Содержание
Документ составил: Логинов Дмитрий Викторович
Дата составления документа: 28.05.2022
Название документа:
Корпоративный стандарт компании ООО “ШЭРИКС” по коммуникации внутри информационного пространства с целью обеспечения защиты от атак посредством социальной инженерии
Оглавление:
Особенности коммуникации в компании
- Правила коммуникации с клиентами и внешними организациями
- Правила коммуникации с сотрудниками иных отделов
- Правила коммуникации внутри отдела
- Требования к внешнему виду и поведение на совещании
Ограничения при передаче информации
- Связь Корпоративного стандарта с Политикой безопасности компании
- Технические средства для использования и альтернатива в случае их временной недоступности
- Описание процесса предоставления доступа к документу
- Описание процесса ограничения доступа к документу
Способы контроля доступа к информации
- Технические проверки системы запросов доступа
- Проверки службы ИБ на склонность к атакам социальной инженерии
Введение стандарта в силу
1. Особенности коммуникации в компании
Корпоративный стандарт компании ООО “ШЭРИКС” включает в себя особенности коммуникации в компании, ограничения по передаче информации и способы контроля доступа к информации. Помимо прочего, Корпоративный стандарт описывает основы коммуникации, соответствующие Кодексу этики компании. Все сотрудники должны быть ознакомлены с Кодексом корпоративной этики. Сотрудники обязаны не представляться другим лицом, даже если выполняют его обязанности.
1.1 Правила коммуникации с клиентами и внешними организациями
Сотрудники, в чьи должностные обязанности входит работа с клиентами и внешними организациями, должны быть ознакомлены с данными положениями. При взаимодействии с клиентами или внешними организациями сотрудники обязаны придерживаться Кодекса корпоративной этики и принципов взаимоуважения.
1.1.1 Личная коммуникация.
При коммуникации сотрудников с клиентами или внешними организациями, при личном обращении, обязан начинать разговор с вежливого приветствия, представится, назвать компанию и должность (если это не противоречит должностным инструкциям), после чего вежливо попросить представиться собеседника.
При коммуникации сотрудников с клиентами или внешними организациями, при личном обращении, сотрудник обязан обращаться по имени и отчеству или, если не указано иное. Обращаться необходимо на “Вы”.
При взаимодействии с клиентами или внешними организациями сотрудники обязаны следовать Политике безопасности компании и использовать информацию того уровня, который есть у сотрудника и возможен для клиента/внешней организации.
При коммуникации сотрудников с клиентами/внешними организациями, сотрудникам запрещается распространять информацию не общественного (закрытого) характера без согласования с руководителем компании или уполномоченным лицом.
При коммуникации сотрудников с клиентами или внешними организациями, в случае, когда категория информации не превышает уровня доступа “общественная информация (открытая)”, корпоративный стандарт не требует использования системы регистрации запросов доступа.
При коммуникации сотрудников с клиентами или внешними организациями, в случае, когда клиент или внешняя организация запрашивает у сотрудника доступ к закрытой информации, корпоративный стандарт обязывает согласовывать распространяемую информацию с руководителем компании или уполномоченным лицом.
При коммуникации сотрудников с клиентами или внешними организациями, в случае, когда клиент или внешняя организация ведут диалог с сотрудником компании, сотрудник обязан принимать во внимание вероятное присутствие лиц, способных воспринять аудиальную информацию, специальных устройств размещенных для фиксации аудиальной информации.
В случае необходимости или ситуации не удовлетворяющей безопасность информации, сотрудник обязан изменить место ведения диалога.
При коммуникации сотрудников с клиентами или внешними организациями, при личном обращении, Корпоративный стандарт требует в конце диалога вежливо попрощаться.
При коммуникации сотрудников с клиентами или внешними организациями, при личном обращении, Корпоративный стандарт требует в случаях когда формируется необходимость привлечь третье лицо в диалог или когда третье лицо присутствует в изначально в диалоге, спросить заинтересован ли он в внедрении в диалог, обратить внимание имеет ли он право в диалоге участвовать и представить его в случаях выполнения первых двух утверждений.
