Справочные материалы по управлению безопасностью на предприятии

 Политика информационной безопасности
 Федеральный закон о безопасности
 Положение об отделе
 Работа и функционал Начальника Службы безопасности
 Инструкция о пропускном режиме
 Первые шаги по безопасности

Политика информационной безопасности

1. Общие положения.

Настоящая Политика регламентирует единый подход в организации (далее по тексту Компания) к защите информации, составляющей коммерческую тайну, и устанавливает режим охраны таких сведений (перечень таких сведений приведен в приложении № 1).

Положения Политики распространяются на информацию, составляющую коммерческую тайну Организации, независимо от вида носителя, на котором она зафиксирована.

Информационная безопасность Организации, заключается в неукоснительном соблюдении всеми структурными подразделениями Организации требований и принципов, изложенных Политике информационной безопасности (далее по тексту Политика).

Информационная безопасность обеспечивается комплексной системой организационно-управленческих, административно-правовых, инженерно-технических и других мер защиты информации, определенных Политикой.

Для более полного отражения в Политике изменений в инфраструктуре Организации и приведению в соответствие с действующим законодательством раз в год Политика подлежит пересмотру.

2. Формирование Перечня сведений, составляющих коммерческую тайну Организации.

Перечень сведений, составляющих коммерческую тайну Организации (далее по тексту Перечень), формируется путем обобщения предложений, поступающих от руководителей структурных подразделений Организации. Перечень рассматривается и утверждается на Административном совете Организации.

В Перечень включаются сведения позволяющие Организации при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду, а также сведения, которые имеет действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам.

Сведениям, вошедшим в Перечень, присваивается гриф "Конфиденциально".

Сведения, включенные в Перечень, имеют ограничительный характер на использование (применение). Ограничения, вводимые на использование таких сведений, направлены на защиту интересов Организации, ее клиентов и партнеров.

3. Анализ угроз информационной безопасности Организации и модель действия нарушителя.

Угрозами информационной безопасности Организации являются потенциально возможные действия по отношению к информационным ресурсам, носителям сведений и технологическим ресурсам, связанным с обработкой и хранением сведений, составляющими коммерческую тайну Организации. К таким действиям относятся:

• Несанкционированная модификация информации как частичное или полное изменение ее состава и содержания;
• Разрушение (уничтожение) информации;
• Несанкционированный доступ к сведениям составляющим коммерческую тайну;
• Разглашение информации - это умышленные или неосторожные действия со сведениями, составляющими коммерческую тайну, приведшие к ознакомлению с ними лиц, не имеющими к ним допуска;
• Выход из строя оборудования, отвечающего за хранение или обработку сведений, составляющих коммерческую тайну.

3. Модель действия нарушителя информационной безопасности.

При построении модели нарушителя информационной безопасности используется неформальная модель злоумышленника (нарушителя), отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, основные пути достижения поставленных целей, способы реализации исходящих от него угроз, место и характер действия, возможная тактика.

По отношению к Организации потенциальных нарушителей информационной безопасности условно можно разделить на внутренних и внешних.

К внутренним нарушителям относятся:

• Сотрудники Организации, имеющие доступ к охраняемой информации с правами администратора;
• Сотрудники организации, имеющие доступ к охраняемой информации на уровне пользователей;
• Технический персонал по обслуживанию здания;

К внешним нарушителям относятся:

• Клиенты и посетители организации;
• Сотрудники органов ведомственного надзора;
• Нарушители пропускного режима;
• Представители конкурирующих организаций;

Компетентность и техническая подготовка возможных нарушителей может быть самой различной от низкой квалификации до специалистов уровня программистов и системного администратора.

