Пользователям информационной системы запрещается:

• сообщать свои имена учетных записей и пароли друзьям или родственникам;
• пытаться подобрать пароли, обрабатывая файлы, хранящие пароли, программами-подборщиками;
• запускать сетевые сканеры;
• взламывать чужие учетные записи;
• прерывать работу систем;
• использовать системные ресурсы и электронную почту не по назначению;
• открывать файлы других пользователей за исключением случаев, когда владелец файла попросил об этом;
• скачивать файлы из сети Интернет;
• копировать нелицензионное программное обеспечение (далее — ПО);
• позволять другим пользователям копировать нелицензионное ПО.

Комбинация имени учетной записи пользователя и пароля определяет пользователя в системе. Применение парольной политики является основным барьером для неавторизованного доступа в используемые системы.
2.1. Содержимое:

• комбинация цифр, прописных и строчных букв, знаков препинания, например: 1Kf$oe#, L0i*n#51;
• легкое для запоминания (не нужно записывать);
• удобное для быстрого ввода (сложно для восприятия подглядывающего).

Примеры:

• выберите несколько строк поэмы, песни и т. д. и используйте только первые буквы слов;
• соедините два небольших слова необычным символом.

Примеры плохих паролей:

• имя супруга, родителя, коллеги, друга, домашнего животного, названия городов, месяцев, дней;
• номер машины/мотоцикла, номер телефона;
• простые слова из любого языка;
• серия одинаковых цифр/букв;
• простые клавиатурные последовательности (qwerty, qwerty123, asdf, password);
• все вышеперечисленное, введенное в обратной последовательности или с цифрой до или после.

2.2. Правила:

• не записывайте пароли, не пересылайте их по электронной почте;
• пароли, устанавливаемые по умолчанию не должны использоваться;
• не передавайте свой пароль посторонним;
• если пароли скомпрометированы, немедленно меняйте их;
• избегайте распространения административных паролей. Используйте группы или утилиты типа 'su';
• если возможна синхронизация паролей пользователей между платформами, используйте ее. Пользователь, скорее всего, будет использовать более стойкий пароль, если он будет единственным;
• Вы обязаны подробным образом проинформировать пользователей об опасности взлома и примерах его осуществления. Хорошо информированный пользователь - залог выбора стойкого пароля;
• все пароли по умолчанию должны быть заменены перед использованием системы;
• пароли должны храниться в зашифрованном виде. Шифрование должно быть стойким к брутфорс атакам, проводимым в течение нескольких недель на мощном компьютере;
• пароли не должны отображаться во время ввода, отображения условных символов на каждый знак пароля следует избегать;
• пользователь не должен иметь возможности узнать зашифрованные пароли других пользователей (из файла, содержащего пароли);
• следует определить минимальный и максимальный срок действия пароля, а также список изменений. Например: ○ минимальный срок действия - 3 дня, максимальный срок действия = 6 месяцев, минимальная длина - 6 символов;
• история паролей: использование пяти предыдущих паролей должно быть запрещено.
• следует определить допустимое содержимое паролей. Система должна проверять пароли на соответствие этим правилам прежде, чем принять их. (см. Примеры плохих паролей);
• пользователь не должен иметь возможность менять пароли других пользователей, но администратор должен иметь возможность сбросить пароль пользователя, чтобы тот мог задать новый;
• когда требуется отдельный логин для системы (например, для СУБД Oracle под Линукс), пароль должен быть заблокирован во избежание интерактивного входа в систему;
• пользователь должен изменить пароль при первом входе в систему;
• используйте строгие идентификаторы доступа (например, смарт-токены, смарт-карты, биометрические системы и т. д.);
• если технически возможно, осуществляйте автоматическую генерацию паролей (в помощь пользователям);
• программа проверки паролей должна регулярно (раз в неделю) проверять пароли на устойчивость (соответствуют ли пароли требованиям или нет).

3.1. Конфиденциальная информация:

• конфиденциальные данные, передаваемые через общедоступные сети, должны быть зашифрованы.

3.2. Подключение к сетям:

• пользователю запрещается подключать свой компьютер к любой сети кроме локальной;
• доступ к внешним (публичным и частным) сетям должен осуществляться через межсетевой экран. Все межсетевые экраны должны инсталлироваться и обслуживаться службой безопасности.

