

Реализуемые меры безопасности при работе с ПК должны обеспечивать минимизацию рисков, перечисленных в ГОСТ 12.0.003-2015. В первую очередь к ним относятся:

  • повышенная температура отдельных элементов компьютера;
  • монотонность трудового процесса;
  • высокий уровень зрительных нагрузок;
  • вероятность поражения статическим электричеством;
  • недостаточная освещенность в зоне выполнения операций;
  • высокий уровень напряженности электрического и магнитного полей;
  • другие факторы.

СанПин: гигиенические требования

Согласно действующим санитарным правилам и нормам СанПиН 2.2.2/2.4.1340-03 к персональным компьютерам, используемым в деятельности сотрудников, применяются требования о соответствии следующих параметров установленным нормативам:

  • звуковое давление;
  • характеристики временных электромагнитных полей, создаваемых компьютерами;
  • визуальные параметры устройств для отображения информации;
  • концентрация вредных веществ, выделяемых техникой в атмосферный воздух помещения;
  • мощность экспозиционной дозы генерируемого мягкого рентгеновского излучения;
  • коэффициент отражения и блесткость;
  • яркость и контрастность;
  • другие параметры.

Общие требования к организации и оборудованию рабочих мест

В разделе 9 СанПиН 2.2.2/2.4.1340-03 выделяются следующие основные требования техники безопасности при работе за компьютером в постоянном режиме:

  • рабочие места изолированы друг от друга и обеспечиваться организованным воздухообменом. Если занимающие их сотрудники заняты творческой деятельность, рекомендуется оборудовать их места перегородками высотой 1,5-2 метра;
  • конструкция кресла регулируется, чтобы обеспечить соответствие его положения индивидуальным физическим параметрам сотрудника. Его поверхность должна быть нескользящей и давать возможность легкой чистки;
  • конструкция стола должна обеспечивать рациональное и удобное размещение имеющегося оборудования и иметь коэффициент отражения, не превышающий 0,7.

Требования к помещениям при работе за компьютером

Актуальные правила техники безопасности при пользовании компьютером устанавливают следующие требования к помещениям:

  • помещения должны иметь оконные проемы для проникновения естественного света, ориентированные преимущественно на север или северо-запад. Работа в офисах без естественного освещения допускается только после проведения специальных расчетов, обосновывающих эквивалентность организованного искусственного освещения нормативам естественного света;
  • окна в помещении следует оборудовать устройствами для регулирования яркости естественного освещения, такими как шторы, жалюзи и проч.;
  • допустимая площадь одного рабочего места сотрудника должна составлять не менее 6 квадратных метров, а при условии, что в работе используются плоские мониторы жидкокристаллического или плазменного типа – 4,5 квадратных метра;
  • внутренняя отделка помещений должна производиться с использованием материалов, имеющих санитарно-эпидемиологические заключения, подтверждающие их безопасность. Максимальный коэффициент отражения используемых материалов составляет для потолка – 0,8, для стен – 0,6, для пола – 0,5;
  • помещения должны находиться вдали от силовых кабелей, высоковольтных трансформаторов и другого оборудования, способного создавать помехи для офисной техники. В комнатах необходимо организовать защитное заземление, обеспечивающее безопасную работу компьютеров.

Правила размещения монитора

Обязательная техника безопасности при работе на ПК требует выполнения следующих нормативов при размещении монитора:

  • расстояние между столами сотрудников составляет не менее 2 метров, а между боковыми поверхностями мониторов – не менее 1,2 метра;
  • экран используемого монитора находится на расстоянии 0,6-0,7 метра от глаз работника.

При этом электростатический потенциал дисплея не должен превышать 500 В.

Режим труда и отдыха при работе с компьютером

Безопасные правила поведения и техники выполнения трудовых операций приведены в Типовой инструкции ТОИ Р-45-084-01. В зависимости от категории выполняемой работы и уровня зрительной нагрузки, приходящейся на сотрудника в течение смены, суммарное время перерывов в зависимости от ее продолжительности составляет:

  • при 8-часовой смене – от 30 до 70 минут;
  • при 12-часовой смене – от 70 до 120 минут.

Правила ТБ при работе на компьютере

Кратко проведя анализ действующих нормативных документов, выделим следующие правила поведения при эксплуатации компьютерной техники, которые будут общими для большей части организаций вне зависимости от сфер их деятельности. В этот список войдут:

  • соблюдение работником и работодателем установленных режимов труда и отдыха, дающих возможность восстановления трудоспособности специалиста после нагрузок;
  • соблюдение мер безопасности в ходе выполнения задач;
  • обеспечение чистоты рабочего места;
  • выполнение только тех обязанностей, которые предусмотрены должностной инструкцией сотрудника;
  • использование исправной техники, рекомендованной к применению в России и прошедшей необходимые процедуры контроля;
  • регулярный контроль за состоянием оборудования и организация необходимого планового ремонта и технического обслуживания;
  • выполнение установленных требований к организации рабочего помещения для сотрудников, работающих за компьютером;
  • другие требования.

