|
Назначение документа
Настоящий документ является политикой. Он регламентирует порядок проведения электронного сканирования информационных ресурсов, внутренних конфиденциальных ресурсов, рабочих станций пользователей и прочих объектов во внутренней сети компании с целью выявления их структуры, уязвимостей и контроля соблюдения политики информационной безопасности.
Основная часть
Область действия
В область действия настоящей политики попадают любые мероприятия проводимые с помощью электронный средств анализа с целью определению структуры и уязвимостей объектов внутренней сети компании.
Кроме того, контроль соблюдения политик безопасности осуществляемый электронными средствами также должен проводиться с учетом требований данного документа.
Доступ к объектам
При необходимости для проведения аудита может быть предоставлена техническая информация об исследуемом объекте. Кроме того, может быть предоставлен доступ к объектам, который включает в себя:
- Точки подключения электронных средств анализа
- Пользовательский и административный уровень доступа к исследуемым объектам
- Образцы информации, которая обрабатывается на исследуемом объекте
- Информацию мониторинга функционирования исследуемого объекта (системные журналы, графики загрузки, сигналы IPS/IDS и систем корреляции событий и прочее)
Поддержка и оповещение о работах
При необходимости проведение аудита может поддерживаться работниками компании из заинтересованных отделов. Квалификация поддерживающего персонала должна позволять им выполнять мероприятия по устранению возможных негативных последствий электронного сканирования.
Оповещение заинтересованных лиц о проведении работ, если это не противоречит целям аудита, должно осуществляться не позднее 48 часов до их начала, при этом должны быть определены контакты лиц проводящих аудит и осуществляющих его поддержку от заинтересованных отделов.
Если аудит должен проводиться скрытно, то оповещение проводится только для лиц осуществляющих поддержку.
Время проведения работ
Перед проведением работ должно быть определено точное время их начала и ожидаемая продолжительность.
Влияние на производительность и работоспособность
Электронное сканирование может вызвать снижение работоспособности информационных ресурсов, служб и сервисов или их полный отказ в обслуживании. При этом лица осуществляющие электронное сканирование не привлекаются к ответственности, если выполнены следующие условия:
- Получено разрешение на проведение работ
- Проведено оповещение о работах
- В оповещении указана возможность снижения производительности и нарушения работоспособности
- Назначены лица от заинтересованных отделов поддерживающие работы
Результаты аудита
Результаты аудита являются конфиденциальной информацией Компании. Их публикация в открытых и иных источниках разрешена только если удалены все ссылки на Компанию.
Ответственность за нарушение политики
Нарушение положений установленных политикой информационной безопасности может наказываться вплоть до увольнения служащих компании. А также преследоваться согласно законам РФ.
| 