Возможные варианты действия внутренних нарушителей режима информационной безопасности:

• Непроизводственная активность сотрудников Организации (пользователей компьютеров), которая может выражаться в нецелевом использовании ресурсов Интернет и электронной почты, самостоятельная установка и использование не разрешенного программного обеспечения. Такие действия могут стать причиной и способствовать распространению компьютерных вирусов и других вредоносных программ, что может привести к потере данных на рабочих станциях и серверах Организации, несанкционированному доступу посторонних лиц к конфиденциальной информации;
• Вход легального пользователя в компьютерную сеть Организации с реквизитами другого пользователя может использоваться для выполнения запрещенных действий в корпоративной сети Организации или хищению информации;
• Установка на компьютер, подключенный к сети Организации, специального программного обеспечения позволяющего проводить исследование трафика сети и/или осуществлять атаки на ресурсы сети;
• Нерегламентированное использование компьютеров сотрудниками Организации, по роду своей деятельности, не имеющие доступа к ресурсам сети;
• Несанкционированное копирование конфиденциальной информации;
• Уничтожение информации на серверах и рабочих станциях;
• Внесение нерегламентированных изменений в данные и программное обеспечение;
• Кража носителей конфиденциальной информации;
• Кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.

Возможные варианты действия внешних нарушителей режима информационной безопасности:

• Атака на сервисы удаленного доступа и публичные Интернет сервисы Организации. Целью может являться захват управления сервисом, получение полномочий администратора, доступ в корпоративную сеть Организации;
• Заражение клиентской рабочей станции компьютерным вирусом или другой вредоносной программой через сообщения электронной почты;
• Несанкционированное копирование конфиденциальной информации;
• Уничтожение информации на серверах и рабочих станциях;
• Внесение нерегламентированных изменений в данные и программное обеспечение;
• Кража носителей конфиденциальной информации;
• Кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.

4. Требования к системе защиты информации.

Основной задачей системы информационной безопасности Организации является управление информационными рисками и минимизация их для всех видов потенциальных угроз.

Система защиты информации в Организации строится на следующих принципах:

• Непрерывность во времени;
• Комплексность;
• Целенаправленность;
• Универсальность и надежность;
• Плановость мероприятий по защите информации;
• Адекватность уровню важности защищаемых ресурсов;
• Все структурные подразделения организации принимают участие в процессе защиты информации в сфере своей деятельности и в рамках своей компетенции;
• Комплексный контроль функционирования системы защиты информации.

Система защиты информации Организации должна обеспечивать:

• Персональный допуск сотрудников Организации к работе с конфиденциальной информацией в рамках необходимых для выполнения своих служебных обязанностей;
• Управление информационными потоками;
• Возможность аутентификации и идентификации сотрудников Организации, обращающихся к защищаемой информации;
• Регулярное создание страховых копий критичных информационных ресурсов Организации;
• Регулярное осуществление контроля целостности программного обеспечения;
• Регулярное проведение мероприятий по борьбе с компьютерными вирусами и другими вредоносными программами;
• Безопасное подключение корпоративной сети Организации к Интернет;
• Возможность контроля над действиями сотрудников Организации в корпоративной сети;

Объекты информационной системы Организации, подлежащие защите.

Объектами информационной защиты являются носители конфиденциальных сведений, вошедших в Перечень, технологические процессы и оборудование, связанные с обработкой таких сведений.

К защищаемым объектам относятся:

• Документы на бумажных носителях, содержащие сведения, вошедшие в Перечень;
• Съемные машинные носители информации, на которых в электронном виде хранятся сведения, вошедшие в Перечень;
• Рабочие станции и сервера Организации;
• Сетевое оборудование (маршрутизаторы, коммутаторы);
• Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования);
• Каналы связи, по которым передаются в электронном виде сведения, вошедшие в Перечень.

6. Подбор персонала и ответственность за нарушение режима информационной безопасности.

Подбор кандидатов и прием на работу в Компанию осуществляется на конкурсной основе. Организация подбора и проведение конкурсов на вакантные должности находится в компетенции менеджера по персоналу.

Кандидаты на работу в Компанию проходят собеседование в Службе безопасности.

При приеме на работу работник подписывает обязательство о неразглашении коммерческой тайны и проходит инструктаж по информационной безопасности у системного администратора.