Требования к оборудованию рабочих мест на предприятии

Раздел 10 СанПиН 2.2.2/2.4.1340-03 устанавливает, что техника безопасности при использовании ПК предусматривает, что работодатель при организации работы сотрудников обязан обеспечить выполнение следующих условий.

Источник

Как научить сотрудников соблюдать требования ИБ

По мере цифровизации предприятий будет расти спрос и на технологии, способные обеспечить информационную безопасность. Однако полагаться только на них не стоит – человеческий фактор по-прежнему играет огромную роль в этой сфере, и без вовлечения сотрудников в борьбу с киберпреступниками не обойтись, говорят участники организованной CNews Conferences конференции «Информационная безопасность 2020: новые технологии – новые риски» .

Средства информационной безопасности

В области информационной безопасности существует множество рутинных операций, которые можно или автоматизировать, или продолжать делать вручную, говорит Андрей Амирах, менеджер по работе с ключевыми клиентами ГК «Интеллектуальная безопасность». Он предложил вниманию участников конференции платформу Incident Response Platform (IRP/SOAR), в состав которой входит 3 группы сценариев: обогащение и расследование, предотвращение и устранение, патчинг уязвимостей и взаимодействие с регуляторами.

В ручном режиме их выполнение занимает минуты, а в автоматизированном – секунды. В целом же, использование подобных решений приводит к снижению ущерба благодаря сокращению времени реакции на инциденты, экономии фонда оплаты труда путем высвобождения человеческих ресурсов, снижению рисков из-за исключения человеческого фактора и повышению эффективности за счет формализации всех процессов, постоянного контроля и анализа статистики.

Михаил Папура, заместитель генерального директора «Корп Софт», рассказал о том, как система распознавания лиц помогает обеспечить защиту бизнес-приложений. Она может гарантировать, что при аутентификации пользователя в информационной системе, а также в процессе ее работы перед web-камерой находится владелец учетной записи, что сохраняемые данные вводятся определенным пользователем, что никто не подглядывает и не фотографирует содержимое экрана из-за спины, а технологическое оборудование будет работать только тогда, когда перед ним находится определенный сотрудник.

Биометрическая защита может осуществляться как извне, так и встраиваться в информационную систему. Недостатком первого варианта является то, что реакция на инциденты может быть ограничена путем закрытия рабочего экрана информационной системы модальным окном, разрыва пользовательской сессии, остановки работы системы. Во втором случае придется дорабатывать программный код защищаемой системы – вызовы сервисов, сценарии реакций на инциденты и т.д.

Олег Смирнов, специалист по криптографическим системам «ДНА Дистрибьюшн», напомнил, что одним из самых распространенных инцидентов является похищение ключей для расшифровки данных. Он предложил использовать аппаратный модуль безопасности (HSM) – сертифицированную, доверенную платформу для выполнения криптографических операций и хранения ключей.

Для взаимодействия модуля с другими устройствами используется API, при этом устанавливаются жесткие правила доступа. Предлагаемое компанией решение HSM nCipher применяется для управления ключами шифрования и полного контроля за ними во всех облачных средах, при выпуске и управлении виртуальными платежными картами, для защиты ключей и процесса подписи на блокчейн-платформах, обеспечения доверия уникальных идентификаторов для аутентификации и предотвращения подделок на безопасном производстве.

Олег Галушкин, генеральный директор SEC-Consult Services, рассказал о продукте компании IoT Inspector. С его помощью можно обнаружить уязвимости в прошивках IoT-устройств. При этом совершенно не обязательно иметь доступ к исходному коду прошивки, а результат можно получить мгновенно благодаря наличию облачной версии решения. IoT Inspector может работать практически со всеми устройствами с IP-стеком, в том числе с камерами, принтерами, телефонией, коммутационным оборудованием, SCADA, блоками управления и т.д.

Еще один продукт Cyber Trap создает ловушки и мотивирует преступников зайти в них. После этого злоумышленник попадает в песочницу, и все его действия оказываются под контролем. Cyber Trap легко интегрируется в производственную инфраструктуру, обеспечивает визуализацию событий, атак и ресурсов злоумышленников. Решение доступно как в облачной, так и в on-premise версии.

