Политика приемлемого использования как часть политики информационной безопасности направлена не на ограничения, мешающие прозрачности, доверию и целостности в компании <Компания>, а на защиту компании, ее работников и партнеров от нелегальных или опасных действий лиц обусловленных как не знанием так и злым умыслом.
Системы использующие Интернет/внутреннюю и внешние сети компании, включающие, но не ограничивающиеся компьютерным оборудованием, программами, операционными системами, системами хранения, ящиками электронную почту, просмотр WWW и FTP, являются собственностью <Компании>. Эти системы используются в служебных целях и интересах компании, а также для клиентов компании в пределах нормальной деятельности. Пожалуйста ознакомитесь с политикой «Human Resources policies» для подробной информации.
Эффективная безопасность является результат коллективных усилий с участием и поддержкой каждого работника и партнера <Компании> кто работает с информацией и/или информационными системами. Обязанностью каждого компьютерного пользователя является знание этой политики и ее соблюдение в повседневной работе.
2.0 Цели
Целью этой политики является определение допустимого использования вычислительных систем <Компании>. Их недопустимое использование делает <Компанию> уязвимой для рисков включая вирусные атаки, компрометацию сетевых служб и систем, нарушение государственных законов.
3.0 Область применения
Эта политика должна применяться сотрудниками, подрядчиками, консультантами, временными и другими рабочими компании <Компания>, включая весь персонал третьих фирм. Эта политика применяется на всем оборудовании которым владеет или которым пользуется <Компания>.
4.0 Политика4.1 Владение и общее использование
Сетевое администрирование компании <Компания> ведется с сохранением неприкосновенности частной жизни, однако пользователи должны учитывать, что данные созданные на корпоративным системах являются собственностью компании. Конфиденциальность личной информации хранимой на системах компании <Компании> не может быть гарантирована, поскольку необходимо обеспечивать защиту систем компании<Компания>.
Сотрудники ответственны за использование систем в личных целях. Отдельные под могут создавать руководства об использовании Интернет/внутренней и внешней сети компании в личных целях. В условиях отсутствии определенной политики, пользователи должны руководствоваться политиками под по личному использованию, а в случае если есть какая-то неопределенность, консультироваться у своего начальника или менеджера.
В целях управления и обеспечения безопасности систем компании, авторизованные служащие компании <Компания> могут осуществлять мониторинг оборудования, систем и сетевого трафика в любое время, согласно политике аудита.
<Компания> оставляет за собой право на проведение аудита сетей и систем на периодической основе в целях обеспечения соответствия с настоящей политикой.
4.2 Защита и проприентарная информация
Информация размещаемая в Интернет/внутренней и внешние сети компании должна быть классифицирована как конфиденциальная или нет, как это описано в корпоративных руководствах по конфиденциальности, и снабжена соответствующей меткой. Детали могут быть найден в «Human Resources policies». Примерами конфиденциальной информации могут являться, но не ограничиваются ими: стратегии, конкурентная информация, торговые секреты, спецификации, списки клиентов и данные исследований. Сотрудники компании должны предпринять все необходимые действия для исключения не авторизованного доступа к этой информации.
Пароли и сведения об учетных записях должны сохраняться в тайне. За сохранение в тайне паролей и сведений об учетных записях отвечают их владельцы. Системные пароли должны меняться раз в месяц, пользовательские — раз в пол года.
Все рабочие места (в том числе мобильные) должны защищаться хранителем экрана с паролем, который активизируется по требованию (ctrl-alt-delete для пользователей Windows) или автоматически не более чем через 10 минут простоя.
Шифрование информации должно использоваться согласно политике информационной безопасности «Политика допустимого использования шифрования» («Acceptable Encryption Use policy»).
Рассылка писем сотрудниками компаний с электронных ящиков компании <Компания> должна содержать ссылку о том, что это личное мнение и не обязательно совпадает с мнением <Компании>. Исключение составляют рассылки в деловых целях.
Все рабочие места используемые служащими компании, подключенные к Интернет/внутренней и внешние сети компании, являющиеся как собственностью компании так и сотрудников, должны постоянно проверяться на вирусы с использованием актуальных вирусных баз кроме случаев специально оговоренных политиками под.
Служащие должны особо осторожно обращаться с вложениями в электронные письма которые пришли от неизвестных абонентов, поскольку они могут содержать вирусы, почтовые бомбы и прочее вредоносное программное обеспечение.
4.3 Недопустимое использование
Описанные далее действия являются в основном запрещенными. Сотрудники компании могут быть освобождены от отдельных запретов во время выполнения их должностных обязанностей (например, сетевому администратору в рабочих целях может понадобиться отключить сетевой доступ для скомпрометированных рабочих мест и серверов)
При работе с ресурсами компании <Компания> ее сотрудники ни при каких обстоятельствах не должны нарушать своей деятельностью существующие государственные законы.
Приведенный ниже список отнюдь не исчерпывающий, однако позволяет обозначить активность которая попадает в категорию недопустимой.
Следующая активность строго запрещена, без исключений:
Системная и сетевая активность
Нарушение прав личность или компании защищенных авторским правом, торговыми секретами, патентами или другими правами на интеллектуальную собственность или другими подобными законами или регулирующими документами, включая, но не ограничиваясь, инсталляцией или распространение «пиратского» или другого программного обеспечения не разрешенного в компании <Компания>.