В письменном трудовом договоре с сотрудником и его должностных обязанностях должны указываться его обязанности по соблюдению режима информационной безопасности.

Руководители структурных подразделений Организации несут персональную ответственность за соблюдение режима информационной безопасности сотрудниками своих подразделений.

Сотрудник несет ответственность за разглашение коммерческой тайны во время трудовых отношений и в течении двух лет после их прекращения в порядке, установленном законодательством.

Разглашение сведений ограниченного распространения и нарушение режима информационной безопасности является чрезвычайным происшествием. По всем фактам проводится служебное расследование комиссией, назначаемой приказом Генерального директора.

Задачи служебного расследования:

• выяснение обстоятельств разглашения коммерческой тайны или потери носителей таких сведений;
• выявление виновных в разглашении сведений составляющих коммерческую тайну Организации;
• выявление причин и условий, при которых стало возможно разглашение сведений ограниченного распространения или потеря носителей таких сведений;
• принятие действенных мер по недопущению подобных происшествий;

Служебное расследование проводиться в минимально короткий срок.

Одновременно с работой комиссии должны проводиться мероприятия по локализации нежелательных последствий из-за разглашения сведений составляющих коммерческую тайну.

Результаты работы комиссии письменно докладываются Генеральному директору Организации.

7. Доступ сотрудников Организации к сведениям, составляющим Коммерческую тайну.

Допуск сотрудников Организации к сведениям ограниченного распространения осуществляется в соответствии с их должностными инструкциями, в рамках необходимых для выполнения служебных обязанностей на основании заявки подаваемой руководителем структурного подразделения и утверждаемой Генеральным директором.

Выделение прав и полномочий сотрудникам Организации для работы со сведениями ограниченного распространения в системах электронного документооборота Организации производят администраторы соответствующих информационных систем.

Лица, допущенные к работе со сведениями ограниченного распространения, обязаны:

• знать и строго выполнять требования настоящей Политики и других инструкций, регламентирующих мероприятия режима информационной безопасности;
• немедленно докладывать своему непосредственному начальнику о возможных причинах или фактах утечки конфиденциальной информации;
• знакомиться с конфиденциальными сведениями только в объемах своих служебных обязанностей;
• немедленно сообщать непосредственному начальнику об утрате или недостаче носителей конфиденциальных сведений;
• о попытке посторонних лиц получить доступ к конфиденциальной информации немедленно докладывать руководителю подразделения и начальнику Службы безопасности.

Сотрудникам Организации, допущенным к работе с конфиденциальной информацией, запрещается:

• использовать конфиденциальные сведения в открытой переписке, публичных выступлениях;
• использовать конфиденциальные сведения в личных целях;
• вести обсуждение вопросов безопасности конфиденциального характера в общественных местах;
• выносить с территории Организации носители конфиденциальных сведений без разрешения непосредственного начальника;

8. Работа с документами, содержащими Коммерческую тайну.

Делопроизводство и работа с документами, содержащими сведения, вошедшие в Перечень, является составной частью режима информационной безопасности. К разработке таких документов на бумажных носителях следует прибегать лишь в случаях действительной необходимости, когда нет условий для осуществления личного общения, осуществления обмена электронными документами или когда существуют нормативные документы, предписывающие представление документа на бумажном носителе.

Работа сотрудников Организации с конфиденциальными документами должна производиться в служебных помещениях Организации.

По окончании рабочего дня каждый исполнитель обязан проверить наличие находящихся у него конфиденциальных документов.

Конфиденциальные документы печатаются в строго ограниченном количестве экземпляров. Черновики и испорченные экземпляры таких документов, должны сразу уничтожаться.

Каждый экземпляр документа, содержащий сведения ограниченного распространения, оформляется следующим образом:

• на первом листе, в правом верхнем углу указывается гриф "Конфиденциально";
• на последнем листе в левом нижнем углу указывается, фамилия исполнителя и дата изготовления.

Отправка документов с грифом "Конфиденциально" производиться с разрешения начальников структурных подразделений Организации.