Читайте также:  Подравнивание волос в носу и ушах

Сегодня для доступа граждан к госсайтам используется иностранная криптография и иностранные сертификаты. Уже стартовал переход на отечественные средства криптографической защиты, рассказал Андрей Пьянченко, руководитель департамента НИИ «Восход». Необходимо создавать национальные удостоверяющие центры (НУЦ). Их задачи использовать международные протоколы взаимодействия на базе отечественной криптографии (TLS-ГОСТ), адаптировать общепринятые виды сертификатов для российского сегмента сети интернет, применять надежные способы валидации запросов, в том числе с использованием государственных электронных сервисов, а также адаптировать международную практику выдачи TLS-сертификатов с учетом состава участников, применяемых средств доступа в интернет и распространения средств отечественной криптографии.

Конечная цель – снять нагрузку с органов государственной власти по обеспечению безопасности. При этом граждане будут по-прежнему общаться с государством, но при этом между ними будет создана новая безопасная ИБ-инфраструктура.

Человеческий фактор

Руководство любой организации мечтает о том, чтобы обеспечить 100% гарантии информационной безопасности. Но на практике это недостижимо, потому что в любой компании работают люди. Простого издания инструкций о том, как надо вести себя в той или иной ситуации, недостаточно – надо, чтобы сотрудники начали их выполнять. «Информационная безопасность должна стать частью корпоративной культуры. А для этого надо стремиться к совместной разработке решений в сфере ИБ», – говорит Сергей Демидов, директор департамента ИБ группы «Московская Биржа».

Он призвал участников конференции стремиться к тому, чтобы применение средств ИБ было удобным для сотрудников и обеспечивало неприкасаемость личной жизни. Надо налаживать взаимодействие с сотрудниками в рамках неформальных мероприятий, обеспечивать их участие в проектах и разговаривать с ними на равных. Положительную роль может сыграть упрощение языка правил и политик, очное общение с сотрудниками в формате диалога, объяснение мотивации при принятии решений по информационной безопасности и геймификация обучения.

Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем ЕВРАЗ, также отметил роль человеческого фактора в обеспечении информационной безопасности. «Можно внедрить множество средств защиты от внешних угроз, но обязательно найдется пользователь, который откроет фишинговое письмо», – говорит он. В ЕВРАЗ решили провести проверку готовности пользователей к ИБ-атакам и организовали тестовый фишинг.

Первый этап состоялся в мае 2019 г. Пользователям было отправлено 12774 письма. В них части из них сообщалось, что ЕВРАЗ заключил соглашение со Сбербанком о предоставлении сотрудникам ипотеки под 4% годовых и открытии для них депозитов под 15% годовых. Другие содержали информацию о том, что РЖД предлагает огромные скидки на проезд в Сочи. В результате 103 человека сообщили о фишинге, а 417 открыли письма и перешли по ссылке.

После проведения разъяснительной работы осенью 2019 г. была организована вторая рассылка от имени магазинов «Пятерочка». Итог: 5,6 скомпрометированных учетных записей и 3,4 откликов в техподдержку на 100 разосланных писем.

Валерий Комаров, начальник отдела обеспечения осведомленности Управления ИБ ДИТ Москвы, напомнил о том, что информационными системами, оператором которых является ДИТ, пользуется около 3000 городских организаций. Плюс к этому, с их помощью жители города получают государственные услуги. ДИТ Москвы противодействует злоумышленникам, пытающимся получить несанкционированный доступ к этим информационным системам. При этом бороться с социальной инженерией только с помощью технических средств малоэффективно – надо заниматься постоянным обучением людей, повышать уровень информированности и осведомленности персонала государственных информационных систем об актуальных угрозах и сценариях действий преступников.

По его мнению, очень важно, чтобы люди не боялись службу ИБ, а понимали, что к ней можно обратиться за помощью. Валерий Комаров привел список мероприятий, которые проводит ДИТ Москвы для достижения необходимого уровня защиты информации в информационных системах.

Любой инсайдер выгружает данные из базы данных (БД), сохраняет их и затем передает наружу, говорит Георгий Минасян, директор по безопасности «СерчИнформ». Операторы персональных данных должны передавать в правоохранительные органы информацию о таких инцидентах. Он предложил участникам конференции использовать 3-уровневую защиту.

Database Monitor проводит аудит операций в БД и определяет пользователей, которые обращаются к базе данных, вносят правки в информацию и т.д. Он обнаруживает попытку выгрузки аномально большого объема информации из БД и сообщает о ней, отслеживая пользовательские запросы и ответ от базы данных MS SQL Server.

File Auditor классифицирует документы в реальном времени, находя критичную информацию и присваивая конфиденциальным документам метки. Программа проводит мониторинг операций с файлами и уведомляет об изменениях, внесенных в документы. Также она архивирует критичные документы и гарантирует восстановление потерянной чувствительной информации.

DLP-система контролирует максимальное количество коммуникационных каналов, анализирует файлы, предотвращает утечки данных во время хранения, использования и передачи информации, шифрует данные, делая их нечитаемыми на внешних носителях, гарантирует безопасный удаленный доступ в соответствии с внутренним регламентом.