Копирование защищенных авторским правом материалов включающих, но не ограниченных, оцифровкой или распространением фотографий из журналов, книг или других защищенных авторским правом источников, защищенной авторским правом музыки, и инсталляция любого защищенного авторским правом программного обеспечения для использования которого у компании <Компания> или у конечных пользователей нет прав строго запрещено.
Распространение за пределы компании программного обеспечения, технической информации или технологий в нарушении интернациональных или региональных экспортных законов не разрешено. Ответственные менеджеры должны быть проконсультированы в вопросах экспорта по любым задачам в их области действия.
Внедрение вредоносных программ в сеть или на серверы (в том числе вирусы, черви, трояны, почтовые бомбы и прочее).
Предоставление паролей или разрешение пользоваться вашими учетными записями другим лицам. Это включает вашу семью и знакомых, когда работа выполняется на дому.
Использование компьютерных активов компании <Компания> для обеспечения или участия в передаче материалов, которые нарушают законы о сексуальном домогательстве или насилии в области расположения пользователя.
Совершение мошеннических действий, продуктов или услуг под учетными записями <Компании>.
Делать заявления о гарантии, явно или косвенно, если это не является частью рабочих обязанностей.
Осуществлять нарушение безопасности или сетевого взаимодействия. Нарушение безопасности включает, но не ограничивается, доступом к чужим данным или вход на сервер или ресурс под чужой учетной записью, если эти действия не входят в список должностных обязанностей. В рамках этого пункта, нарушение включает, но не ограничивается, перехват данных в сети, перегрузка сети, food, отказ в обслуживании и подмена маршрутной информации в вредоносных целях.
Сканирование портов или защищенности категорически запрещается без предварительного уведомления.
Выполнение любых форм сетевого мониторинга который перехватывает данные не предназначенные сотруднику, если такая деятельность не является его должностными обязанностями.
Обход или обман средств аутентификации или защиты любого рабочего места, сети или учетной записи.
Вмешательство в работу или осуществление атаки отказа в обслуживании чужого рабочего места.
Использование любых программ/скриптов/команд, или рассылка сообщений любого вида с целью препятствования или прекращения пользовательской терминальной сессии, с любыми целями, локально или удаленно через Интернет/внутренние или внешние сети копании.
Предоставление списков или информации об сотрудниках <Компании> вне компании <Кномпании>.
Почтовая активность или общение
Отправка нежелательных почтовых сообщений, включая сообщения типа рекламы или прочих материалов абонентам, которые специально их не запрашивали (СПАМ).
Любые формы домогательства через электронную почту, телефон, записки не зависимо от языка, частоты или размера сообщения.
Не авторизованное использование или подмена заголовков почтовых сообщений.
Запрос почтовых рассылок на адрес отличный от выданного адреса.
Создание или пересылка «Писем счастья» или писем других схем типа «пирамида».
Использование имени компании <Компания> и отправка СПАМА с использованием сетей компании или присоединенных к ней сетей.
Рассылка идентичных или прочих не деловых сообщений большому количеству абонентов (СПАМ).
4.4 Блогинг
Блогинг сотрудниками компании, с использованием собственности или вычислительных систем <Компания>, также относится к области действия и ограничивается настоящей политикой. Ограниченное использования систем <Компании> допустимо, при условии что блогинг ведется качественно и ответственно, и не нарушает политик <Компании>, не вредит ее интересам и не влияет на результаты работы сотрудника. Блогинг из сетей компании также может быть объектом мониторинга.
Политика конфиденциальности информации компании <Компания> (Confidential Information policy) также применяется к блогингу. Таким образом, при ведении блогов запрещено раскрывать любую конфиденциальную или проприентарную информацию <Компании>, торговые секреты или другие материалы защищаемые политикой конфиденциальности информации.
Сотрудники не должны размещать в блогах информацию которая может принести вред или ущерб имиджу, репутации или доброго имени <Компании> и/или любому из ее сотрудников. Сотрудникам также запрещено делать дискриминационные, унизительные, клеветнические или провокационные комментарии в блогах или любым другим способом нарушать действия политики Недопустимости дискриминации и унижения компании <Компании>.
Сотрудники также не могут приписывать личные утверждения, мнения или убеждения компании <Компания> когда они участвуют в блоге. Если сотрудник выражает свои убеждения и/или мнения в блоге, то он не может прямо или косвенно, связывать себя с компанией. Сотрудники должны принимать на себя все риски связанные с блогами.
Кроме соблюдения всех законов относящихся к обработке и раскрытию информации, защиты авторского права или экспорта контролируемых материалов,торговой марки <Компании>, логотипы и любые другая интеллектуальная собственность <Компании> также не может быть использована в блогах никаким образом.
5.0 Наказание
Любой сотрудник компании уличенный в нарушении настоящей политики может быть подвергнуть дисциплинарному взысканию вплоть до увольнения.
6.0 Определения
Термин
Определение
Блог
Личный сетевой журнал, который часто обновляется и доступен для широкого доступа