1.1.2 Телефонная коммуникация
При коммуникации сотрудников с клиентами или внешними организациями, при использовании телефонии, обязан начинать разговор с вежливого приветствия, представится, назвать компанию и свою должность в ней, после чего попросить представиться собеседника.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании телефонии, обязан передавать только ту информацию, которая согласована для этого типа передачи информации.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании телефонии, обязан в случаях появления подозрений в отношении собеседника сократить передаваемую информацию до клиентского уровня.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании звонков по средствам интернета, обязан удостоверится в защищенности сети в соответствии с политикой безопасности компании.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании телефонии, сотрудник обязан придерживаться всех элементов указанных в рамках пункта 1.1.1
При коммуникации сотрудников с клиентами или внешними организациями, при использовании телефонии, Корпоративный стандарт требует конце диалога вежливо попрощаться.
1.1.3 Электронная почта
При коммуникации сотрудников с клиентами или внешними организациями, при использовании электронной почты, Корпоративный стандарт обязывает начинать сообщение с вежливого приветствия, представится, назвать компанию и свою должность в ней.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании электронной почты, сотрудник обязан придерживаться всех элементов указанных в рамках пункта 1.1.1
При взаимодействии с клиентами или внешними организациями сотрудники обязаны заключать всю содержательную часть после момента приветствия и до момента с печать.
При взаимодействии с клиентами или внешними организациями сотрудники обязаны обращать внимание на лица, которые получают копию рассылки ответа.
При взаимодействии с клиентами или внешними организациями сотрудники обязаны проверять кому они пишут сообщения, проверять правильность написания адресата и адресаты переответа.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании электронной почты, Корпоративный стандарт требует заканчивать разговор с собеседником вежливым высказыванием уважения, названием компании и представлением. (пример 1)
1.1.4 Бумажные носители информации
При коммуникации сотрудников с клиентами или внешними организациями, при использовании бумажных носителей информации, сотрудник обязан попривествовать собеседника, представится, представить компанию и свою должность в ней.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании бумажных носителей информации, сотрудник обязан придерживаться всех элементов указанных в рамках пункта 1.1.1
При взаимодействии с клиентами или внешними организациями сотрудники обязаны заключать всю содержательную часть после момента приветствия и до момента с печать.
При коммуникации сотрудников с клиентами или внешними организациями, при использовании бумажных носителей информации, Корпоративный стандарт требует заканчивать разговор с собеседником вежливым высказыванием уважения, названием компании и представлением. (пример 1)
При коммуникации сотрудников с клиентами или внешними организациями, при использовании бумажных носителей информации, при необходимости утилизации бумажного носителя информации, Корпоративный стандарт обязывает уничтожить носитель в специальном устройстве (шредер), после чего выкинуть в специально предназначенное для этого ведро, в соответствии с Политикой компании ООО “ШЭРИКС”.
1.2 Правила коммуникации с сотрудниками иных отделов
1.2.1 Личная коммуникация
При коммуникации сотрудников с коллегами из иных отделов компании, Корпоративный стандарт обязывает придерживаться правил корпоративной этики и принципов взаимоуважения.
При коммуникации сотрудников с коллегами из иных отделов компании, Корпоративный стандарт обязывает придерживаться всех элементов указанных в рамках пункта 1.1.1
При коммуникации сотрудников с коллегами из иных отделов компании, Корпоративный стандарт обязывает пользоваться системой запросов доступа, в соответствии с необходимостью формулирования протокола транзакции информации.
При коммуникации сотрудников с коллегами из иных отделов компании, Корпоративный стандарт обязывает при работе с чатами обращать внимание на адресата информации, на возможность доступа сторонних лиц к визуальному потреблению информации.
При коммуникации сотрудников с коллегами из иных отделов компании, Корпоративный стандарт обязывает пользоваться системой запросов доступа, в случаях, когда сотрудник запрашивает информацию категории “не общественная информация(открытая)”, когда сотрудник собирается распространить информацию категории “не общественная информация(открытая)”, для создания согласованности передачи информации с третьим лицом.
При коммуникации сотрудников с коллегами из иных отделов компании, если коллега пытается пренебрегать Корпоративным стандартом, Корпоративный стандарт требует вежливо объяснить коллеге, что нарушение требований стандарта ведет к дисциплинарным взысканиям, и предложить воспользоваться системой запросов доступа информации.