3.3. Электронная почта:

• пользователь обязан знать, что обычные почтовые системы часто не гарантируют защиту информации или точное определение отправителя. В большинстве систем системный администратор может читать всю почту. Персональные данные системы 3 Категории могут рассылаться внутри системы без шифрования. 2 Категория должна шифроваться;
• персональные данные 1 Категории нельзя передавать по электронной почте;
• только персональные данные 4 Категории и специфическая информация необходимая внешним участникам проекта может быть отправлена за пределы компании;
• пользователь обязан знать риски открытия документов с макросами, файлы в формате ПостСкрипт и установки программ, полученных по электронной почте (есть вероятность того, что после открытия таких документов, персональный компьютер может быть заражен компьютерными вирусами, вследствие чего произойдет кража персональных данных с компьютера).

Из-за недостатков в структуре и методах контроля интернет является источником следующих рисков:

• компрометация конфиденциальной информации;
• атака хакеров на корпоративные ресурсы;
• изменение или удаление информации;
• отказ систем из-за высокой нагрузки.
• Если пользователям предоставлен доступ в интернет, они должны быть осведомлены о рисках и ознакомлены с политикой использования интернета. Следовательно, необходима особая политика доступа к интернет, которая должна быть широко известна и используема:
• весь исходящий трафик в интернет должен идти через утвержденные компанией шлюзы, которые сертифицированы на соответствие с корпоративной политикой безопасности;
• кому предоставлен стандартный доступ в интернет (например, администраторы);
• кому доступна внешняя электронная почта (например, всем);
• случаи запрета доступа;
• разрешенное клиентское ПО для работы в интернет (например, стандартное ПО организации);
• недопустимое использование сети Интернет (например, порнографические материалы, загрузка опасного или нелицензионного ПО, случаи использования в сугубо личных целях и т. д.);
• условия предоставление доступа к интернету (например, утвержденная политика использования межсетевого экрана, публикация информации, классифицированной как общедоступная).

Портативные компьютеры позволяют персоналу быть более продуктивным будучи «в отъезде». Они позволяют осуществлять доступ к информации. С точки зрения безопасности они могут создать риск компрометации информации, быть украдены и стать точкой неавторизованного доступа в корпоративную сеть. Количество мобильных компьютеров растет, поэтому необходима специальная политика по использованию портативных компьютеров:

• пользователь обязан знать про риски при использовании ноутбуков;
• парольная защита в таких офисных приложениях как MS Word не является защитой от грамотных злоумышленников;
• съемный жесткий диск легко позволяет защититься если убрать его в карман. С другой стороны, это упрощает кражу информации;
• подготовка и инсталляция ПО должна производиться профессиональным ИТ-персоналом. В штате необходимы сотрудники, которые могут дать рекомендацию по выбору модели ноутбука;
• по возможности должна быть установлена программа шифрования файлов, обеспечивающую стойкое шифрование и простую в применении. Программа шифрования диска является альтернативой, но она может потребовать специальных знаний для администрирования и повлиять на производительность, а также вызвать проблемы совместимости;
• используйте операционную систему, в которой обычный пользователь не имеет полного доступа к системе;
• пользователи несут ответственность за ноутбуки за пределами офисного здания;
• системы автоматической блокировки экрана и пароли при загрузке должны использоваться везде, где это технически возможно. Загрузочные пароли защищают от любопытного, но не грамотного злоумышленника;
• следует установить активный антивирус всем сотрудникам;
• в общественном транспорте сотрудник должен держать ноутбук при себе;
• персональные данные 3 Категории запрещается переносить в ноутбуках если они не зашифрованы;
• выключайте компьютер, как только отходите от рабочего места, то есть, когда он не используется;
• запрещается хранение пароля для доступа в корпоративную локальную сеть в ноутбуке;
• запрещается передача данных категории 3 по небезопасным сетям (таким как интернет, публичный Wi-Fi) без шифрования;
• доступ в корпоративную локальную сеть через «dial-up» должен быть определен в политике доступа к сети;
• выключайте модемы, когда они не используются.

За несоблюдение вышеперечисленных правил, нарушитель несет предусмотренную законом ответственность, в том числе возмещение материального вреда