Уничтожение документов с грифом "Конфиденциально" производится с разрешения начальника структурного подразделения Организации.

Контроль за ведением конфиденциального делопроизводства в подразделениях Организации возлагается на Начальников структурных подразделений.

9. Правила размещения элементов компьютерной сети.

Под элементами компьютерной сети следует понимать следующее оборудование:

• Съемные машинные носители, на которых производится запись конфиденциальных сведений;
• Рабочие станции и сервера Организации;
• Сетевое оборудование (маршрутизаторы, коммутаторы);
• Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования).

Условия размещения элементов компьютерной сети должны обеспечивать:

• Сохранность элементов компьютерной сети;
• Исключение возможности несанкционированного доступа посторонних лиц.

Помещения, в которых расположены элементы компьютерной сети, должны удовлетворять следующим требованиям:

• Входные двери должны быть оборудованы замками, гарантирующими надежное закрытие помещений в нерабочее время;
• Помещения должны быть оборудованы охранной и пожарной сигнализацией, с выводом сигнала тревоги на пульт охраны;
• Условия размещения оборудования должны соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

9.10. Входная дверь серверной оборудуется системой контроля доступа и доводчиком двери. Запасные ключи от серверной хранятся в опечатанном пенале в сейфе у начальника Службы безопасности.

10. Обеспечение режима информационной безопасности при работе с ресурсами Интернет и электронной почтой.

Подключение к сети Интернет.

Подключение корпоративной сети Организации к сети Интернет должно осуществляться только через межсетевой экран.

Весь входящий и исходящий трафик Организации должен проходить через фильтры межсетевого экрана.

Межсетевой экран администрируется локально или удаленно с фиксированного адреса администратора.

В настройке межсетевого экрана должны быть закрыты все не используемые сервисы и протоколы. Необходимо постоянно обновляться программное обеспечение межсетевого экрана, устанавливать все дополнения и обновления. Для межсетевого экрана допускается только один пользователь - администратор, остальные пользователи должны быть удалены или заблокированы.

Серверы с размещенными на них Интернет сервисами должны размещаться в демилитаризованной зоне, созданной межсетевым экраном.

Доступ к FTP должен быть разрешен только изнутри наружу и только определенному кругу пользователей. При необходимости доступа снаружи внутрь должна использоваться усиленная аутентификация.

Доступ пользователей к сети Интернет должен осуществляться только через прокси сервер Организации.

Межсетевой экран и прокси сервер должны вести детальные системные журналы всех сеансов. Доступ к журналам должны иметь ограниченное число сотрудников Организации.

На Межсетевом экране и/или прокси сервере должны вестись "Стоп листы" ресурсов Интернет сомнительного содержания.

Межсетевой экран или прокси сервер должен разрешать загрузку только тех программ на ActiveX, Java, Javascript, которые разрешены.

Настройки межсетевого экрана или прокси сервера должны запрещать загрузку программного обеспечения, кроме ограниченного круга пользователей.

Операционные системы и программное обеспечение Интернет серверов Организации должны содержать все исправления, рекомендованные производителем.

Интернет серверы Организации, работающие под UNIX подобными операционными системами, не должны запускаться с правами суперпользователя.

Безопасность WWW сервера Организации.

Все общедоступные WWW-сервера Организации, подключенные к Интернету, должны находиться в демилитаризованной зоне либо вне зоны корпоративной сети. Сведения ограниченного распространения не должны размещаться на публичном WWW сервере Организации.

Перед публикацией на WWW сервере Организации информация, должна быть просмотрена и утверждена так же, как утверждаются официальные документы Организации.

Все публично доступные WWW сервера Организации должны регулярно тестироваться на предмет корректности ссылок.

Доступ пользователей в сеть Интернет.

Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись следующие правила:

• доступ к Интернету должен осуществляться только через прокси сервер Организации;
• каждый загружаемый файл должен проверяться на вирусы и троянские программы;
• пользователям без особого разрешения запрещается устанавливать и использовать внешние почтовые сервера и внешние прокси сервера.