Безопасность гарантирована

Иван Шубин, начальник управления технологического обеспечения ИБ МКБ, уверен, что добиться 100% гарантии информационной безопасности можно только в случае, если компания имеет неограниченный ИБ-бюджет. По его мнению, необходим баланс между безопасностью и удобством работы пользователей. «Есть стандарты, которым должна соответствовать организация. Но не надо становиться параноиками, – говорит он. – ИБ не зарабатывает деньги, максимум – помогает их сохранить или возвратить».

В МКБ решили пойти по пути изучения процесса информационной безопасности и обнаруживать ошибки до того, как они станут очевидны другим. Теперь все внедряемое программное обеспечение обязательно проверяется на наличие закладок и недекларированных возможностей до того, как передается в прод.

«Здесь много говорилось о том, какие технические средства используются для обеспечения информационной безопасности. Но в реальной жизни все совершенно иначе, – начал свое выступление Денис Матюхин, владелец компании «Аэроклуб». – Вы когда-нибудь задумывались над тем, как передаются персональные данные в тревел-агентства?» В большинстве случае они отправляются по электронной почте, и лишь в исключительных случаях – с курьером на флэшке. Почему так происходит? При приеме на работу мы все подписываем согласие на обработку персональных данных, но в дальнейшем никто не интересуется, что же реально с ними происходит, и не требует уничтожения после увольнения.

В интернете можно легко обнаружить персональную информацию клиентов туристических компаний. При этом у этих компаний не возникает никаких проблем. Денис Матюхин призвал создать контур безопасности делового туризма, внутри которого осуществлялась бы передача данных, происходило оформление тревел-услуг, выписка ваучеров и билетов, велась бы финансовая отчетность.

Опытом использования мультивендорного облака для обеспечения информационной безопасности поделился Сергей Путин, ИТ-директор «Росводоканала». Компания столкнулась с попытками несанкционированного доступа на ее сайт, изменением или потерей важной информации. После проведения аудита была создана модель рисков, и функции ИБ стали постепенно переходить из региональных подразделений в центральный офис. При этом было принято решение не переделывать старую инфраструктуру, а использовать облака. Критичные сервисы остались в частном облаке, а некритичные компания получает по модели SecaaS.

Актуальные вопросы

В ходе дискуссии участники конференции «Информационная безопасность 2020: новые технологии – новые риски». затронули тему влияния программы «Цифровая экономика» на развитие отрасли. По мнению Ивана Шубина, драйвером роста рынка ИБ является не сама программа, а понимание бизнесом рисков, которые он несет в случае кибератак. Андрей Арефьев, директор по инновационным проектам InfoWatch, отметил, что цифровая экономика – это в первую очередь экосистема, состоящая из оборудования, программного обеспечения и сервисов. И вопрос в том, что является частью этой экосистемы и нужно ли это защищать. «Цифровизация способствует росту ИТ-сервисов, а значит стимулирует развитие все новых и новых средств информационной безопасности, способных обеспечить их работу», – уверен эксперт. Тем не менее, участники дискуссии отметили, что при разработке программы «Цифровая экономика» мнение экспертов практически не было учтено несмотря на то, что многие формулировки в ней, в частности в сфере ИБ, весьма расплывчаты. Конечно, выделенные средства должны разогреть рынок, но сама программа оставляет много вопросов.

Также не очень понятна позиция регулятора в области разработки требований к ИБ и сертификации ИБ-средств. Например, в банковской сфере эту роль выполняет Банк России. Сергей Демидов отметил, что ЦБ РФ разработал требования не только к информационной безопасности финансовых учреждений, но и к самому процессу построения ИБ, и к процессу разработки информационных систем для банков в целом. При этом за основу был взят стандарт ФСТЭК, который совершенно не учитывает современные тенденции, например, agile. В результате компании финансового сектора оказались в ситуации, когда они фактически должны полностью менять процесс разработки или вообще от нее отказаться. По мнению эксперта, такая зарегулированность чрезмерна.

Валерий Комаров рассказал о том, что еще недавно наличие сертификата на продукт давало возможность заказчику не ломать голову над тем, что он покупает и насколько это надежно. Однако опыт показал, что выбор даже сертифицированных средств защиты информации требует высокой квалификации специалиста по защите информации. И сейчас вопрос обучения сотрудников стоит очень остро. С ним согласен Андрей Арефьев, который говорит о том, что регулятор не обозначил границы сертифицирования средств ИБ, поэтому заказчики вынуждены самостоятельно изучать каждый продукт, а не руководствоваться при его выборе какими-то конкретными показателями, что, по сути, сводит на нет пользу от сертификации.

Источник