Если коллега продолжает пренебрегать Корпоративным стандартом и формам выполнения протоколов транзакции информации, Корпоративный стандарт обязывает сотрудника прекратить обсуждение и сообщить о нарушителе специалисту информационной безопасности компании или руководителю компании.
1.2.2 Телефонная коммуникация
При коммуникации сотрудников с коллегами из иных отделов компании, Корпоративный стандарт обязывает придерживаться правил корпоративной этики и принципов взаимоуважения.
При коммуникации сотрудников с коллегами из иных отделов компании, при использовании телефонии, Корпоративный стандарт обязывает придерживаться всех элементов указанных в рамках пункта 1.2.1 и пункта 1.1.2
При коммуникации сотрудников с коллегами из иных отделов компании, при использовании телефонии, если коллега пытается пренебрегать Корпоративным стандартом, Корпоративный стандарт требует вежливо объяснить коллеге, что нарушение требований стандарта ведет к дисциплинарным взысканиям, и предложить воспользоваться системой запросов доступа информации.
Если коллега продолжает пренебрегать Корпоративным стандартом и формам выполнения протоколов транзакции информации, Корпоративный стандарт обязывает сотрудника прекратить обсуждение и сообщить о нарушителе специалисту информационной безопасности компании или руководителю компании.
1.2.3 Электронная почта
При коммуникации сотрудников с коллегами из иных отделов компании, Корпоративный стандарт обязывает придерживаться правил корпоративной этики и принципов взаимоуважения.
При коммуникации сотрудников с коллегами из иных отделов компании, при использовании электронной почты, Корпоративный стандарт обязывает придерживаться всех элементов указанных в рамках пункта 1.2.1
При коммуникации сотрудников с коллегами из иных отделов компании, при использовании электронной почты, если коллега пытается пренебрегать Корпоративным стандартом, Корпоративный стандарт требует вежливо объяснить коллеге, что нарушение требований стандарта ведет к дисциплинарным взысканиям, и предложить воспользоваться системой запросов доступа информации.
При коммуникации сотрудников с коллегами из иных отделов компании, при использовании электронной почты, Корпоративный стандарт обязывает придерживаться всех элементов указанных в рамках пункта 1.1.3 Если коллега продолжает пренебрегать Корпоративным стандартом и формам выполнения протоколов транзакции информации, Корпоративный стандарт обязывает сотрудника прекратить обсуждение и сообщить о нарушителе специалисту информационной безопасности компании или руководителю компании.
1.3 Правила коммуникации внутри отдела
1.3.1 Личная коммуникация
При коммуникации сотрудников с коллегами внутри отдела компании, Корпоративный стандарт обязывает придерживаться правил корпоративной этики и принципов взаимоуважения.
При коммуникации сотрудников с коллегами внутри отдела компании, Корпоративный стандарт обязывает придерживаться всех элементов указанных в рамках пункта 1.1.1
При коммуникации сотрудников с коллегами внутри отдела компании, Корпоративный стандарт обязывает пользоваться системой запросов доступа, в соответствии с необходимостью формулирования протокола транзакции информации.
При коммуникации сотрудников с коллегами внутри отдела компании, Корпоративный стандарт обязывает пользоваться системой запросов доступа, в случаях, когда сотрудник запрашивает информацию категории “не общественная информация(открытая)”, когда сотрудник собирается распространить информацию категории “не общественная информация(открытая)”, для создания согласованности передачи информации с третьим лицом.
При коммуникации сотрудников с коллегами внутри отдела компании, если коллега пытается пренебрегать Корпоративным стандартом, Корпоративный стандарт требует вежливо объяснить коллеге, что нарушение требований стандарта ведет к дисциплинарным взысканиям, и предложить воспользоваться системой запросов доступа информации.
Если коллега продолжает пренебрегать Корпоративным стандартом и формам выполнения протоколов транзакции информации, Корпоративный стандарт обязывает сотрудника прекратить обсуждение и сообщить о нарушителе специалисту информационной безопасности компании или руководителю компании.
1.3.2 Телефонная коммуникация
При коммуникации сотрудников с коллегами внутри отдела компании, Корпоративный стандарт обязывает придерживаться правил корпоративной этики и принципов взаимоуважения.
При коммуникации сотрудников с коллегами внутри отдела компании, при использовании телефонии, Корпоративный стандарт обязывает придерживаться всех элементов указанных в рамках пункта 1.2.1 и 1.1.2.