Использование электронной почты.

Электронные документы, содержащие конфиденциальную информацию, не должны отправляться с помощью электронной почты, по открытым каналам в не зашифрованном виде.

Пользователи могут использоваться только разрешенные администратором сети почтовые программы.

Никто из посетителей Организации или временных сотрудников не имеет права использовать электронную почту Организации.

Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не домену Организации.

Связь с территориально удаленными подразделениями Организации должна осуществляться только по закрытым каналам связи с использованием средств криптографической защиты информации.

10.5. Контроль выполнения мероприятий по информационной безопасности при работе в сети Интернет и использованию электронной почты возлагается на администратора компьютерной сети.

11. Обеспечение режима информационной безопасности на рабочих станциях.

На всех рабочих станциях обязателен антивирусный контроль с автоматическим периодическим обновлением антивирусных баз и автоматическим запуском антивирусного монитора.

Использование на рабочих станциях дисковых ресурсов с общим доступом допускается только в исключительных случаях.

Использование на рабочих станциях накопителей со съемными машинными носителями информации и портов USB допускается в исключительных случаях.

Рабочие станции, на жестких дисках которых хранится конфиденциальная информация, защищаются программно-аппаратными комплексами защиты информации от несанкционированного доступа с возможность криптографической защиты хранящейся информации.

Пользователям запрещается:

• входить в компьютерную сеть Организации, используя чужие реквизиты доступа;
• оставлять без присмотра подключенное и не заблокированное рабочее место;
• самостоятельно изменять аппаратную или программную конфигурацию рабочих станций;
• самостоятельно устанавливать на рабочую станцию программное обеспечение;
• разрешать другим лицам работу на компьютере со своими правами доступа;
• запрещается загружать из сети Интернет программное обеспечение;
• запрещается отключать антивирусное программное обеспечение установленное на их рабочих станциях, и изменять его настройки.

Пользователь компьютерной сети Организации обязан:

• соблюдать требования регламентирующих документов;
• использовать персональный компьютер и ресурсы компьютерной сети Организации только для выполнения своих служебных обязанностей;
• сохранять рабочие материалы и документы в электронном виде на специально выделенном каталоге файлового сервера;
• блокировать рабочую станцию при необходимости покинуть рабочее место на непродолжительное время;
• выключать рабочую станцию при уходе с рабочего места на продолжительное время;

Контроль над действиями пользователей компьютерной сети осуществляется по протоколам, формируемыми информационными системами администратором компьютерной сети. Объем контрольных мероприятий и их периодичность указывается в должностных обязанностях соответствующих специалистов и в контрольных функциях соответствующих структурных подразделениях.

12. Применение парольной защиты.

Информация о паролях пользователей является конфиденциальной информацией, предназначенной для идентификации и допуска каждого конкретного пользователя к выделенным ему информационным ресурсам.

Операционные системы рабочих станций, включенных в компьютерную сеть Организации, должны иметь настройки, позволяющие исключить возможность просмотра вводимой парольной информации.

Операционные системы серверов должны быть настроена таким образом, чтобы исключить возможность ознакомления с парольной информацией любого из пользователей, включая Администратора.

Серверы должны быть защищены паролем на загрузку операционной системы и доступа к конфигурации BIOS.

Компьютеры рабочих станций должны быть защищены паролем на доступ к конфигурации BIOS. Компьютеры рабочих станций, на которых хранятся конфиденциальные сведения, должны быть защищены паролем на загрузку операционной системы.

Операционные системы рабочих станций должны быть настроены таким образом, чтобы блокировать паузы неактивности (хранитель экрана) с функцией парольной защиты. Время включения защиты не более 10 минут.

Операционные системы серверов должны блокировать вход в сеть после 3-х кратной ошибки в наборе пароля.

