• руководства компании, которое стремится обеспечить целостность, конфиденциальность и доступность информационных активов компании в соответствии с целями и задачами бизнеса;
• юристов и аудиторов компании, которые обеспокоены сохранением репутации компании и ответственностью компании перед клиентами и партнерами.
Область действия. Политика является частью программы компании по обеспечению безопасности ее информационных активов. Политика определяет допустимые правила доступа сотрудников, клиентов, партнеров и вендоров к открытым и конфиденциальным информационным активам в сети компании.
Юридические права. Совет директоров уполномочен акционерами компании создать, внедрить и поддерживать политику в соответствии с требованиями государственных органов, федерального и международного законодательства. Директор (начальник) службы информационной безопасности и главный юрист компании несут ответственность за реализацию этой политики.
Заинтересованные стороны. Следующий персонал компании несет личную ответственность за создание, поддержку и внедрение политики сетевой безопасности:
• директор по финансам,
• директор по развитию,
• директор службы продаж и маркетинга,
• исполнительный директор, СЕО,
• директор информационной службы, CIO,
• директор службы информационной безопасности, CISO,
• директор по сетям и телекоммуникациям,
• главный менеджер по информационным системам,
• директор службы качества и внутреннего аудита,
• главный юрист компании,
• директор службы персонала,
• директор системной поддержки и сопровождения,
• директор службы разработки приложений.
Обязанности системного администратора. Системный администратор сетевого оборудования отвечает за выполнение следующих требований:
• назначение учетной записи отдельным сотрудникам (не группам);
• обеспечение уникальности учетных записей сотрудников и оборудования внутри компании;
• установка обновлений безопасности и сервисных пакетов, рекомендованных отделом информационной безопасности, в соответствии с их уровнем критичности;
• осуществление управления учетными записями и паролями;
• отключение учетных записей при увольнении сотрудников;
• хранение файлов конфигураций сетевых устройств на защищенном TFTP-сервере. Защита конфигураций от разглашения. Использование керберизованного rcp между маршрутизаторами Cisco и сервером TFTP;
• ежедневное исследование файлов журналов. Немедленное оповещение отдела информационной безопасности об инцидентах, связанных с безопасностью. Еженедельная отправка отчетов о небольших нарушениях безопасности (типа многократных неудачных попыток регистрации) в отдел информационной