При коммуникации сотрудников с коллегами внутри отдела компании, при использовании телефонии, если коллега пытается пренебрегать Корпоративным стандартом, Корпоративный стандарт требует вежливо объяснить коллеге, что нарушение требований стандарта ведет к дисциплинарным взысканиям, и предложить воспользоваться системой запросов доступа информации.
Если коллега продолжает пренебрегать Корпоративным стандартом и формам выполнения протоколов транзакции информации, Корпоративный стандарт обязывает сотрудника прекратить обсуждение и сообщить о нарушителе специалисту информационной безопасности компании или руководителю компании.
1.3.3 Электронная почта
При коммуникации сотрудников с коллегами внутри отдела компании, Корпоративный стандарт обязывает придерживаться правил корпоративной этики и принципов взаимоуважения.
При коммуникации сотрудников с коллегами внутри отдела компании, при использовании электронной почты, Корпоративный стандарт обязывает придерживаться всех элементов указанных в рамках пункта 1.2.1 и 1.1.3.
При коммуникации сотрудников с коллегами внутри отдела компании, при использовании электронной почты, если коллега пытается пренебрегать Корпоративным стандартом, Корпоративный стандарт требует вежливо объяснить коллеге, что нарушение требований стандарта ведет к дисциплинарным взысканиям, и предложить воспользоваться системой запросов доступа информации.
Если коллега продолжает пренебрегать Корпоративным стандартом и формам выполнения протоколов транзакции информации, Корпоративный стандарт обязывает сотрудника прекратить обсуждение и сообщить о нарушителе специалисту информационной безопасности компании или руководителю компании.
1.4 Требования по внешнему виду и поведение на совещании
Практикант
Внешний вид
- Черный пиджак, брюки серые, рубашка (для мужчин). Пиджак (желательно), блузка, юбка или брюки, туфли на не на высоком каблуке (для женщин).
- Прическа: должны быть заплетены в хвост, косу, аккуратная.
- Парфюмерия: без сильного резкого запаха у многих сотрудников и практикантов и у остальных может быть аллергия. Косметика желательно неяркая.
Поведение на совещании
- В начале совещания вежливо поздороваться со всеми и сесть на свободное место.
- Быть готовым к выступлению и слушать как говорят другие практиканты.
- Не перебивать того кто рассказывает, выступает, спрашивает или высказывает своими мысли, мнения.
- Не шуметь посторонними звуками, телефоны должны быть выключены, убрать звук и уведомления (когда совещание закончиться, то можно перезвонить тому кто вам звонил на телефон, например друг, близкие или родственники, или ответить на сообщение), лучше не общаться друг с другом на совещании, а слушать что говорят и как отвечает выступающий и если нужно задавать вопросы.
- Ждать своего времени, выступления, когда тебе позволят выговориться, сказать свои мнения, идеи, ответить на вопросы или свои мысли по поводу темы совещания или если есть вопросы или что-то не понял спрашивать у руководителя.
- После совещания необходимо вежливо попрощаться и пожать друг другу руки.
- Если совещание дистанционно в видеоконференции, то нужно не включать микрофон и не отвлекать выступающего.
- Если хотят ответить на вопрос много людей, то необходимо сначала одному человеку дать ответить, потом выслушать второго человека и затем самому ответить на вопрос.
- Когда наступило время выступления, перед началом нужно следить за тем, чтобы на демонстрации случайно не отобразилась информация с ограниченным доступом, только после проверки доступа к документу, можно приступать к выступлению и после выступления ответить на вопросы от участников совещания или от руководителя.
- Перед началом выступлением лучше заранее не волноваться, а то выступление в результате будет выглядеть не очень.(Волноваться это нормально, но главное не показывать на выступлении, что волнуетесь, боитесь, для того чтобы не показывать свое волнение на выступлении, нужно сначала успокоиться, попейте воды, подумайте о хорошем, что справитесь с выступлением. Сосредоточьтесь на том, чтобы выступление прошло хорошо, интересно и у многих людей сложилось хорошее впечатление, главное не накручивать себя, не думать о плохом. Перед выступлением необходимо выучить свою речь, чтобы участники конференции понимали, что говорите и на какую тему. Проверьте свою готовность к выступлению,а именно попросите у родителей или родственников или друга по слушать вашу речь для выступления на совещании и таким образом поймете готовы к выступлению или ещё не до конца выучили свою речь для выступления и когда уже будете уверены,что точно выучили речь и справитесь с выступлением,то и волнений будет меньше.
