=====«Политика информационной безопасности для персонала Общества с ограниченной ответственностью «ШЭРИКС» (ООО «ШЭРИКС»)»=====
 
====1. Этика====
Пользователям информационной системы запрещается: 
  * сообщать свои имена учетных записей и пароли друзьям или родственникам;
  * пытаться подобрать пароли, обрабатывая файлы, хранящие пароли, программами-подборщиками;
  * запускать сетевые сканеры;
  * взламывать чужие учетные записи;
  * прерывать работу систем;
  * использовать системные ресурсы и электронную почту не по назначению;
  * открывать файлы других пользователей за исключением случаев, когда владелец файла попросил об этом;
  * скачивать файлы из сети Интернет;
  * копировать нелицензионное программное обеспечение (далее — ПО);
  * позволять другим пользователям копировать нелицензионное ПО.

====2. Парольная политика====
Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для неавторизованного доступа в используемые системы.\\
2.1. Содержимое:
  * комбинация цифр, прописных и строчных букв, знаков препинания, например: 1Kf$oe#, L0i*n#51;
  * легкое для запоминания (не нужно записывать);
  * удобное для быстрого ввода (сложно для восприятия подглядывающего).
Примеры:
  * выберите несколько строк поэмы, песни и т. д. и используйте только первые буквы слов;
  * соедините два небольших слова необычным символом.
Примеры плохих паролей:
  * имя супруга, родителя, коллеги, друга, домашнего животного, названия городов, месяцев, дней;
  * номер машины/мотоцикла, номер телефона;
  * простые слова из любого языка;
  * серия одинаковых цифр/букв;
  * простые клавиатурные последовательности (qwerty, qwerty123, asdf, password);
  * все вышеперечисленное, введенное в обратной последовательности или с цифрой до или после.

2.2. Правила:
  * не записывайте пароли, не пересылайте их по электронной почте;
  * пароли, устанавливаемые по умолчанию не должны использоваться;
  * не передавайте свой пароль посторонним;
  * если пароли скомпрометированы, немедленно меняйте их;
  * избегайте распространения административных паролей. Используйте группы или утилиты типа 'su';
  * если возможна синхронизация паролей пользователей между платформами, используйте ее. Пользователь, скорее всего, будет использовать более стойкий пароль, если он будет единственным;
  * Вы обязаны подробным образом проинформировать пользователей об опасности взлома и примерах его осуществления. Хорошо информированный пользователь - залог выбора стойкого пароля;
  * все пароли по умолчанию должны быть заменены перед использованием системы;
  * пароли должны храниться в зашифрованном виде. Шифрование должно быть стойким к брутфорс атакам, проводимым в течение нескольких недель на мощном компьютере;
  * пароли не должны отображаться во время ввода, отображения условных символов на каждый знак пароля следует избегать;
  * пользователь не должен иметь возможности узнать зашифрованные пароли других пользователей (из файла, содержащего пароли);
  * следует определить минимальный и максимальный срок действия пароля, а также список изменений. Например: ○	минимальный срок действия - 3 дня, максимальный срок действия = 6 месяцев, минимальная длина - 6 символов;
  * история паролей: использование пяти предыдущих паролей должно быть запрещено.
  * следует определить допустимое содержимое паролей. Система должна проверять пароли на соответствие этим правилам прежде, чем принять их. (см. Примеры плохих паролей);
  * пользователь не должен иметь возможность менять пароли других пользователей, но администратор должен иметь возможность сбросить пароль пользователя, чтобы тот мог задать новый;
  * когда требуется отдельный логин для системы (например, для СУБД Oracle под Линукс), пароль должен быть заблокирован во избежание интерактивного входа в систему;
  * пользователь должен изменить пароль при первом входе в систему;
  * используйте строгие идентификаторы доступа (например, смарт-токены, смарт-карты, биометрические системы и т. д.);
  * если технически возможно, осуществляйте автоматическую генерацию паролей (в помощь пользователям);
  * программа проверки паролей должна регулярно (раз в неделю) проверять пароли на устойчивость (соответствуют ли пароли требованиям или нет).
====3. Сети====
3.1. Конфиденциальная информация:
  * конфиденциальные данные, передаваемые через общедоступные сети, должны быть зашифрованы.
3.2. Подключение к сетям:
  * пользователю запрещается подключать свой компьютер к любой сети кроме локальной;
  * доступ к внешним (публичным и частным) сетям должен осуществляться через межсетевой экран. Все межсетевые экраны должны инсталлироваться и обслуживаться службой безопасности.
3.3. Электронная почта:
  * пользователь обязан знать, что обычные почтовые системы часто не гарантируют защиту информации или точное определение отправителя. В большинстве систем системный администратор может читать всю почту. Персональные данные системы 3  Категории могут рассылаться внутри системы без шифрования. 2 Категория должна шифроваться;
  * персональные данные 1 Категории нельзя передавать по электронной почте;
  * только персональные данные 4 Категории и специфическая информация необходимая внешним участникам проекта может быть отправлена за пределы компании;
  * пользователь обязан знать риски открытия документов с макросами, файлы в формате ПостСкрипт и установки программ, полученных по электронной почте (есть вероятность того, что после открытия таких документов, персональный компьютер может быть заражен компьютерными вирусами, вследствие чего произойдет кража персональных данных с компьютера).