Настройка активного сетевого оборудования Организации (маршрутизаторы, коммутаторы) не должна давать возможности несанкционированной переконфигурации, в связи с чем каждое активное сетевое устройство должно быть защищено уникальным паролем Администратора компьютерной сети.

При уходе сотрудника Организации в отпуск системный администратор, на основании заявки руководителя структурного подразделения, производит блокировку имени пользователя в информационной системе Организации.

При увольнении сотрудника из Организации, системный администратор, на основании обходного листа, производит удаление пользовательского имени в информационной системе Организации.

Период действия паролей составляет 90 суток, после чего они подлежат замене на новые, ранее не применявшиеся.

Администраторам различных информационных систем запрещается использование административного пароля при повседневной деятельности, не связанной с административными функциями. Для этой цели Администраторам должен выделяться пароль с правами пользователя.

Пароли Администраторов и пароли BIOS серверов должны хранится в опечатанных конвертах в сейфе начальника директора организации. Каждый пароль хранится в отдельном конверте.

Доступ в компьютерную сеть Организации, через общедоступные каналы связи обеспечивается только с применением смарт-карт либо их полнофункциональных аналогов USB брелков eToken.

Любые некорректные действия сотрудников, связанные с доступом компьютерную сеть, рассматриваются как нарушения режима информационной безопасности и анализируются через процедуру служебного расследования.

Ответственным за настройку серверов и рабочих станций, в соответствии с требованиями настоящей Инструкции, является администратор компьютерной сети.

13. Антивирусная безопасность.

Под компьютерными вирусами, троянскими программами следует понимать программы, которые могут заражать другие программы, изменяя их посредством добавления своей, возможно модифицированной, копии, которая сохраняет способность к дальнейшему размножению (далее по тексту вредоносные программы).

Возможными путями проникновения вредоносных программ в компьютерную сеть Организации являются:

• через сеть Интернет, путем загрузки пользователями зараженного программного обеспечения;
• загрузка WWW страниц с активными приложениями, содержащими вредоносный код;
• заражение рабочих станций пользователей через электронную почту;
• распространение вредоносных программ через сеть Интернет и электронную почту посредством использования уязвимостей программного обеспечения;
• установка на рабочие станции и сервера Организации зараженного программного обеспечения или электронных документов;

Возможные последствия распространения вредоносных программ в компьютерной сети Организации:

• модификация, потеря данных;
• утечка информации из компьютерной сети Организации;
• нарушение технологических процессов в компьютерной сети Организации.

Выполнение всеми сотрудниками Организации мероприятий, направленных на предотвращение проникновения вредоносных программ в компьютерную сеть Организации, является основой нормального функционирования сети и одним из важнейших условий информационной безопасности.

Весь входящий и исходящий трафик компьютерной сети Организации должен проходить через условия фильтрации межсетевого экрана.

Входящий и исходящий трафик пользователей в сеть Интернет должен подвергаться антивирусному контролю.

Все почтовые сервера (как внешние, так и внутренние) должны быть обязательно защищены антивирусным программным обеспечением. Антивирусное программное обеспечение на рабочих станциях и почтовых серверах должно быть от разных производителей, что повышает вероятность успешного обнаружения вредоносных программ на различных этапах.

Внешние почтовые сервера, межсетевой экран должны запрещать прохождение вложенных исполняемых файлов в компьютерную сеть Организации.

На всех серверах компьютерной сети Организации должно быть установлено антивирусное программное обеспечение. На файл-серверах должен быть включен режим проверки в реальном времени.

Все программное обеспечение, устанавливаемое на компьютерах Организации должно предварительно проходить антивирусную проверку на специально выделенном компьютере, не имеющем доступа в компьютерную сеть Организации.

На всех рабочих станциях пользователей должно быть установлено антивирусное программное обеспечение, работающее в режиме проверки в реальном времени.

Необходимо обеспечить обновление баз антивирусного программного обеспечения не реже одного раза в сутки.

Правила антивирусной защиты доводятся до всех пользователей компьютерной сети Организации под личную роспись в журнале инструктажа администратором сети.