- После видео-конференции вежливо попрощаться со всеми.
Дизайнер
Внешний вид
- Одежда: Пиджак, блузка, брюки, туфли.
- Прическа: должна быть аккуратной, заплетены в хвост или косу.
- Парфюмерия: без резкого запаха, желательно чтобы не было яркой косметики.
Поведение на совещании
- В начале совещания вежливо поздороваться со всеми и сесть на свободное место.
- Быть готовым к выступлению и слушать как говорят другие дизайнеры.
- Не перебивать того кто рассказывает, спрашивает или высказывает свои мысли, мнения.
- Не шуметь посторонними звуками, телефоны должны быть выключены или убран звук и уведомления, общаться друг с другом не рекомендуется.
- Ждать своего времени, выступления, когда тебе позволят выговориться, сказать свои мнения, идеи, ответить на вопросы или свои мысли по поводу темы совещания или если есть вопросы или что-то не понял спрашивать у руководителя.
- После совещания необходимо вежливо попрощаться со всеми, пожать друг другу руки.
- Если совещания дистанционно в видеоконференции, то нужно не включать микрофон и не отвлекать выступающего.
- Если хотят ответить на вопрос много людей, то необходимо сначала одному человеку дать ответить, потом выслушать второго человека и затем самому ответить на вопрос.
- Когда наступило время выступления, перед началом нужно следить за тем, чтобы на демонстрации случайно не отобразилась информация с ограниченным доступом, только после проверки доступа к документу, можно приступать к выступлению и после выступления ответить на вопросы от участников совещания или от руководителя.
- Перед началом выступлением лучше заранее не волноваться, а то выступление в результате будет выглядеть не очень. (Волноваться это нормально, но главное не показывать на выступлении, что волнуетесь, боитесь, для того чтобы не показывать свое волнение на выступлении, нужно сначала успокоиться, попейте воды, подумайте о хорошем, что справитесь с выступлением. Сосредоточьтесь на том, чтобы выступление прошло хорошо, интересно и у многих людей сложилось хорошее впечатление, главное не накручивать себя, не думать о плохом. Перед выступлением необходимо выучить свою речь, чтобы участники конференции понимали, что говорите и на какую тему. Проверьте свою готовность к выступлению,а именно попросите у родителей или родственников или друга по слушать вашу речь для выступления на совещании и таким образом поймете готовы к выступлению или ещё не до конца выучили свою речь для выступления и когда уже будете уверены,что точно выучили речь и справитесь с выступлением,то и волнений будет меньше.
- После видеоконференции вежливо попрощаться со всеми.
Секретарь
Внешний вид
- Блузка, юбка или брюки, туфли, пиджак. Юбка должна быть не выше колен. Блузка – светлая.Платье (однотонная цветовая гамма; допускается использование пояса без украшений; на ткани не должно быть рисунков). Колготки, чулки (телесного цвета). Для мужчин ремень должна быть под цвет обуви. Обувь – не светлее брюк, темная.
- Прическа: должна быть аккуратной, заплетены в хвост или косу,но желательно не с распущенными.
- Парфюмерия: без резкого запаха, и желательно без яркой косметики.
Поведение на совещании
- В начале совещания вежливо поздороваться со всеми и сесть на свободное место.
- Взять предметы необходимые на совещании (необходимые документы, книжка для записи)
- Следить чтобы в специальном кабинете для совещаний, собраний была вода если кто пить хочет, подготовить документы для тех кто будет присутствовать на совещании. Позвать всех на совещание, если руководитель сказал позвать на совещание тех кто ему обязательно нужен.
- Быть готовым к выступлению и слушать как говорят другие дизайнеры, руководитель, практиканты и т.д.
- Не перебивать того кто рассказывает, спрашивает или высказывает свои мысли, мнения.
- Не шуметь посторонними звуками, телефоны должны быть выключены или убран звук и уведомления, общаться друг с другом не рекомендуется.
