Политика безопасности при работе в Интернете

       

Примеры политик для поиска информации


Низкий риск

Пользователь

Программы для поиска и просмотра информации в Интернете, такие как WWW, Gopher, WAIS, и т.д. предоставляются сотрудникам в-основном для более лучшего исполнения ими своих должностных обязанностей.

Любое использование их в личных целях не должно мешать обычной трудовой деятельности сотрудников организации, не должно быть связано с ведением коммерческой деятельности в личных интересах, выходящих за рамки обязанностей сотрудника, и не должно потенциально угрожать организации.

Сотрудникам организации, пользующимся Интернетом, запрещено передавать или загружать на компьютер материал, который является непристойным, порнографическим, фашистским или расистским.

Пользователям WWW напоминается, что веб-браузеры оставляют "отпечатки пальцев" на сайтах, позволяющие установить, кто и когда посещал эти сайты.

Менеджер

Пользователям должны быть известны и доступны места, где можно взять лицензионные программ для WWW.

Сотрудник отдела автоматизации

Должно иметься и поддерживаться локальное хранилище полезных веб-браузеров, приложений для отображения различных форматов документов и плагинов. Оно должно быть доступно для сотрудников организации .

Средний риск

Пользователь

Служащие пользуются программами для поиска информации в WWW только для более лучшего выполнения ими своих должностных обязанностей.



Все программы, используемые для доступа к WWW, должны быть утверждены сетевым администратором и на них должны быть установлены все доработки производителя(patch), связанные с безопасностью.

Все файлы, загружаемые с помощью WWW, должны проверяться на вирусы с помощью утвержденных руководством антивирусных программ.

Во всех браузерах должно быть запрещена обработка Java, Javascript и ActiveX из-за небезопасности данных технологий.

Могут использоваться или загружаться только версии браузеров, использование которых разрешено в организациит. Другие версии могут содержать вирусы или ошибки.

Все веб-браузеры должны быть сконфигурированы так, чтобы использовать прокси-сервер для WWW из состава брандмауэра.


При посылке данных на веб-сервер с помощью форм HTML из браузера, удостоверьтесь, что установлен механизм, такой как SSL (Secure Sockets Layer), для шифрования сообщения при посылке его.

Высокий риск
Пользователь
Пользователи могут производить поиск информации в Интернете с помощью World Wide Web (WWW), Gopher, WAIS, и т.д. ТОЛЬКО, если этого явно требуют их должностные обязанности.
Не должны посещаться сайты, про которые, что они содержат оскорбительную или другую вредную информацию.
Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, могут быть запротоколированы и использоваться для принятия решения о применении к нему в санкций.
URLи сайтов, содержащих вредную информацию, должны сообщаться ответственному в организации за безопасность использования Интернета.
Менеджер
В организации должен вестись список запрещенных сайтов. Программы для работы с WWW должны быть сконфигурированы так, чтобы к этим сайтам нельзя было получить доступ.
Сайты, про которые стало известно, что они содержат вредную информацию, должны сразу же блокироваться сетевыми администраторами.
Сотрудники, нанятые по контракту, должны соблюдать эту политику после предоставления им доступа к Интернету в письменном виде.
Сотрудник отдела автоматизации
Все посещаемые сайты должны протоколироваться..
Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись следующие правила:
Доступ к Интернету должен осуществляться только через HTTP-прокси.
Каждый загружаемый файл должен проверяться на вирусы или РПС
Могут загружаться только те программы на ActiveX, использование которых разрешено организацией
Могут загружаться только те программы на Java, использование которых разрешено организацией
Могут загружаться только те программы на Javascript, использование которых разрешено организацией
Веб-страницы часто включают формы. Как и электронная почта, данные, посылаемые веб-браузером на веб-сервер, проходят через большое число промежуточных компьютеров и сетей до того, как достигнут своего конечного назначения. Любая важная информация, посылаемая с помощью ввода данных на веб-странице, может быть перехвачена.

Содержание раздела