====4. Интернет====
Из-за недостатков в структуре и методах контроля интернет является источником следующих рисков:
  * компрометация конфиденциальной информации;
  * атака хакеров на корпоративные ресурсы;
  * изменение или удаление информации;
  * отказ систем из-за высокой нагрузки.
  * Если пользователям предоставлен доступ в интернет, они должны быть осведомлены о рисках и ознакомлены с политикой использования интернета. Следовательно, необходима особая политика доступа к интернет, которая должна быть широко известна и используема:
  * весь исходящий трафик в интернет должен идти через утвержденные компанией шлюзы, которые сертифицированы на соответствие с корпоративной политикой безопасности;
  * кому предоставлен стандартный доступ в интернет (например, администраторы);
  * кому доступна внешняя электронная почта (например, всем);
  * случаи запрета доступа;
  * разрешенное клиентское ПО для работы в интернет (например, стандартное ПО организации);
  * недопустимое использование сети Интернет (например, порнографические материалы, загрузка опасного или нелицензионного ПО, случаи использования в сугубо личных целях и т. д.);
  * условия предоставление доступа к интернету (например, утвержденная политика использования межсетевого экрана, публикация информации, классифицированной как общедоступная).

====5. Ноутбуки и портативные компьютеры====
Портативные компьютеры позволяют персоналу быть более продуктивным будучи «в отъезде». Они позволяют осуществлять доступ к информации. С точки зрения безопасности они могут создать риск компрометации информации, быть украдены и стать точкой неавторизованного доступа в корпоративную сеть. Количество мобильных компьютеров растет, поэтому необходима специальная политика по использованию портативных компьютеров:
  * пользователь обязан знать про  риски при использовании ноутбуков;
  * парольная защита в таких офисных приложениях как MS Word не является защитой от грамотных злоумышленников;
  * съемный жесткий диск легко позволяет защититься если убрать его в карман. С другой стороны, это упрощает кражу информации;
  * подготовка и инсталляция ПО должна производиться профессиональным ИТ-персоналом. В штате необходимы сотрудники, которые могут дать рекомендацию по выбору модели ноутбука;
  * по возможности должна быть установлена программа шифрования файлов, обеспечивающую стойкое шифрование и простую в применении. Программа шифрования диска является альтернативой, но она может потребовать специальных знаний для администрирования и повлиять на производительность, а также вызвать проблемы совместимости;
  * используйте операционную систему, в которой обычный пользователь не имеет полного доступа к системе;
  * пользователи несут ответственность за ноутбуки за пределами офисного здания;
  * системы автоматической блокировки экрана и пароли при загрузке должны использоваться везде, где это технически возможно. Загрузочные пароли защищают от любопытного, но не грамотного злоумышленника;
  * следует установить активный антивирус всем сотрудникам;
  * в общественном транспорте сотрудник должен держать ноутбук при себе;
  * персональные данные 3 Категории  запрещается переносить в ноутбуках если они не зашифрованы;
  * выключайте компьютер, как только отходите от рабочего места, то есть, когда он не используется;
  * запрещается хранение пароля для доступа в корпоративную локальную сеть в ноутбуке;
  * запрещается передача данных категории 3 по небезопасным сетям (таким как интернет, публичный Wi-Fi) без шифрования;
  * доступ в корпоративную локальную сеть через «dial-up» должен быть определен в политике доступа к сети;
  * выключайте модемы, когда они не используются.

За несоблюдение вышеперечисленных правил, нарушитель несет предусмотренную законом ответственность, в том числе возмещение материального вреда