- Ждать своего времени, выступления, когда тебе позволят выговориться, сказать свои мнения, идеи, ответить на вопросы или свои мысли по поводу темы совещания или если есть вопросы или что-то не понял спрашивать у руководителя.
- После совещания необходимо вежливо попрощаться со всеми, пожать друг другу руки.
- Если совещание дистанционно в видеоконференци, то нужно не включать микрофон и не отвлекать выступающего.
- Если хотят ответить на вопрос много людей, то необходимо сначала одному человеку дать ответить, потом выслушать второго человека и затем самому ответить на вопрос.
- Когда наступило время выступления, перед началом нужно следить за тем, чтобы на демонстрации случайно не отобразилась информация с ограниченным доступом, только после проверки доступа к документу, можно приступать к выступлению и после выступления ответить на вопросы от участников совещания или от руководителя.
- Перед началом выступлением лучше заранее не волноваться, а то выступление в результате будет выглядеть не очень. (Волноваться это нормально, но главное не показывать на выступлении, что волнуетесь, боитесь, для того чтобы не показывать свое волнение на выступлении, нужно сначала успокоиться, попейте воды, подумайте о хорошем, что справитесь с выступлением. Сосредоточьтесь на том, чтобы выступление прошло хорошо, интересно и у многих людей сложилось хорошее впечатление, главное не накручивать себя, не думать о плохом. Перед выступлением необходимо выучить свою речь, чтобы участники конференции понимали, что говорите и на какую тему. Проверьте свою готовность к выступлению,а именно попросите у родителей или родственников или друга по слушать вашу речь для выступления на совещании и таким образом поймете готовы к выступлению или ещё не до конца выучили свою речь для выступления и когда уже будете уверены,что точно выучили речь и справитесь с выступлением,то и волнений будет меньше.
- После конференции попрощаться со всеми и по возможности задержаться, если руководитель хочет дать ещё задание, например подготовить ещё документы для следующего совещания.
1.4.1 Социальные сети компании
Jabber – для обсуждения вопросов на заданную тему, для ведения дискуссий, также для размещения готовых заданий. В Джаббере вся история обсуждения храниться на сервере компании, так как она полезна для документации.
Telegram – для решения экстренных вопросов. В телеграмме храниться важная информация, например , кто-то заболел или что-то случилось с практикантом и у него нету возможности присутствовать на занятии.
1.4.2 Требования к рабочему времени и ресурсам к студентам на практике.
Студенты имеют рабочее время и рабочие ресурсы, которыми должны уметь грамотно пользоваться:
- Необходимо выйти на рабочее место в рабочее время (рабочий день начинается с 10:00 до 18:00). В случае прохождения практики удаленно, в период рабочего времени необходимо быть на связи и быть готовым выполнять задачи.
- Проверить наличие новых заданий и информации с помощью средств коммуникации (Telegram и Jabber).
- Не закидывать важную информацию в телеграмме множеством не экстренных сообщений.
- Для уменьшения количества зумов делиться информацией о проделанной работе в Jabber.
- Не бояться общаться с другими студентами и спрашивать вопросы по заданию.
1.4.3 Требования по никам Если вы захотели поменять ник перед видеоконференцией или в других социальных сетях, то обязательно меняете ники так, чтобы сначала была ваша имя и фамилия, а в скобках указывает любимый ник из игр, мультфильмов, фильмов, только приятные, милые ники или вообще без него только имя и фамилия , запрещено использовать не очень приятные и страшные ники.
1.4.4 Способы проверки выполнения стандарта сотрудниками.
- Проверить с помощью чек-листа для внутренней проверкиhttps://docs.google.com/forms/d/1_MjphN880vnaXLBHyjnTENJkm3F-_4bvSrsT7Tt3Q5c/edit?usp=drivesdk
- Проверить с помощью тестирования на знание стандарта https://docs.google.com/forms/d/1S3bTTquZ_sq05_YSyn8_C9ojIaAGoIh-V7ehrq4DQLM/edit?usp=drivesdk
2. Ограничения при передаче информации
2.1 Связь Корпоративного стандарта с Политикой безопасности компании
Данный стандарт разработан в соответствии с разработанной ранее политикой безопасности компании ООО “ШЭРИКС” и является дополнением, интегрированным в приложения Политики безопасности компании.