При передаче программного обеспечения и электронных документов в другие организации или физическим лицам необходимо проводить антивирусный контроль передаваемой информации.

Все факты проникновения вредоносных программ в компьютерную сеть Организации являются нарушением информационной безопасности и подлежат служебному расследованию.

Контроль выполнения антивирусной безопасности пользователями компьютерной сети Организации возлагается на Информационно технический отдел.

14. Резервное копирование.

Резервное копирование является средством защиты информации, хранящейся в электронном виде, от повреждения либо уничтожения в результате сбоев программного обеспечения, сбоев и неисправностей вычислительной техники, а так же в результате физического повреждения (уничтожения) вычислительной техники.

Объектами резервного копирования являются:

• базы данных автоматизированных информационных систем Организации;
• программное обеспечение и данные, расположенные на файл-серверах;
• операционные системы серверов и настройки активного сетевого оборудования (маршрутизаторы, межсетевые экраны);
• критичное программное обеспечение и данные, расположенные на рабочих станциях пользователей.

Схема резервного копирования.

Базы данных автоматизированных информационных систем:

• Зеркальные копии создаются на зеркальном жестком диске сервера в режиме реального времени;
• Ежедневные копии создаются на съемных машинных носителях информации по окончании рабочего дня. Срок хранения копий одна неделя;
• Ежемесячные копии создаются на съемных машинных носителях информации по состоянию на первый рабочий день следующего месяца. Срок хранения копий один год;
• Ежеквартальные копии создаются на съемных машинных носителях информации по состоянию на первый рабочий день следующего квартала. Срок хранения копий три года;
• Ежегодные копии создаются на съемных машинных носителях информации по состоянию на первый рабочий день следующего года. Срок хранения копий десять лет.

Программное обеспечение и данные, расположенные на файл-серверах:

• Зеркальные копии создаются на зеркальном жестком диске сервера в режиме реального времени;
• Ежедневные копии на съемных машинных носителях информации по окончании рабочего дня. Срок хранения копий одна неделя.

Операционные системы серверов и настройки активного сетевого оборудования

• Резервные копии создаются после первоначальной настройки или внесения изменений в настройку операционных систем серверов, программного обеспечения серверов и сетевого оборудования на съемных машинных носителях, если нет возможности произвести копирование, производится распечатка конфигурационных файлов. Резервные копии хранятся до истечения их актуальности.

Критичное программное обеспечение и данные, расположенные на рабочих станциях пользователей.

Съемные носители информации с архивными копиями учитываются в Журнале учета архивных носителей и хранятся в сейфе начальника Службы безопасности.

Ответственными за проведение резервного копирования являются администраторы соответствующих систем.

15. Обеспечение режима конфиденциальности при проведении совещаний.

Служебные совещания, на которых будут обсуждаться конфиденциальные вопросы, проводятся по решению Генерального директора Организации, его заместителей или начальников структурных подразделений (только если совещание затрагивает вопросы безопасности одного структурного подразделения Организации). Для проведения таких совещаний, при необходимости, назначается ответственное лицо за подготовку и проведение совещания.

Лицо, ответственное за подготовку и проведение совещания, совместно с представителем службы безопасности и соответствующим техническим специалистом осуществляет необходимые организационные и технические мероприятия, обеспечивающие сохранение конфиденциальности обсуждаемых вопросов и исключающие утечку информации во время проведения совещания.

На совещания допускаются лица, имеющие непосредственное отношение к обсуждаемым на них вопросам и участие которых вызвано служебной необходимостью.

Совещания проводятся в помещениях, обеспечивающих сохранение конфиденциальности обсуждаемых вопросов безопасности. Такие помещения до проведения совещания должны быть защищены от технических средств разведки, обследованы соответствующими специалистами с целью обеспечения защиты от утечки информации по техническим каналам и при необходимости - обеспечены охраной.

Руководитель совещания перед его началом обязан проинформировать присутствующих о степени конфиденциальности обсуждаемых вопросов.