Dianalar
Начинающий
- Регистрация
- Сообщения
- 17
- Реакции
- 0
После того, как вы озаботились информационной безопасностью, важно задуматься и том, чтобы меры регулярно соблюдались.
Как показывает практика, даже имея самые совершенные системы безопасности и специалистов, это может оказаться бесполезным из-за халатности одного единственного работника. Поэтому в довесок к мерам важно прописать четкие инструкции и следить за их соблюдением. Сделать это нужно документально, устные указания здесь не работают.
Какие нужны должностные инструкции для вашего бизнеса, расписывать не станем, отметим пункты, касающиеся инфо-безопасности:
1. У каждого работника свой личный кабинет в системе ЭДО и он должен быть проинструктирован о порядке генерации, смены и прекращения действия паролей, учетных записей и о правилах ввода пароля для доступа в систему. Напомним, пароли нужны сложные, об этом писали в посте выше. Пароль работник должен хранить в голове. Вход в систему с чужого аккаунта должен быть возможен только по согласованию с руководителем.
2. Работник должен следить, чтобы все проходило по ЭДО. Бумажных документов в идеале быть не должно. Если возникли, пусть их сразу оцифровывают и сохраняют на удаленный жесткий диск. Сами документы лучше уничтожать в шредере.
3. У каждого должен быть строго определенный круг информации, к которой он имеет доступ. У рядовых работников должен быть минимальный доступ. Полный доступ только у руководителя и, если есть, службы безопасности. В отдельных случаях IT специалист может расширить или отнять права. Желательно, чтобы сотрудники не знали уровень доступа друг друга. Стоит запретить осуществлять обработку данных в присутствии других лиц.
4. Кроме личных кабинетов, создайте всем работникам корпоративные почты и пропишите обязанность вести переписку только с них. Использования корпоративного адреса в личных целях, как и пользование бесплатными почтовыми сервисами для корпоративной переписки необходимо запретить. А также размещение корпоративного адреса почты на общедоступных интернет-ресурсах. Если используете мессенджеры и соцсети, то же самое.
5. Используйте корпоративные СИМ-карты и пропишите запрет использовать их в личных целях. А также запрет на деловое общение с личных номеров. Есть компании, где при входе в офис у сотрудников вообще забирают личные телефоны, но это по ситуации. Личные флешки точно стоит запретить.
6. Никакая информация не должна находиться на рабочем столе. Все только на удаленном жестком диске. Разумеется, никаких Google Docs и прочих облачных сервисов. Ресурсы, которые может посещать пользователь, также стоит ограничить.
7. Пропишите запрет на любые действия, которые могут быть истолкованы как попытки обойти условия работы системы, например, установка какого-либо ПО и изменение конфигурации компьютера. А также запрет использовать компоненты программного и аппаратного обеспечения в неслужебных целях.
8. Работник должен вовремя сигнализировать о проблемах, не пытаясь решить их самостоятельно.
Это основное.
Все инструкции должны быть доведены до каждого сотрудника под роспись с объяснением персональной ответственности за нарушения. Минимальная – штраф, максимальное – увольнение.
Если нарушен режим коммерческой тайны – уголовная с возмещением возможных убытков. Штрафы предлагаем сделать внушительными. Например, за оставление включенного компьютера или использование личной почты – 1-2 оклада.
Как показывает практика, даже имея самые совершенные системы безопасности и специалистов, это может оказаться бесполезным из-за халатности одного единственного работника. Поэтому в довесок к мерам важно прописать четкие инструкции и следить за их соблюдением. Сделать это нужно документально, устные указания здесь не работают.
Какие нужны должностные инструкции для вашего бизнеса, расписывать не станем, отметим пункты, касающиеся инфо-безопасности:
1. У каждого работника свой личный кабинет в системе ЭДО и он должен быть проинструктирован о порядке генерации, смены и прекращения действия паролей, учетных записей и о правилах ввода пароля для доступа в систему. Напомним, пароли нужны сложные, об этом писали в посте выше. Пароль работник должен хранить в голове. Вход в систему с чужого аккаунта должен быть возможен только по согласованию с руководителем.
2. Работник должен следить, чтобы все проходило по ЭДО. Бумажных документов в идеале быть не должно. Если возникли, пусть их сразу оцифровывают и сохраняют на удаленный жесткий диск. Сами документы лучше уничтожать в шредере.
3. У каждого должен быть строго определенный круг информации, к которой он имеет доступ. У рядовых работников должен быть минимальный доступ. Полный доступ только у руководителя и, если есть, службы безопасности. В отдельных случаях IT специалист может расширить или отнять права. Желательно, чтобы сотрудники не знали уровень доступа друг друга. Стоит запретить осуществлять обработку данных в присутствии других лиц.
4. Кроме личных кабинетов, создайте всем работникам корпоративные почты и пропишите обязанность вести переписку только с них. Использования корпоративного адреса в личных целях, как и пользование бесплатными почтовыми сервисами для корпоративной переписки необходимо запретить. А также размещение корпоративного адреса почты на общедоступных интернет-ресурсах. Если используете мессенджеры и соцсети, то же самое.
5. Используйте корпоративные СИМ-карты и пропишите запрет использовать их в личных целях. А также запрет на деловое общение с личных номеров. Есть компании, где при входе в офис у сотрудников вообще забирают личные телефоны, но это по ситуации. Личные флешки точно стоит запретить.
6. Никакая информация не должна находиться на рабочем столе. Все только на удаленном жестком диске. Разумеется, никаких Google Docs и прочих облачных сервисов. Ресурсы, которые может посещать пользователь, также стоит ограничить.
7. Пропишите запрет на любые действия, которые могут быть истолкованы как попытки обойти условия работы системы, например, установка какого-либо ПО и изменение конфигурации компьютера. А также запрет использовать компоненты программного и аппаратного обеспечения в неслужебных целях.
8. Работник должен вовремя сигнализировать о проблемах, не пытаясь решить их самостоятельно.
Это основное.
Все инструкции должны быть доведены до каждого сотрудника под роспись с объяснением персональной ответственности за нарушения. Минимальная – штраф, максимальное – увольнение.
Если нарушен режим коммерческой тайны – уголовная с возмещением возможных убытков. Штрафы предлагаем сделать внушительными. Например, за оставление включенного компьютера или использование личной почты – 1-2 оклада.