Корпоративный стандарт обязывает придерживаться Политики безопасности компании, правил, разработанных в рамках Корпоративного стандарта, с момента интеграции Корпоративного стандарта в документацию компании ООО “ШЭРИКС” обозначенного датой подписания документа Корпоративного стандарта.
2.2 Технические средства для использования и альтернатива в случае их временной недоступности
В случаях, когда система запросов доступа информации является временно недоступной, Корпоративный стандарт обязывает согласовывать любую передачу информации “не общественной (закрытой)” категории доступа с сотрудниками компании, за счет собственноручного составления протокола транзакции информации в чате запросов информации.
В случаях, когда у сотрудников временно нет доступа к чату запросов доступа, Корпоративный стандарт обязывает согласовывать любую передачу информации “не общественной (закрытой)” категории доступа с руководителем компании.
2.3 Описание процесса предоставления доступа к документу
Когда сотруднику необходимо предоставить доступ к документу или передать информацию “не общественной (закрытой)” категории доступа собеседнику, Корпоративный стандарт обязывает выполнить следующее действие:
посредствам взаимодействия с ситемой регистрации запросов доступа к информации создать протокол транзакции информации для формирования визуального общего подтверждения самого факта передачи информации и составления емкой информационной сводки о сути передачи информации.
2.4 Описание процесса ограничения доступа к документу
Доступ к документу или передаче информации субъекту принимающему информацию или документ может быть ограничен в следующих случаях:
- при игнорировании использования системы запросов доступа информации или альтернативных решений направленных на фиксацию передачи информации
- при отказе системы формировать протокол транзакции информации по причине несоответствия пин-кода одного из из взаимодействующих лиц, несоответствия уровня доступа одного из взаимодействующих лиц к уровню доступа информации, отсутствия сотрудника в базе данных компании
- при индивидуальных не регламентированных ситуациях доступ к информации и документации может быть ограничен конкретному лицу в соответствии с решением руководителя компании ООО “ШЭРИКС”
3. Способы контроля доступа к информации
3.1 Технические проверки системы запросов доступа
Корпоративный стандарт обязывает специалиста по защите информации компании систематически, один раз в неделю,проверять работоспособность системы регистрации запросов доступа, а также интегрированной в нее базой данных компании.
Специалист по защите информации обязан раз в неделю проверять базу данных компании и сравнивать ее с реальным положением дел в компании.
Каждый уволенный сотрудник должен быть удален из системы запросов доступа в день подписания увольнительной, информация о регистрации как сотрудника должна быть удалена из базы данных компании, а пин-код сотрудника должен быть деактивирован на его аккаунте и перемещен в хранилище свободных пин-кодов.
Помимо этого, Корпоративный стандарт обязывает специалиста по защите информации компании обязывает один раз в неделю собирать статистические данные по протоколам транзакции информации и формирует из них таблицу запросов доступа к информации.
3.2 Проверки службы ИБ на склонность к атакам социальной инженерии
Корпоративный стандарт обязывает раз в месяц проводить внутреннее закрытое тестирование всех сотрудников службы информационной безопасности компании одним из сотрудников данной службы.
Раз в месяц, один из сотрудников службы ИБ обязан проводить ряд экспериментов, связанных с расположенностью сотрудников к атакам с элементами социальной инженерии. В рамках выполнения данного мероприятия условия, форма выполнения поставленной задачи и способы достижения информации не ограничиваются. Проверяющий сотрудник службы способен применять любой метод или средство социальной инженерии в рамках проведения тестирования, комбинировать и видоизменять их.
Форма проверки остается на усмотрение сотрудника выполняющего проверку.
После проведения мероприятия специалист собирает статистическую информацию и дает общую оценку защищенности компании, на основе собранной информации формирует отчет о расположенности к угрозам атак с применением социальной инженерии и отправляет отчет руководству.
Руководство компании, на основе отчета, принимает решение о необходимости проведения повторных инструктажей для сотрудников или, если такой необходимости нет, фиксирует статус защищенности сотрудников.
4. Введение стандарта в силу
Корпоративный стандарт разработан в соответствии с действующей Политикой безопасности компании, не противоречит ей и является дополнением, впоследствии интегрированным в Политику безопасности компании.
Стандарт вступает в силу и становится частью Политики безопасности компании ООО “ШЭРИКС” после подписания данного документа директором компании.
Дата:
Подпись: